In unserer Geschichte f\u00fchrte mich die Robots-Datei zu einem Pfad, der definitiv nicht f\u00fcr die Allgemeinheit vorgesehen war: zu einer neuen, deutlich moderneren Webseite, die sich allerdings gerade in Entwicklung befand. Solche Prototypen k\u00f6nnen h\u00e4ufig noch recht fehleranf\u00e4llig sein. Sie bieten potenziellen Angreifenden damit eine Spielwiese f\u00fcr b\u00f6swillige Aktivit\u00e4ten. Deshalb kontaktierte ich umgehend meinen Bekannten, um ihm die Entdeckung zu melden.<\/p>\n
Low-Hanging Fruits in KMUs: Ein Problem f\u00fcr die IT-Sicherheit
\n<\/strong><\/h3>\nIn der Hacking- und Pentesting<\/a>-Szene bezeichnet man ein wie oben beschriebenes Szenario als Beispiel f\u00fcr eine Low-Hanging Fruit<\/a>. Das bedeutet, dass Angreifende ihr Ziel bei geringem Aufwand mit erh\u00f6hter Wahrscheinlichkeit erfolgreich kompromittieren k\u00f6nnen werden. Das daraus resultierende Risiko eines erfolgreichen Angriffs ist relativ hoch. Deshalb werden angehende Security-Expert*innen in praxisnahen Schulungen und Fortbildungen sorgf\u00e4ltig darauf getrimmt, Low-Hanging Fruits m\u00f6glichst als Erstes zu identifizieren. Sie sind der erste Anhaltspunkt f\u00fcr weiterfolgende Aktivit\u00e4ten, im Idealfall mit dem \u00fcbergeordneten Ziel, administrativen Systemzugriff<\/a> zu erreichen.<\/p>\nWer sich in einer sozialen Blase voller IT-Sicherheitsexpert*innen<\/a> und Tech Nerds bewegt, vergisst dabei schnell, wie akut das Problem von Low-Hanging Fruits in deutschen Unternehmen ist. Um dieses Problem und dessen Ursache zu verstehen, ist es zun\u00e4chst wichtig zu wissen, wie die Welt der Cyberkriminalit\u00e4t eigentlich tickt.<\/p>\nCyberkriminalit\u00e4t: Eine klassische Kosten-Nutzen-Rechnung<\/strong><\/h3>\nCyberkriminalit\u00e4t ist, trotz aller Illegalit\u00e4t, in den meisten F\u00e4llen ein klassisches Gesch\u00e4ft. Professionell agierende Cyberkriminelle gehen Risiken ein, bringen Ressourcen auf und versuchen so unter Abw\u00e4gung von Kosten und Risiken ein bestimmtes Ziel zu erreichen, ganz gleich ob dieses Ziel wirtschaftlicher oder politischer Natur ist. Dabei unterscheiden sich sowohl die verf\u00fcgbaren Ressourcen als auch die Interessen von verschiedenen Angreifertypen zum Teil erheblich. Ein Forscherteam rund um den Threat-Intelligence-Analysten Greg Reith schlug 2016 eine Klassifikation von Akteuren<\/a> vor, mit der Unternehmen und Organisationen identifizieren k\u00f6nnen, welche Akteure typischerweise eine Bedrohung f\u00fcr sie darstellen k\u00f6nnen. Das von den Autoren vorgeschlagene Pyramidenmodell stellt insbesondere den Grad der Professionalisierung sowie die absolute \u00bbPopulation\u00ab verschiedener Angreifertypen dar.<\/p>\n![](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2022\/03\/pyramid.png\")
<\/a><\/p>\nAbbildung 1: Verschiedene Angreifertypen nach <\/em>Reith et al.<\/em><\/a> Der Grad der Professionalisierung nimmt nach oben hin zu. Gleichzeitig gibt es absolut gesehen naturgem\u00e4\u00df weniger hochprofessionelle Akteure als Amateure.<\/em><\/p>\nWenn sich Cyberkriminelle f\u00fcr ein gro\u00dfes (oder gr\u00f6\u00dferes mittelst\u00e4ndisches) Unternehmen als Angriffsziel entscheiden, dann sind sie sich stets dessen bewusst, dass sie ein gro\u00dfes Risiko eingehen und einen massiven Einsatz an Know-how und technischen Ma\u00dfnahmen aufbringen m\u00fcssen. Typische Akteure, die gro\u00dfe Unternehmen angreifen, sind kriminelle Kleingruppen und Aktivisten (Tier III) bis hin zu Gruppierungen der organisierten Kriminalit\u00e4t (Tier IV). In einzelnen F\u00e4llen zielen auch staatliche Akteure (Tier V, Tier VI) auf Unternehmen ab, insbesondere wenn diese \u00bbtoo big to fail\u00ab sind oder eine anderweitig hohe Systemrelevanz haben.<\/p>\n
Angriffe auf Gro\u00dfunternehmen sind enorm aufw\u00e4ndig<\/strong><\/h3>\nDie Erfolgschancen von Kriminellen bei gro\u00dfen Unternehmen sind insgesamt relativ gering, denn die Gegenspieler der Kriminellen sind sich ihrer Attraktivit\u00e4t als Ziel typischerweise auch bewusst: Zum einen betreiben gro\u00dfe Organisationen einen hohen administrativen Aufwand zur Pr\u00e4vention und Detektion krimineller Handlungen, etwa durch die Durchf\u00fchrung von hausinternen Pentests<\/a>, Sicherheitsaudits<\/a> und den Betrieb von SOCs<\/a>. Zus\u00e4tzlich wird mit automatisierten Patches<\/a>, mehrstufigen Firewalls<\/a> oder VLANs<\/a> eine breite Palette an technischen Ma\u00dfnahmen ergriffen, um es Angreifenden schwer zu machen. Selbst im Falle eines erfolgreichen Angriffs wird damit versucht, den Schaden m\u00f6glichst begrenzt zu halten.<\/p>\nWenn Angreifende unter diesen extremen Bedingungen also erfolgreich sein m\u00f6chten, dann gelingt ihnen das h\u00e4ufig nur mit Zero-Day-Schwachstellen<\/a>. Diese sind weder der \u00d6ffentlichkeit noch den Entwickler*innen der urspr\u00fcnglichen Software bis dato bekannt. Solche Zero-Days zu finden geh\u00f6rt zu den K\u00f6nigsdisziplinen in der IT-Sicherheit. Entsprechend gro\u00df sind die Belohnungen<\/a> f\u00fcr diejenigen, die Schwachstellen finden und an Betroffene melden; und entsprechend begehrt sind sie auch unter Kriminellen. Trivialere Schwachstellen, also die oben genannten Low-Hanging Fruits, sind in Gro\u00dfunternehmen eher die Ausnahme als die Regel und w\u00fcrden im Zuge von Audits wohl auch schnell entdeckt und beseitigt werden. Nat\u00fcrlich kann es aber auch hier nicht ausgeschlossen werden, dass \u00f6ffentlich erreichbare Systeme verwundbar f\u00fcr triviale Schwachstellen sind.<\/p>\nInsgesamt wird es f\u00fcr Cyberkriminelle also nicht einfacher, an Daten von Gro\u00dfunternehmen zu gelangen oder ihnen anderweitig zu schaden. Was w\u00fcrden Sie also aus Sicht eines Hackers machen? F\u00fcr die meisten von uns w\u00e4re die Sache klar: Wir w\u00fcrden uns ein leichteres<\/a> Ziel suchen!