Cybersecurity? Das betrifft doch nur die IT-Abteilung!
Die IT-Abteilung sorgt zwar in der Regel als Hauptverantwortlicher für die Umsetzung entsprechender Schutzmaßnahmen und Lösungen sowie für die regelmäßige Überprüfung von Richtlinien, alle anderen Mitarbeiter sind allerdings ebenso wichtig für die Wahrung eines stetigen Sicherheitsniveaus. Nur wenn alle Personen gleichermaßen gut geschult sind, wie sie z. B. betrügerische E-Mails erkennen oder wie sie mit Hyperlinks umzugehen haben, lassen sich unnötige Sicherheitsvorfälle vermeiden.
Mein Unternehmen soll gefährdet sein? Das ist doch gar nicht interessant genug für potenzielle Angreifer.
Einige Branchen sind für Angreifer scheinbar interessanter als andere und werden deshalb auch häufiger Opfer von Cyberangriffen. Im Grunde speichert aber jedes Unternehmen in irgendeiner Art und Weise sensible Daten – egal ob es sich dabei um Adressen, Patientendaten oder Kreditkartennummern handelt. Einem Hacker muss es bei einem Angriff nicht zwingend immer nur darum gehen, die erbeuteten Daten gewinnbringend im Darknet zu verkaufen. Ebenso gut könnte ein persönlich motivierter Racheakt eines ehemaligen Mitarbeiters oder ein Angriff des Konkurrenzunternehmens die Geschäftsprozesse lahmlegen.
Cyberkriminelle interessieren sich für KMU? Die großen Unternehmen lohnen sich doch viel mehr.
So wie einige Unternehmer glauben, dass sie wegen ihrer Branchenzugehörigkeit nicht gefährdet sind, gehen andere wiederum fälschlicherweise davon aus, dass ihre Unternehmen durch ihre geringe Größe nicht relevant sein könnten. Klein- und mittelständische Unternehmen können allerdings zu einem leichten Ziel für Hacker werden, da sie häufig aus einem Mangel an Ressourcen nicht über die fortschrittlichsten Security-Lösungen verfügen oder ihnen schlichtweg ein qualifizierter IT-Sicherheitsexperte fehlt. Selbst wenn sie bei einem Massenangriff also nur zufällig ins Visier der Cyberkriminellen geraten und nicht gezielt attackiert werden, geben sie gerade deshalb ein einfaches, oft auch lohnenswertes Ziel ab.
Mein Schutz soll nicht ausreichend sein? Aber ich habe doch eine Firewall und Antivirensoftware.
Beide Arten der Abwehrmaßnahmen sind wichtig, bilden jedoch nur einen Teil eines umfassenden Sicherheitskonzeptes. Potenzielle Gefahren werden durch einfachere Software häufig nur mit bereits bekannten Gefahren abgeglichen. Vor allem dann, wenn die Mitarbeiter nicht ausreichend sensibilisiert wurden, besteht weiterhin das Risiko, das neuartige Schadsoftware unerkannt ins Firmennetzwerk gelangen könnte.
Viel hilft viel!
Wichtig ist nicht unbedingt, wie viele Sicherheitsmaßnahmen Sie in Ihrem Unternehmen einsetzen, sondern dass diese auch zu Ihren individuellen Anforderungen und der Risikolage Ihres Unternehmens passen. Mehr ist beim Thema Schutz nicht automatisch auch immer besser, da es ein insgesamt stimmiges Konzept sein muss.
Wenn bei mir ein Hacker angreifen würde, würde ich das sofort merken.
Das wäre wünschenswert, im Durchschnitt dauert es jedoch 200 Tage, bis ein Hackerangriff überhaupt bemerkt wird – häufig auch nur durch Zufall. Gerade deshalb ist es umso wichtiger, ein kontinuierliches Monitoring zu haben und auch die Mitarbeiter für den potenziellen Ernstfall zu schulen. Denn je länger ein Hacker unbemerkt auf Ihre Systeme zugreifen kann, desto größer ist letzten Endes auch der angerichtete Schaden.
Ich bin zu 100 % geschützt, da ich ein Sicherheitskonzept habe.
Leider reicht es nicht, nur ein Sicherheitskonzept zu haben. Unternehmensdaten sind jederzeit in Gefahr, da neue Malware- und Angriffsmethoden schneller entwickelt werden, als dass sie bekannt werden. Cybersicherheit ist keine einmalige Angelegenheit oder etwas, dass man wie eine Inventur nur einmal im Jahr betrachtet. Es sollte ein kontinuierlicher Prozess sein, der überwacht, getestet und gepflegt wird – und bei dem alle Mitarbeiter beteiligt werden.