In­for­ma­ti­ons­si­cher­heit für KMU

Informationssicherheit für den Mittelstand

Die Zeiten haben sich geändert – die Anforderungen an Cyber Security für KMU auch. Viele KMU legen ein rasantes Wachstum vor und gehören in ihren Branchen oft zu den Marktführern. Daher haben sie auch einen entsprechend hohen Bedarf, ihr oft einzigartiges Know-how und ihre Geschäftsgeheimnisse – im Prinzip aber alle ihre Daten und Informationen – vor fremdem Zugriff zu schützen.

KMU verfügen aufgrund ihrer beschränkten Ressourcen allerdings nur selten über die notwendigen Mittel für eine lückenlose Informationssicherheit auf Enterprise-Niveau – selbst wenn das Bewusstsein für die Sicherheitsrisiken im Gesamtbild Informationstechnik und Datensicherheit vorhanden ist. Der Fachkräftemangel in der IT-Branche und die enormen Kosten für den Betrieb eines eigenen Security Operations Centers (SOC) sind dabei nur zwei der vielen Probleme, die KMU bei der Optimierung ihrer Informationssicherheit im Weg stehen.

Dies ist umso problematischer, als sich der Mittelstand – nicht zuletzt angesichts der angespannten geopolitischen Situation und der zunehmenden Supply-Chain-Angriffe – immer mehr Attacken durch Cyberkriminelle ausgesetzt sieht. Das Spektrum reicht dabei von massenhaft verschickter Ransomware bis hin zu gezielten professionellen Angriffe gegen einzelne Unternehmen. Immer häufiger nutzen die Angreifer auch Cloud-Dienste als Vektor, die KMU aus Kosten- und Effizienzgründen besonders oft nutzen (müssen).

Eine Umfrage der HDI Versicherungen aus dem Jahr 2024 ergab, dass 53 % der kleinen und mittelständischen Unternehmen bereits zum Ziel einer Cyber-Attacke geworden sind. Dieser Wert spiegelt aber nicht das ganze Ausmaß der Angriffe wider, sondern dokumentiert ausschließlich diejenigen Vorfälle, die von Unternehmen auch öffentlich zugegeben werden.

Dieser Eindruck wird durch die Gothaer KMU-Studie 2024 bestätigt, nach der das Thema Cyberkriminalität für 48 % der KMU das höchste Risiko darstellt. Laut der Studie rechnen zudem 37 % der kleinen Unternehmen damit, dass das Risiko, Opfer einer Cyber-Attacke zu werden, in den nächsten zwölf Monaten weiter steigen wird. Nicht eingerechnet sind dabei jene Informationssicherheitsrisiken, die gar nicht aus dem Netz kommen, sondern interner, meist personeller Natur sind, und im Rahmen einer umfassenden Informationssicherheit eine bedeutende Rolle spielen.

ISO 27001 für kleine Unternehmen

Als Informationssicherheitsbeauftragter (ISB) und Datenschutzbeauftragter eines kleinen oder mittleren Betriebes haben Sie heute kaum mehr eine Wahl: Sie müssen die Sicherheit Ihrer schützenswerten Daten und Informationen gewährleisten. Dabei geht es nicht alleine um die Sicherheit in der Informationstechnik. Auch bauliche Maßnahmen, organisatorische Abläufe und Prozesse sowie personelle Vorgaben müssen berücksichtigt werden. Eine zentrale Stellung in der Informationssicherheit nimmt zudem der Faktor Mensch ein, den es entsprechend zu berücksichtigen gilt.

Der Goldstandard für eine systematische Informationssicherheit ist die internationale Norm ISO 27001. Diese bietet als etablierte Prüfgrundlage einen Leitfaden für die Implementierung eines Informationssicherheitsmanagementsystems – und das für Unternehmen gleich welcher Organisationsstruktur, Ausrichtung oder Größe.

Einen guten Einstieg für kleine Unternehmen bietet der Anhang A der neuen ISO/IEC 27001:2022, der in der aktualisierten Form sämtliche Aspekte der Informationssicherheit adressiert – von organsiatorischen Sicherheitsmaßnahmen über personenbezogene und physische Maßnahmen bis hin zu technischen Maßnahmen.

Verbesserte IT-Sicherheit für KMU durch neue Controls

Für kleine Unternehmen bietet sich die ISO-Norm schon aufgrund des pragmatischen Charakters von Anhang A an. Er umfasst insgesamt 93 Informationssicherheitsmaßnahmen (Controls), von denen 11 bei der letzten Aktualisierung 2022 neu eingeführt wurden.

Die neuen Controls fokussieren sich dabei primär auf die Sicherheit von Daten und Strukturen im digitalen Bereich und bieten so wertvolle Leitlinien, mit denen sich die Informationssicherheit für KMU stark verbessern lässt. Einige der Neuerungen im Überblick und wie kleine Unternehmen von diesen profitieren können: 

