Sie sind hier: Home » Markt » Hintergrund

IT-Sicherheit: Herausforderung für kleine Firmen


Compliance-Pflichten: Bereits jetzt zwingen Verordnungen auch Kleinstunternehmer dazu, Fälle von Datenmissbrauch zu melden
Gerade an den Kleinen haben Cyberkriminelle oft großes Interesse. Eine zielgerichtete Attacke kostet kleine und mittlere Unternehmen im Schnitt 55.000 Euro

(11.10.13) - Kein Unternehmen ist zu klein, um nicht von Cyberkriminellen angegriffen zu werden. Im Gegenteil: Betrüger werden oft gerade dort aktiv, wo wenig Widerstand vermutet wird. Und die hohen Folgekosten im Schadenfall sind gerade für aufstrebende Firmen gravierend. Sind auch Kundendaten im Spiel, ist geeigneter Schutz zwingend erforderlich.

Mit Umsätzen in Milliardenhöhe und Millionen von Beschäftigten sind die sogenannten kleinen und mittleren Unternehmen (mit weniger als 500 Mitarbeiter) zusammengenommen alles andere als klein. Dazu zählen weltweit auch rund 80 Millionen Firmen mit weniger als zehn Beschäftigten. Diese Kleinunternehmen haben oft keine eigenen Geschäftsräume und der Chef ist hier noch für alles selbst zuständig: vom Einkauf des Büromaterials bis zur Betreuung der IT. Kleine und kleinste Betriebe unterliegen häufig zwei Irrtümern: Sie glauben, zu uninteressant für die Machenschaften von Cyberkriminellen zu sein. Und sie denken, in ihrem Betrieb gebe es nichts, was zu Stehlen wert wäre. Beide Thesen sind falsch.

Eine weltweite Untersuchung von Verizon aus diesem Jahr belegt, dass über 30 Prozent aller Fälle von Datendiebstahl Unternehmen mit 100 oder weniger Mitarbeitern betreffen. Und spätestens dann, wenn das Kleinunternehmen seinen Vertrieb über das Internet abwickelt, erweist sich auch die zweite These als falsch. Cyberkriminelle haben nämlich großes Interesse an sensiblen Kundendaten wie Namen, Adressen oder Kreditkartennummern sowie an den Bankdaten des Unternehmens selbst. Manche Kriminelle haben sich daher auf Kleinunternehmen spezialisiert, glauben sie doch, dort auf weniger Schutzmaßnahmen für entsprechende zielgerichtete Angriffe zu treffen.

Ruinöse Folgen eines Cyberangriffs
Für aufstrebende Unternehmer kann ein einziger sicherheitsrelevanter Vorfall das Aus bedeuten, was an den enormen Folgekosten liegt. Eine Untersuchung von Kaspersky Lab und B2B International hat ergeben, dass jeder Fall von Datendiebstahl bei kleinen und mittleren Unternehmen durchschnittlich einen Schaden in Höhe von fast 27.000 Euro verursacht. Eine zielgerichtete Attacke verursachte nach derselben Studie bis zu 55.000 Euro direkten Verlust. Dazu zählen der Wert entgangener Aufträge ebenso wie die Kosten für die Schadensbehebung durch externe IT-Experten, oder die benötigte neue Hard- und Software zur Vermeidung ähnlicher Vorfälle in Zukunft.

Für Kleinstunternehmer können Kosten in dieser Höhe aber in der Regel den Ruin bedeuten. Nicht mitgezählt ist dabei der Imageschaden. Kleine Finanzdienstleister, die für ihre Kunden die Meldungen an die Steuerbehörden übernehmen, können gar verklagt werden, wenn steuerlich relevante Daten verloren gehen. Und schließlich zwingen bereits jetzt Verordnungen auch Kleinstunternehmer dazu, Fälle von Datenmissbrauch zu melden. Entsprechen die getroffenen Sicherheitsvorkehrungen dann nicht mehr den gesetzlich vorgeschriebenen Mindeststandards, werden erhebliche Geldstrafen fällig.

Drei Sicherheitstipps für Kleinunternehmer

Um sich effektiv zu schützen, sollten Kleinunternehmer folgende Regeln beachten:

1. Kleinunternehmen sollten sich bewusst machen, dass kein Unternehmen zu klein ist, um für Cyberkriminelle uninteressant zu sein. Auch kleine Firmen verfügen über geistiges Eigentum, Bankkonten und zumeist auch Kundendaten.

2. Die eingesetzte Sicherheitssoftware muss zum Unternehmen passen. Kleine Unternehmen benötigen einen auf ihre Anforderungen zugeschnittenen Schutz. Die Software muss bezahlbar bleiben, umfassenden Schutz liefern, aber auch intuitiv bedienbar sein, damit sie am Ende nicht mehr Probleme als Lösungen liefert.

3. In welche Bereiche der Sicherheit muss investiert werden? Wer schon grundlegenden Antivirus-Schutz hat, sollte zusätzliche
Verschlüsselungstechnologien nutzen, besonders wenn sensible Daten von Kunden verarbeitet und gespeichert werden müssen. Dies ist oft auch gesetzlich vorgeschrieben. Werden dennoch Daten gestohlen, gibt es gute Chancen, dass sie von Cyberkriminellen nicht verwendet werden können.
(Kaspersky Lab: ra)

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • Insider-Risiken bleiben relevant

    Die unermüdliche Weiterentwicklung Künstlicher Intelligenz beschleunigt die Evolution bestehender Betrugsszenarien. In unserem Tagesgeschäft - der Betrugsprävention - beobachten wir besonders im E-Commerce neue Herausforderungen, die differenziert betrachtet werden müssen.

  • Leben ohne Digitalzwang

    Menschen, die auf bestimmte Dienstleistungen im Alltag angewiesen sind, haben einen Anspruch darauf, diese auch analog nutzen zu können. Dies ist das Kernergebnis des Rechtsgutachtens, das am 11.12.2024 auf Initiative des Vereins Digitalcourage vom Netzwerk Datenschutzexpertise vorgelegt wurde.

  • DORA am 17. Januar 2025 in Kraft

    Mit Blick auf das Jahr 2025 sticht ein Element bei der Einführung und Weiterentwicklung generativer künstlicher Intelligenz (KI) hervor: die Datensicherheit. Da generative KI-Modelle riesige Datenmengen benötigen, um zu lernen und Inhalte zu generieren, wird die Gewährleistung des Datenschutzes, der Vertraulichkeit und der Integrität dieser Daten von größter Bedeutung sein.

  • Schutz der privaten Sparer

    Seit über 45 Jahren gibt es den Einlagensicherungsfonds der privaten Banken. Seitdem sichert er zuverlässig die Guthaben der Sparerinnen und Sparer ab, falls es zum Entschädigungsfall kommt. Klar ist jedoch, dass selbst ein funktionierendes System regelmäßig auf den Prüfstand gestellt und zur Verbesserung gegebenenfalls angepasst werden muss.

  • Verschiebung der Einreichfrist

    Die Europäischen Aufsichtsbehörden (ESAs) haben eine Verschiebung der Einreichfrist der Informationsregister auf 30. April 2025 bekanntgegeben (Quelle: The ESAs announce timeline to collect information for the designation of critical ICT third-party service providers under the Digital Operational Resilience Act | European Banking Authority). Grund dafür ist u. a. die Verzögerung bei der Finalisierung der technischen Implementierungsstandards (ITS).

Rufnummern-Missbrauch für Werbezwecke Schutz elektronischer Kommunikation per Gesetz?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen