Die Cyberrisken bei klein- und mittelständischen Firmen steigen stetig. Gleichzeitig wächst das Arsenal von zukunftsweisenden Lösungen und Maßnahmen.

Studien zeigen, dass mittelstständische Unternehmen mit einer Vielzahl an Herausforderungen zu kämpfen haben, wenn es darum geht, sich vor Cyberrisken zu schützen. Dazu gehören etwa das fehlende Security-Bewusstsein der Mitarbeiter, unzureichendes Security-Knowhow, die mangelhafte Durchsetzung von Sicherheitsstandards, ein zu geringes Budget für Risk Management oder schlicht und einfach der Fachkräftemangel.

Gleichzeitig steigen die Bedrohungen etwa in Form von zielgerichteten Angriffen, die nicht selten überhaupt nicht oder zu spät erkannt werden. Was also tun?

Die Cybersecurity-Industrie bietet eine Vielzahl an Ansätzen und Lösungen – siehe etwa Zero Trust, Security by Design, Managed Security und vieles mehr –, die dafür sorgen, dass sich auch mittelständische Unternehmen in einer zunehmend unsicheren Welt behaupten können. Gemeinsam mit entsprechenden Strategien und bewusstseinsbildenden Maßnahmen lassen sich aktuelle Herausforderungen meistern.

Die Experten-Runde im Detail:

– Bernhard R. Fischer, Senior Security Consultant bei IQSol
– Karl Freundsberger, Country Manager Austria bei Fortinet
– Franz Großmann, Geschäftsführer Schoeller Network Control
– Martin Puaschitz, Obmann der Fachgruppe für Unternehmensberatung, Buchhaltung und Informationstechnologie (UBIT) in Wien
– Bert Skaletski, Resident CISO, EMEA bei Proofpoint
– Siegfried (Ziggy) Schauer, Associate Partner Security Services bei IBM
– Michael Unterschweiger, Regional Director Switzerland and Austria bei Trend Micro

Ein mehrseitiger Bericht dieser Expertendiskussion erscheint in der ITWELT, Ausgabe 15, am  28. September 2022  sowie auch online auf www.itwelt.at

source
Dauer: 01:28:58

Inhalt:

Management Summary – Service Security im Mittelstand (Roundtable)

Lagebild & Trends

• Jedes Unternehmen ist Ziel. Angriffe sind industrialisiert („Crime-as-a-Service“), professionell organisiert und zunehmend standardisiert (Ransomware, Phishing, BEC, Lieferketten).

• Mensch im Fokus. 80–90 % erfolgreicher Angriffe starten über Fehlverhalten/Unachtsamkeit; Homeoffice macht aus einer Firma „200 Niederlassungen“.

• Cloud & Multi-Cloud. Mehr SaaS/Cloud = mehr Angriffsfläche und Shared-Responsibility: Security ist nicht automatisch „inklusive“.

• OT/Produktion. Industrie & Embedded/IoT rücken stärker in den Fokus; Segmentierung und Zero Trust werden Pflicht.

• Konsolidierung. Weg von „Best of Breed“-Insellösungen hin zu Plattformen mit hoher Integration, Automatisierung sowie EDR/XDR, SIEM/SOAR.

• Managed Security boomt. MSS/MDR/IR-Retainer kompensieren Fachkräftemangel und erhöhen Reaktionsfähigkeit.

• Regulatorik & Versicherung. NIS2 erweitert Melde-/Sorgfaltspflichten; Cyber-Versicherungen zahlen nur bei nachweisbaren Mindestkontrollen – sie ersetzen keine Security.

Hauptherausforderungen im KMU

• Ressourcen & Skills: knappe Budgets, fehlende Spezialisten, hohe Tool-Komplexität.

• Altsysteme & Schatten-IT (inkl. Homeoffice-Geräte, IoT).

• Geringe Awareness/Fehlerkultur: Vorfälle werden zu selten gemeldet und geübt.

• Lieferkette: Dienstleister und kleine Zulieferer oft schwächstes Glied.

Was wirkt – Prioritäten für 90 Tage

1. Verantwortung klären: Sicherheits-Owner/CISO-Rolle benennen (intern oder extern).

2. Baseline absichern (Top 10):

   • Inventar (Assets/Software/Cloud-Dienste) & Risiko-Ranking

   • MFA überall, besonders für Admin/Remote/Cloud

   • Patch- & Schwachstellen-Management (inkl. Priorisierung/Automatisierung)

   • EDR/XDR auf Servern & Endpoints, E-Mail-Security & DNS/URL-Filter

   • Backup 3-2-1, Offline-Kopie, Restore-Tests & Notbetrieb (RTO/RPO)

   • Least Privilege, Admin-Trennung, Härtung & MDM für Mobilgeräte

   • Netz-Segmentierung/Zero Trust, besonders für OT/IoT

   • Zentrale Logs/Monitoring (SIEM-Light, Anomalie-Detektion)

   • Lieferkette prüfen (Sicherheitsklauseln, Mindeststandards)

   • Grundschutz-Check (z. B. CIS, ISO 27001-Controls) – „Quick Wins“ zuerst

3. Menschen trainieren: kurzes, regelmäßiges Awareness-Programm mit Phishing-Simulationen; klare „Was tun, wenn…“-Anleitung.

4. Incident-Response: IR-Plan, Verantwortlichkeiten, Kommunikations-/Meldewege (CERT, Behörde, Kunden), Tabletop-Übungen.

5. Managed Services nutzen: 24/7 Überwachung/Response (MDR), Schwachstellen-/Patch-Service, E-Mail-/Web-Security as a Service.

6. Cyber-Versicherung: Police an Controls ausrichten (MFA, Patching, Backup, IR-Plan), Lücken schließen.

Empfehlungen für Führung & Einkauf

• Security = Geschäftsrisiko. Entscheidend ist Resilienz & Wiederanlauf, nicht 100 % Prävention.

• Klein starten, konsequent iterieren: 1–2 Use-Cases hart umsetzen (z. B. MFA + EDR + Backups), messen, skalieren.

• Produkte ≠ Programm: Tool-Kauf ohne Betrieb/Prozess bringt wenig; Run & Ownership einplanen.

• Transparenz fördern: Vorfälle melden (NIS2/CERT) und Learnings teilen – Stigma abbauen.

Impulse an Politik/Verbände/Bildung

• Digitale Grundbildung ab Volksschule (Passwörter, Phishing, Privatsphäre); Lehrerfortbildung.

• KMU-Förderungen & Vorlagen (Checklisten, Musterverträge, Awareness-Material) + Community-Austausch über Kammern/Verbände.

• „Pickerl/TÜV“-analoge Mindestprüfungen für definierte Branchen/Lieferketten.

• Threat-Intel-Sharing zwischen Staat, Branchen und Anbietern ausbauen.

Kernbotschaften

• Sicherheit ist Prozess, nicht Produkt.

• Menschen, Baseline, Backups, Reaktion – das sind die Hebel mit dem besten Return.

• Cloud/OT brauchen explizite Security (Shared Responsibility).

• Externes Können einkaufen, wo interne Kapazität fehlt – und regelmäßig üben.