Cybersicherheit im Mittelstand: Hier können Unternehmen Hilfe bekommen

Mit der Resonanz auf seinen neuen Workshop ist Jan Rogall zufrieden. Er habe fast ausschließlich gutes Feedback erhalten, sagt der Senior Projektmanager der Transferstelle Cybersicherheit, die vom Bundeswirtschaftsministerium finanziert wird. In seinem Workshop lernen derzeit 30 IT-Beauftragte aus kleinen und mittelständischen Unternehmen, wie sie die Informationssicherheit in ihrem Unternehmen Schritt für Schritt verbessern.

„Zunächst geht es im Workshop beispielsweise darum einzuordnen, welche Art Daten auf welche Weise geschützt werden müssen und wie dies in die Prozesse des jeweiligen Unternehmens passt“, sagt Rogall. „Unsere Teilnehmer sollen ins Tun kommen, aus der Praxis berichten und Erfahrungen austauschen.“ Ein Fall: Eine unzureichend geschützte Steuerungsdatei einer Fertigungsmaschine bewirkte einen Produktionsausfall. „Dies wäre mit entsprechendem Know-how zu verhindern gewesen“, sagt Rogall.

© Studio Monbijou

Ein halbes Jahr mit mindestens fünf Sitzungen á zwei Stunden dauert der Workshop. Neben den ersten 30 Teilnehmern liegen bereits 85 weitere Anmeldungen vor. Am Ende sollen die Teilnehmer in der Lage sein, ein sogenanntes Informationssicherheits-Managementsystem (ISMS) im Unternehmen zu verankern. Das ISMS hilft, IT-Risiken zu erkennen, zu bewerten und zu mindern. „Wir wollen mittelständische Unternehmen widerstandsfähiger gegen Cyberangriffe machen”, sagt Rogall.

Für kleine und mittelständische Unternehmen (KMU) ist die Transferstelle in Berlin nicht die einzige Anlaufstelle im Ringen um mehr Cybersicherheit. Denn ob im Bund, im Land oder in den Kommunen: Die Zahl der staatlichen Angebote wächst, mit denen sich vor allem KMU gegen Cybergefahren wappnen können.

Denn die sind besonders bedroht. Gleich drei Tendenzen erhöhen den Druck. Zum einen steigt die Zahl der Angriffe gegen Unternehmen. Laut dem TÜV wurde im Jahr 2024 noch rund jedes siebente Unternehmen Opfer eines Cyberangriffs. Im Jahr zuvor war es noch jedes Neunte.

Fördergeld für mehr IT-Sicherheit

Zum zweiten richten Attacken zunehmend größeren Schaden an. So hat der Gesamtverband der Versicherer (GDV) für das Jahr 2023 einen durchschnittlichen Schaden pro Cybervorfall von gut 45.000 Euro errechnet – acht Prozent mehr als im Vorjahr. Und drittens mangelt es gerade KMU an IT-Personal. Der Verband von Cybersicherheitsexperten, International Information System Security Certification Consortium (ISC2), geht von 120.000 fehlenden IT-Sicherheitsexperten in Deutschland aus.

Die wenigen verfügbaren Experten heuern bevorzugt in Großunternehmen an. „Der KMU kann als potenzieller Arbeitgeber nicht gegen die Gehälter bei Großunternehmen oder IT-Dienstleistern bestehen“, heißt es im aktuellen Lagebericht des Bundesamts für die Sicherheit in der Informationstechnik (BSI).

Auch das BSI greift Kleinunternehmen bei ihrem Bestreben nach mehr Cybersicherheit mit einer Reihe von Maßnahmen und Hilfen unter die Arme. Über seine Internetseiten können sich Unternehmen beispielsweise zum sogenannten Cybersicherheits-Check anmelden.

Dabei führen Partner-IT-Dienstleister des BSI mit den Unternehmen Interviews durch. Anhand standardisierter Fragen ermitteln sie deren Grad an Cyberresilienz. Am Ende des Audits steht zudem eine Empfehlung, an welchen Stellen nachgebessert werden sollte. Die Bundesländer haben einige Förderprogramme aufgelegt, die unter anderem Kosten für den Cybersicherheits-Check zumindest teilweise übernehmen.

Wenn die Cyberwehr ausrückt

Die Länder bieten bei Cyberattacken zudem mit ihren Zentralen Ansprechstellen Cybercrime (ZAC) spezialisierte polizeiliche Hilfe für Unternehmen. Darüber hinaus schützt etwa in Hessen das Kompetenzzentrum Hessen3 c des Landes Kleinunternehmen unter anderem vor den rechtlichen Folgen eines Cyberangriffs. Die Experten beraten zu gesetzlichen Meldepflichten bei Datenverlusten.

Baden-Württemberg hat mit der Cyberwehr eine Anlaufstelle speziell für KMU ins Leben gerufen. Ein beispielhafter Service: Im Falle einer Attacke untersucht die Cyberwehr den Vorfall in einem langen Telefonat mit den Betroffenen und vermittelt dann Experten für die Bewältigung des Angriffs.

Nordrhein-Westfalen hat das Städtedreieck Remscheid-Solingen-Wuppertal zur Modellregion für Cybersicherheit ausgerufen – als Vorbild für andere Regionen. In rund vier Wochen könnten erste Gelder fließen. Die finanzielle Unterstützung über die dortige Wirtschaftsförderung wird auch KMU im Kampf gegen Cyberattacken helfen.

„Gerade bei den kleinen und mittelständischen Unternehmen sind viele damit überfordert, für IT-Sicherheit zu sorgen“, sagt Stephan A. Vogelskamp, Geschäftsführer der Bergischen Struktur- und Wirtschaftsförderungsgesellschaft.

Geplant sind unter anderem eine Austauschplattform für Unternehmen und eine Förderberatung. Langfristiges Ziel ist der Aufbau einer sogenannten Cyberfeuerwehr für die Region. „Die wird im Ernstfall einer Attacke zur Schadensbegrenzung zu Unternehmen ausrücken“, sagt Vogelskamp. Firmen sollen sich an ihrem Betrieb finanziell beteiligen und sich so die Kosten teilen. „Die Signale aus der Wirtschaft dazu sind sehr positiv“, sagt der Geschäftsführer der Wirtschaftsförderung.