ShopKundenserviceMediadaten
Newsletter
Anmelden
Menü
euro+ abonnieren
IAA
Logistik
Fahrzeuge
Fahrer
Werkstatt
Events
Service
Who is Who
eurotransportTV
Jobs
Abo/Hefte
Shop
Startseite
Logistik
IT und Telematik

IT-Sicherheit für KMU: Wie sich Firmen schützen

IT-Sicherheit für KMU
Wie sich kleine Firmen schützen

IT-Sicherheit für kleine und mittlere Unternehmen (KMU) – warum eine Cyber-Versicherung und Maßnahmen wie der CyberRisikoCheck wichtig sind.

Franziska Nieß
07.01.2025
Computer code on a screen with a skull representing a computer virus / malware attack.
Foto: Adobe Stock - James Thew

Wenig fürchten Unternehmen so sehr wie Hackerangriffe. Der Logistikdienstleister Fiege war bereits betroffen, Kriminelle erbeuteten 259 Gigabyte (GB) an internen Daten und veröffentlichen diese teilweise im Darknet. Eine Forsa-Umfrage unter 300 Unternehmen des Groß- und Einzelhandels sowie aus dem Transportsektor im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) aus dem Jahr 2023 zeigt: Fast jedes vierte mittelständische Handels- oder Logistikunternehmen ist schon einmal Opfer einer Cyberattacke gewesen. Bei jedem zweiten angegriffenen Betrieb kam es zu einer Betriebsunterbrechung und die IT-Systeme mussten mit großem Aufwand wiederhergestellt werden.

Baobab Insurance bietet Cyber-Versicherungen an

Damit der Schaden so gering wie möglich ausfällt oder es am besten gar nicht erst so weit kommt, gibt es Unternehmen wie Baobab Insurance. Die Firma mit Sitz in Berlin ist seit zwei Jahren am Markt und bietet Cyber-Versicherungen und Cyber-Sicherheitsmaßnahmen an – für kleine und mittlere Unternehmen (KMU), auch aus der Logistikbranche. „Nicht jeder Anbieter versichert Kunden aus Transport und Logistik, denn sie gelten bei herkömmlichen Versicherern als Unternehmen mit einem erhöhten Risiko für Cyberattacken“, sagt Vincenz Klemm, Geschäftsführer und Gründer von Baobab Insurance. Generell unterscheide er aber nicht vorrangig nach Branchen, sondern nach guter oder schlechter Cybersicherheit bei den Unternehmen.

Baobab Insurance versichert Unternehmen mit bis zu 500 Millionen Euro Jahresumsatz. Die Versicherungssumme orientiert sich am Umsatz, beträgt aber maximal 15 Millionen Euro. Falls eines der bei Baobab Insurance versicherten Unternehmen von einem Hackerangriff betroffen ist oder ein Verdachtsfall besteht, kümmert sich Baobab Insurance um den gesamten Prozess, von der Betreuung über die Notfall-Hotline bis zur Wiederherstellung der Systeme.

Logistik ist abhängig von digitalen Abläufen

Die Logistik sei abhängiger von digitalen Abläufen als andere Branchen und die Unterbrechung kritischer Geschäftsprozesse könne zu großen Schäden führen. Klemm empfiehlt Back-ups: „In hoher Frequenz, wiederum gut gesichert und ausreichend getestet.“ Um Phishing-E-Mails abzuwehren, die zum Beispiel wichtige Passwörter stehlen können, helfen entsprechende Phishing-Simulationen, die Baobab ebenfalls kostenfrei anbietet. Eine Multi-Faktor-Authentifizierung hält er als Zugangsbeschränkung für empfehlenswert. Damit nicht jeder Account im Unternehmen für dieselben Funktionen berechtigt ist, rät er zu einem professionellen Management der Adminrechte.

Vincenz Klemm, Geschäftsführer und Gründer von Baobab Insurance
Baobab Insurance

„Nicht jeder Anbieter versichert Kunden aus Transport und Logistik, denn sie gelten bei herkömmlichen Versicherern als Unternehmen mit einem erhöhten Risiko für Cyberattacken“, sagt Vincenz Klemm, Geschäftsführer und Gründer von Baobab Insurance.