<\/p>\nKMUs als neuer Markt f\u00fcr Cyberkriminelle<\/strong><\/h3>\n99,4 %<\/a> der deutschen Unternehmenslandschaft sind von kleinen- und mittelst\u00e4ndischen Unternehmen (KMUs) gepr\u00e4gt. Gleichzeitig generieren sie aber nur 34,4 %<\/a> des Gesamtumsatzes, w\u00e4hrend der Gro\u00dfteil von Gro\u00dfkonzernen erwirtschaftet wird. Aus diesen h\u00e4ufig zitierten Zahlen ergeben sich auch einige Implikationen f\u00fcr die IT-Infrastruktur von Unternehmen: IT-Abteilungen in KMUs haben nur ein \u00fcberschaubares Budget und Know-how. Oft werden s\u00e4mtliche IT-Dienste auch \u00fcber einen Dienstleister bezogen. Vor allem im klassischen Gewerbe ist noch immer kaum ein Bewusstsein f\u00fcr m\u00f6gliche Sch\u00e4den vorhanden, die eine mangelhafte IT-Infrastruktur auszul\u00f6sen vermag. Diese kritischen Umst\u00e4nde werden auch vom aktuellsten Jahresbericht des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/a> einmal mehr best\u00e4tigt.<\/p>\nAngreifende haben diesen Umstand schon vor Jahren erkannt, weshalb KMUs heutzutage zu einem beliebten Angriffsziel geworden sind. Die Gr\u00fcnde sind einleuchtend: Da KMUs weniger auf ihre \u00bbCyber Hygiene<\/a>\u00ab achten (k\u00f6nnen), ist die Unternehmenssoftware h\u00e4ufiger nicht mehr aktuell, und f\u00fcr veraltete Software existieren gut dokumentierte Schwachstellen-Datenbanken<\/a>.<\/p>\nStatt komplexer Zero Days k\u00f6nnen Angreifende nun also einfach diese Schwachstellen-Datenbanken durchforsten. Anschlie\u00dfend k\u00f6nnen sie ein passendes Skript aus dem Internet ausf\u00fchren<\/a>, das den Angriff f\u00fcr sie sogar automatisiert. F\u00fcr einen solchen Angriff braucht es keine gro\u00dfe Expertise<\/strong>, denn selbst Personen mit den grundlegendsten Programmierkenntnissen k\u00f6nnen ihn durchf\u00fchren. Daf\u00fcr braucht es auch kein Geld<\/strong>, denn die Datenbanken sind f\u00fcr jeden frei verf\u00fcgbar. Und zu guter Letzt braucht es hierf\u00fcr auch keine Zeit<\/strong>, denn solche Skripte sind innerhalb weniger Minuten heruntergeladen und ausgef\u00fchrt. Tiefer kann eine Frucht nicht h\u00e4ngen<\/strong>.<\/p>\n![\"Screenshot](\"https:\/\/www.iese.fraunhofer.de\/blog\/wp-content\/uploads\/2022\/03\/exploit-db.png\")
\nAbbildung 2: Ausschnitt aus der ExploitDB-Datenbank f\u00fcr die bekannte Schwachstelle ‚EternalBlue‘ aus dem Jahre 2017. Das Skript, das den Angriff ausf\u00fchrt, kann mit wenigen Handgriffen geladen und ausgef\u00fchrt werden.<\/em><\/p>\nHochkonjunktur f\u00fcr Script Kiddies und Kleinkriminelle
\n<\/strong><\/h3>\nAuch wenn l\u00e4ngst nicht alle Angriffsversuche auf KMUs erfolgreich sind: Low-Hanging Fruits lassen sich besser automatisieren. Bei der gro\u00dfen Menge an Unternehmen ist es also auch dann noch lukrativ f\u00fcr Kriminelle, wenn nur ein kleiner Teil der Angriffe erfolgreich verl\u00e4uft. Erschwerend kommt hinzu, dass neben den erfahrenen professionellen Angreifenden nun auch solche hinzukommen, die deutlich weniger Expertise im Bereich IT-Sicherheit besitzen, zum Beispiel Kleinkriminelle (Tier II) oder sogenannte \u00bbScript Kiddies<\/a>\u00ab (Tier I). Und von denen gibt es ziemlich viele!<\/p>\nAus Sicht der Angreifenden ist das Kosten-Nutzen-Verh\u00e4ltnis bei KMUs also insgesamt h\u00e4ufig besser als bei Gro\u00dfkonzernen. Daher geh\u00f6ren mittlerweile auch Meldungen \u00fcber IT-Sicherheitsvorf\u00e4lle in KMUs zur bitteren Realit\u00e4t im Alltag.<\/p>\n
Aber wieso \u00e4ndert sich trotz ausgiebiger medialer Berichterstattung nichts an der Situation in KMUs? Die klassische Antwort von Fachkundigen w\u00fcrde lauten: Diese Frage ist nicht einfach zu beantworten.<\/p>\n
