Zwischen Theorie und Praxis: KMU kämpfen mit gelebter Cybersicherheit
Viele kleine und mittelständische Unternehmen in Deutschland wähnen sich beim Thema Cybersicherheit auf der sicheren Seite – doch die Realität sieht anders aus. Eine neue Kaspersky-Studie zeigt, dass zwischen strategischem Anspruch und praktischer Umsetzung eine gefährliche Lücke klafft, die Angreifern in die Hände spielt.
Zwar geben laut der Kaspersky-Erhebung "Klartext in Sachen Cybersicherheit" sieben von zehn befragten Unternehmen an, über eine durchdachte Sicherheitsstrategie zu verfügen, doch in der Praxis bleiben viele dieser Konzepte Stückwerk. Nur 27 Prozent der deutschen KMU haben ihre Strategie tatsächlich umgesetzt, während der Großteil noch mit theoretischen Zielsetzungen arbeitet oder einzelne Maßnahmen nur teilweise verwirklicht hat. Besonders problematisch: Rund ein Drittel der Sicherheitsverantwortlichen räumt ein, bei der Reaktion auf Cybervorfälle noch erhebliche Wissenslücken zu haben – ein Umstand, der im Ernstfall fatale Folgen haben kann.
Grundlegende Sicherheitsmaßnahmen greifen nicht
Wie ernst die Lage ist, zeigt ein Blick auf die Angriffszahlen: Deutschland belegt laut "Kaspersky SMB Threat Report" in Europa den dritten Platz bei Attacken auf KMU. Cyberkriminelle setzen dabei vermehrt auf täuschend echte Schadsoftware, die legitime Marken imitiert. Der hohe Anteil an Vorfällen zeigt, dass selbst grundlegende Sicherheitsmaßnahmen häufig nicht greifen. Wer seine Strategie nicht konsequent in die Praxis überführt, läuft Gefahr, Bedrohungen zu spät zu erkennen – ein Risiko, das in der heutigen Bedrohungslage schnell existenzbedrohend werden kann.
Auch das Vertrauen in vorhandene Schutzmaßnahmen ist begrenzt. Ein Viertel der Befragten bezweifelt, dass der aktuelle Endpoint-Schutz modernen Angriffen standhält. Gleichzeitig ist vielen unklar, wie Technologien wie Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) effektiv eingesetzt werden können. Hinzu kommt Skepsis gegenüber Anbietern und ihren Bedrohungseinschätzungen – ein Nährboden für Unsicherheit, die den Aufbau einer robusten Sicherheitskultur zusätzlich erschwert.
Fehlende Strukturen und Prozesse
Sicherheitsexperten sehen in diesen Ergebnissen ein Warnsignal: Viele KMU investieren zwar in Sicherheit, doch zu selten in Strukturen, Schulungen und Prozesse, die dauerhaft tragen. Kaspersky rät deshalb, Cyberschutz nicht als einmaliges Projekt, sondern als kontinuierlichen Bestandteil der Unternehmensstrategie zu verstehen. Dazu gehören regelmäßige Awareness-Trainings, ein gelebter Umgang mit Sicherheitsvorfällen und technische Lösungen, die den gesamten IT-Betrieb einbeziehen. Denn erst wenn Sicherheitskonzepte vom Papier in den Alltag übergehen, entsteht echte Cyberresilienz.