• 5.7 Bedrohungsintelligenz, 8.16 Überwachung von Aktivitäten, 8.23 Webfilterung
  Diese Controls zur Detektion und Prävention und dem rechtzeitigen Erkennen von Cyber-Angriffen können für KMU in Sachen Sicherheit und Business Continuity Management von geradezu existenzieller Bedeutung sein. Kleine Unternehmen sind durch ihre geringen Ressourcen nicht nur anfällig für Cyberkriminalität, sondern können im Falle von Ransomware schnell an die Grenze zur allgemeinen Zahlungsunfähigkeit geraten.
• 5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
  Da KMU häufig auf externe Cloud-Dienste zurückgreifen, ist die Implementierung geeigneter Prozesse für den Erwerb, die Nutzung, die Verwaltung und den Ausstieg von beziehungsweise aus Cloud-Diensten besonders relevant. Die Maßnahme berücksichtigt dabei auch die Verantwortlichkeiten zwischen Cloud-Dienstleister und der Cloud-nutzenden Organisation für eine angemessene Cloud-Sicherheit. 
• 5.30 IKT-Bereitschaft für Business Continuity
  Als Teil mitunter tief integrierter Lieferketten – und um die finanziellen Ausfälle so gering wie möglich zu halten – ist Business Continuity auch für kleine Unternehmen von höchster Wichtigkeit. Das Control "IKT-Bereitschaft für Business Continuity" hilft bei der Schaffung einer angemessenen Organisationsstruktur im Störfall und IKT-Kontinuitätsplänen einschließlich Reaktions- und Wiederherstellungsverfahren.
• 8.9 Konfigurationsmanagement
  Der performante und sichere Betrieb zeitgemäßer IT-Landschaften hängt maßgeblich von der sauberen Konfiguration aller beteiligten Systeme, Komponenten und Anwendungen ab. Das Gute für die IT-Sicherheit kleiner Unternehmen: Einmal konfiguriert, lassen sich die zu implementierenden Überwachungsprozesse größtenteils automatisieren, erzeugen also kaum zusätzlichen Personalaufwand. Das sichere Konfigurationsmanagement in der Informationstechnologie fällt in den Themenbereich technologische beziehungsweise technische Maßnahmen.
• 8.10 Löschung von Informationen, 8.11 Datenmaskierung, 8.12 Verhinderung von Datenlecks
  KMU schaffen sich häufig eine Nische im Markt durch einzigartiges Know-how. Dieses spezielle Wissen ist der Schlüssel zu ihrem Erfolg und dementsprechend schützenswert. Die tech­ni­schen Maß­nah­men in der In­for­ma­ti­ons­si­cher­heit unterstützen Unternehmen dabei, ungewollte Datenabflüsse und Datenverluste zu vermeiden und die Angriffsfläche für Hacker und Industriespionage zu minimieren.

Gerade mit Blick auf die bald in Kraft tretende NIS-2-Richtlinie für Industrielle Informationssicherheit sind die Controls im Anhang A von ISO 27001 für KMU von großem Wert.

NIS2: Warum KMU ihre Informationssicherheit stärken müssen

Die Europäische Union hat Ende 2022 die neue Version der Netz- und Informationssicherheitsrichtlinie (NIS) veröffentlicht. NIS2 stellt neue Anforderungen an Unternehmen aus kritischen Sektoren hinsichtlich deren Informationssicherheit und wird mit Blick auf den Schutz von Daten und IT-Struktren auch viele KMU betreffen.

Laut der NIS2-Richtlinie (NIS2Um­suCG) müssen Unternehmen ab 50 Mitarbeitern und 10 Mio. Euro Umsatz aus den relevanten Sektoren die Anforderungen erfüllen. KMU sind Unternehmen mit bis zu 249 Mitarbeitern und 50 Mio. Euro Umsatz, sie sind also direkt betroffen. Über die Lieferkette, also als Zulieferer eines betroffenen Unternehmens, können aber auch weitere, noch kleinere Unternehmen indirekt von NIS2 betroffen sein. In der länderspezifischen Umsetzung, die Anfang 2025 gültig wird, können diese Grenzen aber auch noch weiter nach unten verschoben werden.

KMU haben also nicht mehr viel Zeit, sich auf die neuen Anforderungen vorzubereiten. Die gute Nachricht: Mit ISO 27001 können kleine Unternehmen einen großen Schritt in die richtige Richtung machen, denn die Norm deckt bereits einen großen Teil (ca. 95 %) der NIS-2-Anforderungen ab.

Informationssicherheit für KMU – Fazit

Vor dem Hintergrund aktueller Bedrohungsszenarien sollten auch kleine und mittlere Unternehmen (KMU) sowie öffentliche Verwaltungen und Kommunen ein Managementsystem für Informationssicherheit nach der international anerkannten Norm ISO 27001 umsetzen und eine Zertifizierung ins Auge fassen.

Der Vorteil eines wirksamen Managementsystems liegt nicht nur im umfassenden und tiefgehenden Anforderungskatalog, sondern – und das ist für KMU besonders interessant – im explizit praxisorientierten Anhang A, der in der neuen Ausgabe von 2022 über vier Kapitel hinweg 93 Sicherheitsmaßnahmen (Controls) auflistet.

Bei der Informationssicherheit für KMU hat nun aber nicht nur die Notwendigkeit zugenommen, ein vollwertiges ISMS gemäß ISO 27001 zu implementieren und zertifizieren zu lassen – Stichwort "NIS-2" –, auch haben sich die strukturellen Voraussetzungen teils grundlegend verändert: Denn heute verfügen bereits viele KMU über ein zertifiziertes Qualitätsmanagementsystem nach ISO 9001, sodass die Grundlagen für ein integriertes Managementsystem zusammen mit ISO 27001 bereits vorhanden sind und somit Zeit, Personal und Kosten gespart werden können. 

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fra­gen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.