IT-Sicherheit und KMUs: It’s complicated
\n<\/strong><\/h3>\nVorab sei gesagt: Die Sensibilit\u00e4t f\u00fcr IT-Sicherheit bei KMUs steigt. Laut einer von Heise in Auftrag gegebenen Studie<\/a> ist IT-Sicherheit f\u00fcr einen Gro\u00dfteil der mittelst\u00e4ndischen Unternehmen sogar wichtiger als Nachhaltigkeit. Dass in KMUs dennoch ausgerechnet die IT-Sicherheit zu kurz kommt, hat mehrere Gr\u00fcnde.<\/p>\nEiner davon ist, dass sich Investitionen in IT-Sicherheit vor den Entscheidungsinstanzen in Unternehmen generell nur schwer<\/strong> begr\u00fcnden lassen. Vordergr\u00fcndig scheinen die entstehenden zus\u00e4tzlichen Kosten von Hardware, Software und Personal nicht zur gesamtwirtschaftlichen Entwicklung des Unternehmens beizutragen. Das Management sieht daher h\u00e4ufig keinen akuten Handlungsbedarf.<\/p>\nDass dieser Schein tr\u00fcgt, wird den Verantwortlichen h\u00e4ufig erst dann klar, wenn der Schaden bereits entstanden ist. Eine Investition in IT-Sicherheit ist also stets proaktiver Natur, und diese wirkt sich nun einmal nur indirekt auf den Erfolg eines Unternehmens aus. Aus Sicht eines Unternehmers oder einer Unternehmerin w\u00fcrden Sie schlie\u00dflich auch nicht den wirtschaftlichen Nutzen eines Feuermelders oder einer Alarmanlage hinterfragen. Wieso hat sich diese Denkweise noch nicht bei der IT-Sicherheit etabliert?<\/p>\n
IT-Sicherheitsl\u00f6sungen: Teuer, aber daf\u00fcr wenigstens kompliziert?
\n<\/strong><\/h3>\nErschwerend kommt hinzu, dass nach wie vor ein Mangel an IT-Sicherheitsexpert*innen auf dem Markt vorherrscht, was sich u. a. in den \u00fcppigen Tagess\u00e4tzen<\/a> dedizierter IT-Sicherheitsberater widerspiegelt. Dabei sind diese Preise nicht einmal ungerechtfertigt: IT-Sicherheit erstreckt sich nun einmal querschnittlich \u00fcber die gesamte IT-Dom\u00e4ne. Deshalb bringen gute Expert*innen einiges an Erfahrung mit. Und guter Rat war schlie\u00dflich schon immer teuer. Bei Software und Hardware verh\u00e4lt es sich \u00e4hnlich. Die Anforderungen an IT-Sicherheitsprodukte und -dienstleistungen sind oft deutlich strenger, was sich letztlich auch auf den Preis auswirkt. Dennoch: KMUs k\u00f6nnen die Preise in dieser Dom\u00e4ne oft schlicht nicht zahlen, weshalb darauf schlussendlich ganz verzichtet wird.<\/p>\n
Wer sich in einer sozialen Blase voller IT-Sicherheitsexpert*innen<\/a> und Tech Nerds bewegt, vergisst dabei schnell, wie akut das Problem von Low-Hanging Fruits in deutschen Unternehmen ist. Um dieses Problem und dessen Ursache zu verstehen, ist es zun\u00e4chst wichtig zu wissen, wie die Welt der Cyberkriminalit\u00e4t eigentlich tickt.<\/p>\n Cyberkriminalit\u00e4t ist, trotz aller Illegalit\u00e4t, in den meisten F\u00e4llen ein klassisches Gesch\u00e4ft. Professionell agierende Cyberkriminelle gehen Risiken ein, bringen Ressourcen auf und versuchen so unter Abw\u00e4gung von Kosten und Risiken ein bestimmtes Ziel zu erreichen, ganz gleich ob dieses Ziel wirtschaftlicher oder politischer Natur ist. Dabei unterscheiden sich sowohl die verf\u00fcgbaren Ressourcen als auch die Interessen von verschiedenen Angreifertypen zum Teil erheblich. Ein Forscherteam rund um den Threat-Intelligence-Analysten Greg Reith schlug 2016 eine Klassifikation von Akteuren<\/a> vor, mit der Unternehmen und Organisationen identifizieren k\u00f6nnen, welche Akteure typischerweise eine Bedrohung f\u00fcr sie darstellen k\u00f6nnen. Das von den Autoren vorgeschlagene Pyramidenmodell stellt insbesondere den Grad der Professionalisierung sowie die absolute \u00bbPopulation\u00ab verschiedener Angreifertypen dar.