„Stellen Sie sich einen Tag ohne IT vor!“

Wo ist das Bewusstsein am geringsten ausgeprägt?

Überall dort, wo die IT nicht direkt zum Umsatz des Unternehmens beiträgt. Dabei wird aber oft übersehen, wo IT und digitale Systeme bereits überall drinstecken. Klassisches Beispiel sind Tischler oder Metallverarbeiter, die mit CNC-Maschinen arbeiten. Aber auch ein Bäcker verwendet etwa für die Bestellung seiner Waren und Rohstoffe heutzutage meist IT und könnte bei einem Ausfall nicht mehr lange uneingeschränkt produzieren. Das geht bis zum Nagelstudio oder Friseurladen, die Online-Reservierungen anbieten oder im Worst-Case ihren Mitarbeitern die Gehälter nicht mehr überweisen könnten.

Was raten Sie daher KMU?

Ich rate jedem Unternehmen, sich einmal gut zu überlegen: Was mache ich, wenn ich einen Tag oder zwei ohne IT auskommen muss? In welcher Form kann ich meiner Geschäftstätigkeit noch nachgehen? Was geht noch? Was geht nicht mehr? Davon abhängig sind dann auch die Maßnahmen, die ich setzen muss, um mich zu schützen. Die allermeisten Unternehmen werden dabei feststellen, dass ohne IT nicht mehr viel geht und ihre Abhängigkeit von funktionierender digitaler Infrastruktur hoch ist.

Sind kleine und mittelständische Unternehmen überhaupt im Visier von Hackerangriffen?

Es wäre ein Trugschluss zu glauben, dass Cyberattacken nur die Großen treffen. Auch wenn größere Unternehmen das primäre Ziel sind, erwischt es genauso KMU – vielfach als Beifang. Diese trifft es dann umso unvorbereiteter. Viele werden Opfer von Ransomware, einem Erpressungstrojaner, der die Daten eines Unternehmens verschlüsselt und nur gegen Lösegeld freigibt. Gerade bei kleineren Unternehmen können die geforderten Beiträge rasch existenzbedrohend werden.

Wie erkennt ein Unternehmen, ob es ausreichend geschützt ist? Gibt es einen IT-Fitness-Check?

Gewisse Standards sollte jedes Unternehmen einhalten – dazu zählen Virenschutz, Firewall und ein Back-up. Es gibt ISO-Normen für Cybersicherheit sowie die neue NIS2-Richtlinie der EU. Empfehlenswert ist es, eine Risikobewertung von einem neutralen Fachmann bzw. einem IT-Dienstleister durchführen zu lassen. Übrigens eine Leistung, die von der Förderungsaktion Cyber!Sicher der SFG gedeckt ist. Ziel dieser Beratung ist es, etwaige Schwachstellen zu identifizieren und Maßnahmen zur Erhöhung der IT-Sicherheit einzuleiten.

Der beliebteste Fehler im Bereich Cybersicherheit?

Eine Maßnahme ist immer nur so gut, wie sie auch gelebt wird. Häufig kommt es vor, dass zwar in Maßnahmen investiert wird, ohne sie allerdings einmal geprüft und getestet zu haben – ähnlich einer Brandschutzprobe in der analogen Welt. Ich rate jedem Unternehmen, einmal den Ernstfall zu proben – um zu sehen: Funktioniert das Back-up wirklich bzw. wie lange brauche ich, um meine Daten wiederherzustellen? Oft scheitert es in der Praxis an ganz banalen Dingen wie z.B.: Wen rufe ich im Falle eines Hackerangriffs an? Daher empfehle ich dringend eine IT-Notfallkarte mit den wichtigsten Telefonnummern und Verhaltensregeln für den Ernstfall im Betrieb aufzuhängen. Auch die WKO betreibt eine Cyber-Security-Hotline unter 0800 888133.

Gilt NIS2, die neue Cybersecurity-Richtlinie der EU, auch für kleine Unternehmen?

Grundsätzlich gilt die Richtlinie für große und mittlere Unternehmen. Diese sind allerdings angehalten, die Sicherheit entlang ihrer gesamten Lieferketten herzustellen – womit auch viele kleine Lieferanten, vielfach KMU, betroffen sind. Auch diese müssen dann NIS2-Konformität nachweisen, wenn sie für den Großbetrieb ein potenzielles Einfallstor darstellen – das betrifft in Summe nicht wenige Firmen. NIS2-Konformität ist übrigens ebenso Teil der Förderungsaktion Cyber!Sicher.

Der wichtigste Trend im Bereich Cybersicherheit?

Ganz klar KI – sowohl auf Seiten der Angreifer als auch der Verteidiger. Leider sind die Angreifer meist einen Schritt voraus. KI ermöglicht immer personalisiertere, kontextbezogene Angriffe. Mitarbeiterinnen und Mitarbeiter müssen sich dessen bewusst sein und entsprechend achtsam – etwa im Email-Verkehr – agieren.

Ihr Top-Tipp in einem Satz?

Wie oben erwähnt, empfehle ich, sich einfach einmal hinzusetzen und sich zu überlegen: Was könnte mein Betrieb ohne IT noch leisten? Welche Folgen hat ein Tag ohne IT-Systeme für mich? Ein Gedankenexperiment, das einem die Notwendigkeit von Cybersicherheits-Maßnahmen rasch bewusst macht.