Laut einer weltweit durchgeführten Kaspersky-Umfrage waren im laufenden Jahr rund 36 Prozent der kleinen Unternehmen mit weniger als 50 Mitarbeitern bereits Opfer von Datenschutzverletzungen. Dennoch sind die von den Firmen getroffenen Sicherheitsmaßnahmen zur Vermeidung von Cybersicherheitsvorfällen oft unzureichend. Die Kaspersky-Studie zeige auch, so die Initiatoren: Obwohl der Anteil der betroffenen Firmen im größeren Mittelstand (von 44 Prozent im Jahr 2018 auf 48 Prozent im Jahr 2019) und bei Großunternehmen (von 50 Prozent im Jahr 2018 auf 53 Prozent im Jahr 2019) größer ist, gab es bei kleinen Unternehmen im Vergleich zum Vorjahr einen schnelleren Anstieg im Bereich Datenschutzverletzungen von sechs Prozent – von 30 Prozent in 2018 auf 36 Prozent im laufenden Jahr.

Auch wenn Geschichten über Cybersicherheitsvorfälle in Unternehmen mit weniger als 50 Mitarbeitern es selten in die Schlagzeilen der Zeitungen schaffen, kann sich ein Datenverstoß für eine kleinere Firma direkt und empfindlich auf das Geschäft auswirken. Da ihre Ressourcen häufig begrenzt sind und der Hauptfokus auf dem geschäftlichen Wachstum liegt, müssen sie in regelmäßigen Abständen ihre Arbeitsprozesse stoppen oder verlangsamen und riskieren durch diese Ausfallzeiten wichtige Gewinne.

Wenn personenbezogene Daten betroffen sind, kann dies zu einem eklatanten Vertrauensverlust von Seiten der Kunden oder zu finanziellen Sanktionen für Verstöße gegen geltendes Recht – etwa die DSGVO – führen.

Um diese Folgen zu vermeiden, müssen kleine Unternehmen auf Datenschutzverletzungen vorbereitet sein. Wie die Kaspersky-Umfrage zeigt, gibt es jedoch bei einem Drittel von ihnen (33 Prozent) kein zentralisiertes Cybersicherheits-Management. Die Aufrechterhaltung des Datenschutzes auf einem bestimmten Computer liegt oft in der Verantwortung jedes einzelnen Mitarbeiters. Darüber hinaus verwendet ein Viertel (25 Prozent) der kleinen Unternehmen eigentlich für Privatanwender konzipierte IT-Sicherheitslösungen zum Schutz von Firmengeräten. Lediglich geschäftsspezifische Produkte sind laut Kaspersky jedoch in der Lage, einen Schutz für Server oder ein zentrales Sicherheits-Management zu bieten.

Die Sicherheitsfachleute geben folgende Tipps unter anderem für den Schutz wichtiger Kundendaten in kleinen Unternehmen:

  • Mitarbeiter müssen in den Grundlagen der Cybersicherheit geschult sein. Zum Beispiel ist wichtig, dass das Öffnen oder Speichern von Dateien unbekannter E-Mails oder Websites eine Gefahr für das gesamte Unternehmen darstellen kann. Auch die Wahl starker und einzigartiger Passwörter ist sehr wichtig.
  • Die Belegschaft sollte regelmäßig daran erinnert werden, wie mit sensiblen Daten umzugehen ist. Etwa, dass diese lediglich über vertrauenswürdige Cloud-Dienste gespeichert werden sollten, die für den Zugriff authentifiziert sind, und dass Daten nicht an unberechtigte Dritte weiterzugeben sind.
  • Es darf lediglich legitime Software, die von offiziellen Quellen heruntergeladen wurde, innerhalb des Unternehmens zum Einsatz kommen.
  • Es sollte regelmäßig Backups wichtiger Daten und IT-Geräte sowie -Anwendungen geben, um offene Schwachstellen zu schließen, die einen Cybersicherheitsvorfall verursachen könnten.
  • Spezielle Cybersicherheitslösungen für kleine Unternehmen erfordern lediglich minimales Management, ermöglichen es den Mitarbeitern, sich auf ihre Kernaufgaben zu konzentrieren und schützen dennoch umfassend vor Malware, Ransomware, dem Kapern von Accounts und vor Online-Betrug.

Weitere Informationen über Datenschutzverletzungen in kleinen Unternehmen finden Interessierte auf dem Kaspersky-Blog unter www.kaspersky.com/blog/data-protection-for-smb/.

Dr. Jörg Schröper ist Chefredakteur der LANline.