<\/p>\n Abbildung 1: Verschiedene Angreifertypen nach <\/em>Reith et al.<\/em><\/a> Der Grad der Professionalisierung nimmt nach oben hin zu. Gleichzeitig gibt es absolut gesehen naturgem\u00e4\u00df weniger hochprofessionelle Akteure als Amateure.<\/em><\/p>\n Wenn sich Cyberkriminelle f\u00fcr ein gro\u00dfes (oder gr\u00f6\u00dferes mittelst\u00e4ndisches) Unternehmen als Angriffsziel entscheiden, dann sind sie sich stets dessen bewusst, dass sie ein gro\u00dfes Risiko eingehen und einen massiven Einsatz an Know-how und technischen Ma\u00dfnahmen aufbringen m\u00fcssen. Typische Akteure, die gro\u00dfe Unternehmen angreifen, sind kriminelle Kleingruppen und Aktivisten (Tier III) bis hin zu Gruppierungen der organisierten Kriminalit\u00e4t (Tier IV). In einzelnen F\u00e4llen zielen auch staatliche Akteure (Tier V, Tier VI) auf Unternehmen ab, insbesondere wenn diese \u00bbtoo big to fail\u00ab sind oder eine anderweitig hohe Systemrelevanz haben.<\/p>\n Die Erfolgschancen von Kriminellen bei gro\u00dfen Unternehmen sind insgesamt relativ gering, denn die Gegenspieler der Kriminellen sind sich ihrer Attraktivit\u00e4t als Ziel typischerweise auch bewusst: Zum einen betreiben gro\u00dfe Organisationen einen hohen administrativen Aufwand zur Pr\u00e4vention und Detektion krimineller Handlungen, etwa durch die Durchf\u00fchrung von hausinternen Pentests<\/a>, Sicherheitsaudits<\/a> und den Betrieb von SOCs<\/a>. Zus\u00e4tzlich wird mit automatisierten Patches<\/a>, mehrstufigen Firewalls<\/a> oder VLANs<\/a> eine breite Palette an technischen Ma\u00dfnahmen ergriffen, um es Angreifenden schwer zu machen. Selbst im Falle eines erfolgreichen Angriffs wird damit versucht, den Schaden m\u00f6glichst begrenzt zu halten.<\/p>\n Wenn Angreifende unter diesen extremen Bedingungen also erfolgreich sein m\u00f6chten, dann gelingt ihnen das h\u00e4ufig nur mit Zero-Day-Schwachstellen<\/a>. Diese sind weder der \u00d6ffentlichkeit noch den Entwickler*innen der urspr\u00fcnglichen Software bis dato bekannt. Solche Zero-Days zu finden geh\u00f6rt zu den K\u00f6nigsdisziplinen in der IT-Sicherheit. Entsprechend gro\u00df sind die Belohnungen<\/a> f\u00fcr diejenigen, die Schwachstellen finden und an Betroffene melden; und entsprechend begehrt sind sie auch unter Kriminellen. Trivialere Schwachstellen, also die oben genannten Low-Hanging Fruits, sind in Gro\u00dfunternehmen eher die Ausnahme als die Regel und w\u00fcrden im Zuge von Audits wohl auch schnell entdeckt und beseitigt werden. Nat\u00fcrlich kann es aber auch hier nicht ausgeschlossen werden, dass \u00f6ffentlich erreichbare Systeme verwundbar f\u00fcr triviale Schwachstellen sind.