In Sachen Cybersicherheit haben gerade kleine und mittelständische Unternehmen noch einen hohen Nachholbedarf. Doch statt sich den Problemen rechtzeitig zu stellen, hoffen viele einfach nur darauf, dass ihnen auch weiterhin nichts passieren wird.
Nicht nur die Zahl, auch die Raffinesse der digitalen Gefahren wächst beständig. Durch die Auswirkungen der Corona-Pandemie wie verstärktes Home Office wird das Risikopotenzial für die Unternehmen noch weiter nach oben geschraubt. Eigentlich sollte also längst jedem Verantwortlichen klar sein, dass entsprechende Gegenmaßnahmen keine Kür sondern Pflicht sind. Dass dem aber nicht so ist, zeigen sowohl regelmäßige Studien als auch die wachsende Zahl erfolgreicher Angriffe – vor allem auf kleine und mittelständische Unternehmen. Ganz offensichtlich gibt es also gerade bei den KMU noch einen erheblichen Nachholbedarf, um in Sachen Sicherheit besser für die aktuellen Gegebenheiten gerüstet zu sein.
Das Problem ist aber: Statt an einer tragfähigen Security-Strategie und ihrer Umsetzung zu arbeiten, setzen gerade die Kleinen lieber auf das Prinzip Hoffnung. Die allerdings ist äußerst trügerisch. Denn im Endeffekt bauen die KMU damit lediglich auf die Erfahrung, dass ihnen bisher auch nichts Schlimmes passiert ist – zumindest nichts, von dem sie wüssten. In der Psychologie ist das Phänomen als »Normalcy Bias« (Normalitätsbias) bekannt. Aufgrund der aktuell als sicher empfundenen Lage gehen Verantwortliche davon aus, dass dies auch so bleiben werde. Verstärkt wird diese trügerische Sicherheit noch durch die nur teilweise richtige Annahme, dass die Wahrscheinlichkeit für einen Hackerangriff auf ein kleineres Unternehmen geringer sei, als bei einem großen Unternehmen.
Das stimmt zwar in der Gesamtbetrachtung durchaus, allerdings mit zwei gravierenden Einschränkungen. Zum einen ist schon länger zu beobachten, dass sich Cyberkriminelle genau wegen dieser Haltung und der daraus für sie resultierenden besseren Erfolgsaussichten zunehmend auf kleinere Unternehmen fokussieren. Zum anderen geht diese Betrachtungsweise von einer falschen Prämisse aus. Denn viel wichtiger als dieses allgemeine Risiko für einen Cyberangriff ist das spezifische Risiko für einen erfolgreichen Angriff. Die wichtige Frage lautet längst nicht mehr, ob, sondern wann und wie ein Angriff kommt und welche Folgen er nach sich zieht.