Die Diversifizierung der Risiken im Cyberspace – Ransomware ist nur eines der prominentesten Schlagworte – macht auch vor KMU nicht halt. Auch wenn KMU unglaublich vielfältig und heterogen sind, denn der Begriff „KMU“ ist immer eine grobe Verallgemeinerung, sind viele Unternehmen mit ähnlichen Problemen und vor allem mit einem Mangel an Ressourcen zur Bewältigung der Herausforderungen konfrontiert.
Dies ist jedoch nicht auf einen Mangel an digitalem Fachwissen bei kleinen und mittelständischen Unternehmen zurückzuführen. Mehr noch als bei Konzernen stellen begrenzte Ressourcen eine große Herausforderung für mittelständische Unternehmen dar. Trotz der Ernsthaftigkeit der aktuellen Risikosituation im Cyberspace ist es schwierig, ein Thema zu priorisieren, das nicht direkt zur Wertschöpfung beiträgt. Im Zweifelsfall gibt es im Tagesgeschäft immer dringendere Aufgaben - also so lange, bis ein ernsthafter Sicherheitsvorfall eintritt. Vor allem, wenn das Unternehmen aufgrund seiner Größe nicht in der Lage ist, ein dediziertes IT-Sicherheitsteam einzusetzen, muss die IT-Sicherheit „halt so nebenbei“ behandelt werden.
Dieser pragmatische Ansatz für die IT-Sicherheit ist notwendig und effektiv, wenn die Ressourcen begrenzt sind. Dennoch sollte man sich nicht von dem klischeehaften Hacker- Bild täuschen lassen, das dazu neigt, alles, was mit IT-Sicherheit zu tun hat, als schwarze Magie darzustellen. Selbst angesichts neuer Bedrohungen ist ein grundlegender IT-Schutz keine „Raketenwissenschaft“, wenn man das Thema ernst nimmt. Mit einem strukturierten Ansatz ist ein solider Schutz auch mit vertretbarem Aufwand durchaus realistisch.
Doch gerade wenn Sicherheit „so nebenbei“ von Admins implementiert werden muss, ist es oft schwierig, einen strukturierten Ansatz in die Praxis umzusetzen. An Standards und Best Practices mangelt es jedenfalls nicht, doch sind diese für KMU praktisch umsetzbar? Die Einzelperson, die für die Sicherheit zuständig ist, kann sich von der Fülle der Normen schnell überfordert fühlen. Aber auch ohne die Möglichkeit, sich mit anderen Expert:innen auszutauschen, kann man sich verloren fühlen: Welcher spezifische Ansatz ist für meine Unternehmensstruktur und meine Situation am besten geeignet?
Geteiltes Leid ist halbes Leid
Als einzelne:r Sicherheitsbeauftragte in einem mittelständischen Unternehmen kann man sich einsam fühlen. Ein probates Mittel gegen die Einsamkeit ist die Erkenntnis, dass es vielen Menschen im Grunde genommen ähnlich geht, man hat nur noch nicht den Kontakt zu ihnen gefunden. Eine nicht zu unterschätzende Eigenschaft vieler KMU ist jedoch ihre Kooperationsfähigkeit. Wettbewerb ist ohnehin eine falsche Einordnung, wenn es um IT-Sicherheit geht.
Doch selbst wenn die Fähigkeit und Bereitschaft zur Kooperation grundsätzlich vorhanden ist, besteht immer die Gefahr, dass Aktivitäten außerhalb der eigentlichen Wertschöpfungskette ohne entsprechende Impulse zu kurz kommen. Welche Impulse werden hier benötigt? Zunächst wäre es besonders hilfreich, Foren und Plattformen einzurichten, die es den Sicherheitsverantwortlichen von KMU leicht machen, miteinander in Kontakt zu treten. Solche Plattformen sollten die Möglichkeit bieten, Erfahrungen und Best Practices auszutauschen, wobei der organisatorische Aufwand für die einzelnen Teilnehmer:innen möglichst gering sein sollte.
Darüber hinaus müssen solche Plattformen nicht nur für den gegenseitigen Austausch genutzt werden, sondern können auch als Kanal zur Einholung und Nutzung von externem Fachwissen dienen. Damit wird auch ein grundsätzliches Problem von Beratungsleistungen angegangen: Sie sind nicht effizient, insbesondere unter den strukturellen Bedingungen von KMU. Natürlich kann sich jedes Unternehmen das entsprechende Know-how ad hoc selbst einkaufen. Aber gegenseitige Probleme einzeln anzugehen, ist weder effektiv noch effizient. Und gemeinsam macht das Lernen immer mehr Spaß.
Kohorten: Eine Plattform für Zusammenarbeit und gemeinsames Lernen
Wir lösen sowohl das Problem der „Einsamkeit“ als auch das der „Effizienz“, indem KMUs in so genannten Kohorten zusammenkommen. Innerhalb dieser Kohorten werden gemeinsame (Cybersecurity)-Themen diskutiert, um den Teilnehmer:innen zu ermöglichen, sich im Dschungel der Best Practices zu orientieren und Sicherheit für den eigenen Ansatz zur IT-Security in ihrer Organisation zu gewinnen. Ziel ist es auch, den themenspezifischen Austausch zu fördern, damit sie Lösungen für ähnliche Probleme austauschen können. Auf diese Weise werden KMU in die Lage versetzt, mit den ihnen zur Verfügung stehenden begrenzten Ressourcen eine möglichst nachhaltige Wirkung zu erzielen.