<\/p>\n Insgesamt wird es f\u00fcr Cyberkriminelle also nicht einfacher, an Daten von Gro\u00dfunternehmen zu gelangen oder ihnen anderweitig zu schaden. Was w\u00fcrden Sie also aus Sicht eines Hackers machen? F\u00fcr die meisten von uns w\u00e4re die Sache klar: Wir w\u00fcrden uns ein leichteres<\/a> Ziel suchen!<\/p>\n 99,4 %<\/a> der deutschen Unternehmenslandschaft sind von kleinen- und mittelst\u00e4ndischen Unternehmen (KMUs) gepr\u00e4gt. Gleichzeitig generieren sie aber nur 34,4 %<\/a> des Gesamtumsatzes, w\u00e4hrend der Gro\u00dfteil von Gro\u00dfkonzernen erwirtschaftet wird. Aus diesen h\u00e4ufig zitierten Zahlen ergeben sich auch einige Implikationen f\u00fcr die IT-Infrastruktur von Unternehmen: IT-Abteilungen in KMUs haben nur ein \u00fcberschaubares Budget und Know-how. Oft werden s\u00e4mtliche IT-Dienste auch \u00fcber einen Dienstleister bezogen. Vor allem im klassischen Gewerbe ist noch immer kaum ein Bewusstsein f\u00fcr m\u00f6gliche Sch\u00e4den vorhanden, die eine mangelhafte IT-Infrastruktur auszul\u00f6sen vermag. Diese kritischen Umst\u00e4nde werden auch vom aktuellsten Jahresbericht des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI)<\/a> einmal mehr best\u00e4tigt.<\/p>\n Angreifende haben diesen Umstand schon vor Jahren erkannt, weshalb KMUs heutzutage zu einem beliebten Angriffsziel geworden sind. Die Gr\u00fcnde sind einleuchtend: Da KMUs weniger auf ihre \u00bbCyber Hygiene<\/a>\u00ab achten (k\u00f6nnen), ist die Unternehmenssoftware h\u00e4ufiger nicht mehr aktuell, und f\u00fcr veraltete Software existieren gut dokumentierte Schwachstellen-Datenbanken<\/a>.<\/p>\n Statt komplexer Zero Days k\u00f6nnen Angreifende nun also einfach diese Schwachstellen-Datenbanken durchforsten. Anschlie\u00dfend k\u00f6nnen sie ein passendes Skript aus dem Internet ausf\u00fchren<\/a>, das den Angriff f\u00fcr sie sogar automatisiert. F\u00fcr einen solchen Angriff braucht es keine gro\u00dfe Expertise<\/strong>, denn selbst Personen mit den grundlegendsten Programmierkenntnissen k\u00f6nnen ihn durchf\u00fchren. Daf\u00fcr braucht es auch kein Geld<\/strong>, denn die Datenbanken sind f\u00fcr jeden frei verf\u00fcgbar. Und zu guter Letzt braucht es hierf\u00fcr auch keine Zeit<\/strong>, denn solche Skripte sind innerhalb weniger Minuten heruntergeladen und ausgef\u00fchrt. Tiefer kann eine Frucht nicht h\u00e4ngen<\/strong>.<\/p>\n Auch wenn l\u00e4ngst nicht alle Angriffsversuche auf KMUs erfolgreich sind: Low-Hanging Fruits lassen sich besser automatisieren. Bei der gro\u00dfen Menge an Unternehmen ist es also auch dann noch lukrativ f\u00fcr Kriminelle, wenn nur ein kleiner Teil der Angriffe erfolgreich verl\u00e4uft. Erschwerend kommt hinzu, dass neben den erfahrenen professionellen Angreifenden nun auch solche hinzukommen, die deutlich weniger Expertise im Bereich IT-Sicherheit besitzen, zum Beispiel Kleinkriminelle (Tier II) oder sogenannte \u00bbScript Kiddies<\/a>\u00ab (Tier I). Und von denen gibt es ziemlich viele!<\/p>\n Aus Sicht der Angreifenden ist das Kosten-Nutzen-Verh\u00e4ltnis bei KMUs also insgesamt h\u00e4ufig besser als bei Gro\u00dfkonzernen. Daher geh\u00f6ren mittlerweile auch Meldungen \u00fcber IT-Sicherheitsvorf\u00e4lle in KMUs zur bitteren Realit\u00e4t im Alltag.