Die Punkte, die Klemm nennt, finden sich größtenteils auch in der DIN SPEC 27076. Ein allgemeingültiges Dokument, das IT-Sicherheitsdienstleister und Versicherer wie Baobab Insurance nutzen können, um kleine und Kleinstunternehmen (KKU) zu beraten. Das Ziel: den IT-Sicherheitsstandard im Mittelstand generell erhöhen.

Denn das ist dringend nötig, wie die Forsa-Umfrage im Auftrag des GDV zeigt. 62 Prozent der Unternehmen aus Spedition, Transport und Logistik wiesen Sicherheitslücken in der IT auf. 47 Prozent aller befragten Unternehmen hatten für den Ernstfall weder ein Notfallkonzept noch eine Vereinbarung mit ihrem IT-Dienstleister.

DIN SPEC 27076 ist auch als CyberRisikoCheck bekannt

Gerade KKU, also Unternehmen mit bis zu 50 Beschäftigten, sind oft weniger für IT-Risiken sensibilisiert. Das Standarddokument DIN SPEC 27076 ist unter der Leitung des Deutschen Instituts für Normung (DIN) entstanden und trägt den Titel „IT-Sicherheitsberatung für Klein- und Kleinstunternehmen“ oder kurz: CyberRisikoCheck. An den Inhalten arbeiteten unter anderem das BSI, der Bundesverband mittelständische Wirtschaft (BVMW), die Digitalagentur Berlin und verschiedene Beratungsunternehmen mit.

Anders als das IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder die Norm ISO/IEC 27001 ist DIN SPEC 27076 keine Zertifizierung und ist laut BSI für Unternehmen mit weniger als 50 Beschäftigten besser geeignet. Darin sind 27 Anforderungen aus sechs Themenbereichen enthalten. Die Themenbereiche sind: Organisation und Sensibilisierung, Identitäts- und Berechtigungsmanagement, Datensicherung, Patch- und Änderungsmanagement, Schutz vor Schadprogrammen sowie IT-Systeme und Netzwerke.

Im Rahmen des Projekts „mIT Standard sicher“ entstanden

Zu jedem Themenbereich formulierten die Projektbeteiligten verschiedene Anforderungen, etwa das Erstellen eines Notfallplans. Jedem Beschäftigten sollte bei einem Sicherheitsvorfall klar sein, wie er sich zu verhalten hat und wem er was und wann melden muss. Daraus resultiert eine entsprechende Leitfrage, die in einer Handlungsempfehlung mündet.

Die Inhalte sind im Rahmen des Projekts „mIT Standard sicher“ entstanden. Das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) förderte das Projekt von Februar 2022 bis August 2024. „Während alle entwickelten Angebote und Materialien weiterhin verfügbar bleiben, wird die Projektwebseite nicht weiter aktualisiert“, heißt es auf der Website. Immerhin, der CyberRisikoCheck steht Unternehmen und ihren IT-Beratungen weiterhin kostenlos zur Verfügung.

Das Unternehmen

  • Baobab Insurance schützt Unternehmen mit einer Cyberversicherung und Cyber-Sicherheitsmaßnahmen vor Hackerangriffen.
  • Hauptsitz in Berlin, ein weiterer Standort in Köln.
  • 25 Mitarbeitende
  • Vor zwei Jahren von Vincenz Klemm (CEO) und Anton Foth (CTO) gegründet.
  • Zu den Kunden zählen KMU aus dem produzierenden Gewerbe, dem Groß- und Einzelhandel sowie Transport und Logistik, aber auch Ein-Personen-Unternehmen.

Was Unternehmen präventiv tun können

  • Eine verantwortliche Person für die IT benennen.
  • Einen Notfallplan erstellen und ihn allen Beschäftigten zur Verfügung stellen.
  • Regelungen zur Vertraulichkeit formulieren.
  • Eine Richtlinie für die Sicherheitsmaßnahmen im Homeoffice und beim mobilen Arbeiten erstellen.
  • Nicht jedem Mitarbeitenden uneingeschränkten Zugriff auf Daten und Anwendungen geben.
  • Lange und komplexe Passwörter sowie eine Zwei-Faktor-Authentifizierung.
  • Datensicherungen durchführen.
  • Eine Firewall und Firewall-Regeln einführen.

Quelle: DIN SPEC 27076, in stichpunktartigen Auszügen