<\/p>\n Aber wieso \u00e4ndert sich trotz ausgiebiger medialer Berichterstattung nichts an der Situation in KMUs? Die klassische Antwort von Fachkundigen w\u00fcrde lauten: Diese Frage ist nicht einfach zu beantworten.<\/p>\n Vorab sei gesagt: Die Sensibilit\u00e4t f\u00fcr IT-Sicherheit bei KMUs steigt. Laut einer von Heise in Auftrag gegebenen Studie<\/a> ist IT-Sicherheit f\u00fcr einen Gro\u00dfteil der mittelst\u00e4ndischen Unternehmen sogar wichtiger als Nachhaltigkeit. Dass in KMUs dennoch ausgerechnet die IT-Sicherheit zu kurz kommt, hat mehrere Gr\u00fcnde.<\/p>\n Einer davon ist, dass sich Investitionen in IT-Sicherheit vor den Entscheidungsinstanzen in Unternehmen generell nur schwer<\/strong> begr\u00fcnden lassen. Vordergr\u00fcndig scheinen die entstehenden zus\u00e4tzlichen Kosten von Hardware, Software und Personal nicht zur gesamtwirtschaftlichen Entwicklung des Unternehmens beizutragen. Das Management sieht daher h\u00e4ufig keinen akuten Handlungsbedarf.<\/p>\n Dass dieser Schein tr\u00fcgt, wird den Verantwortlichen h\u00e4ufig erst dann klar, wenn der Schaden bereits entstanden ist. Eine Investition in IT-Sicherheit ist also stets proaktiver Natur, und diese wirkt sich nun einmal nur indirekt auf den Erfolg eines Unternehmens aus. Aus Sicht eines Unternehmers oder einer Unternehmerin w\u00fcrden Sie schlie\u00dflich auch nicht den wirtschaftlichen Nutzen eines Feuermelders oder einer Alarmanlage hinterfragen. Wieso hat sich diese Denkweise noch nicht bei der IT-Sicherheit etabliert?<\/p>\n Erschwerend kommt hinzu, dass nach wie vor ein Mangel an IT-Sicherheitsexpert*innen auf dem Markt vorherrscht, was sich u. a. in den \u00fcppigen Tagess\u00e4tzen<\/a> dedizierter IT-Sicherheitsberater widerspiegelt. Dabei sind diese Preise nicht einmal ungerechtfertigt: IT-Sicherheit erstreckt sich nun einmal querschnittlich \u00fcber die gesamte IT-Dom\u00e4ne. Deshalb bringen gute Expert*innen einiges an Erfahrung mit. Und guter Rat war schlie\u00dflich schon immer teuer. Bei Software und Hardware verh\u00e4lt es sich \u00e4hnlich. Die Anforderungen an IT-Sicherheitsprodukte und -dienstleistungen sind oft deutlich strenger, was sich letztlich auch auf den Preis auswirkt. Dennoch: KMUs k\u00f6nnen die Preise in dieser Dom\u00e4ne oft schlicht nicht zahlen, weshalb darauf schlussendlich ganz verzichtet wird.<\/p>\nCyberkriminalit\u00e4t: Eine klassische Kosten-Nutzen-Rechnung<\/strong><\/h3>\n
<\/a><\/p>\nAngriffe auf Gro\u00dfunternehmen sind enorm aufw\u00e4ndig<\/strong><\/h3>\n
KMUs als neuer Markt f\u00fcr Cyberkriminelle<\/strong><\/h3>\n
\nAbbildung 2: Ausschnitt aus der ExploitDB-Datenbank f\u00fcr die bekannte Schwachstelle ‚EternalBlue‘ aus dem Jahre 2017. Das Skript, das den Angriff ausf\u00fchrt, kann mit wenigen Handgriffen geladen und ausgef\u00fchrt werden.<\/em><\/p>\nHochkonjunktur f\u00fcr Script Kiddies und Kleinkriminelle
\n<\/strong><\/h3>\nIT-Sicherheit und KMUs: It’s complicated
\n<\/strong><\/h3>\nIT-Sicherheitsl\u00f6sungen: Teuer, aber daf\u00fcr wenigstens kompliziert?
\n<\/strong><\/h3>\n