Gratis-Hilfe gegen Cybergefahren

Wie viele KMUs, Handwerksbetriebe, Selbstständige und Freiberufler schon von der TISiM gehört haben oder gar ihre Dienste in Anspruch genommen haben, ist nicht bekannt. Auf jeden Fall sind es nicht genug. Denn diese 2020 vom Bundesministerium für Wirtschaft und Klimaschutz ins Leben gerufene Einrichtung könnte ihnen helfen, viel, ja sehr viel Geld zu sparen – durch einen besseren Schutz ihrer IT vor Angriffen durch Kriminelle oder Staaten.

Denn obwohl es sich auch bei den allermeisten KMUs herumgesprochen hat, dass die Gefahr groß ist, zum Opfer solcher Attacken zu werden, tun viele noch nicht genug dagegen – sei es aus Unkenntnis über konkrete Risiken und verfügbare Abwehrmittel, sei es, weil es ihnen an Personal oder Kapital fehlt oder sie das zumindest glauben. Oder auch, weil sie vor der Komplexität des Marktes für Security-Lösungen kapitulieren.

Und genau hier kommt die „Transferstelle IT-Sicherheit im Mittelstand“ ins Spiel (www.tisim.de). Sie informiert KMUs zielgruppengerecht und passgenau über Aktionen für mehr IT-Sicherheit. Dazu bereitet sie Expertise aus Wirtschaft, Wissenschaft und IT verständlich auf und macht sie niederschwellig zugänglich.

Anlaufstellen rund um alle Fragen zur IT-Sicherheit sind neben der Geschäftsstelle in Berlin 76 über das gesamte Bundesgebiet verteilte Standorte. So tragen 135 TISiM-Trainer und -Trainerinnen zur Vermittlung der Inhalte in den Mittelstand bei.

Hinzu kommt das „TISiM-Mobil“, ein Bus, der KMUs und Unternehmensnetzwerke vor Ort besucht, um auch in ländlicheren Regionen Mittelstand und Handwerk über IT-Sicherheit zu informieren. Allein 2021 hat das TISiM-Mobil rund 6000 Kilometer zurückgelegt, in etwa die Strecke von Berlin bis zum Äquator.

Gefördert wird die TISiM durch die Initiative IT-Sicherheit in der Wirtschaft des Bundesministeriums für Wirtschaft und Klimaschutz. Sie ist ein Konsortialprojekt renommierter Institutionen mit langjähriger Erfahrung in der IT-Sicherheit: Deutschland sicher im Netz e. V. (DsiN), DIHK, den Instituten FOKUS und IAO der Fraunhofer-Gesellschaft e. V. sowie der Hochschule Mannheim. Assoziierte Partner sind der Zentralverband des Deutschen Handwerks (ZDH), der Bundesverband IT-Mittelstand e. V. (BITMi) und das Institut der Wirtschaftsprüfer (IDW).

Das wichtigste Mittel der TISiM heißt Sec-O-Mat (www.sec-o-mat.de). Das im April 2021 an den Start gegangene Tool bewertet auf Basis eines Online-Fragebogens, für den es kein besonderes Sicherheitswissen braucht, individuell den Bedarf an IT-Sicherheitsmaßnahmen in einem Betrieb und erarbeitet auf dieser Basis ad hoc einen Aktionsplan mit konkreten, herstellerneutralen Handlungsempfehlungen zur Verbesserung der IT-Sicherheit – von kostenfreien Schulungen bis zu aufwendigeren IT-Sicherheitslösungen. Wer sich kostenlos registriert, kann zusätzliche Features nutzen, insbesondere eine persönliche Merkliste, in der sich die Empfehlungen sowie die Fortschritte bei ihrer Umsetzung dokumentieren lassen.

Der Sec-O-Mat-Assistent führt interessierte Unternehmen Schritt für Schritt durch die Bereiche des TISiM-Aktionsplans und zeigt, auf welchem Sicherheitsniveau sie die einzelnen Aktionen beginnen sollten. Sobald der Nutzer eine Aktion mit Umsetzungsvorschlägen aufruft, kann er diese nach „allen“ oder „empfohlenen“ filtern – und sieht dann nur noch die Vorschläge, die dem persönlichen Stand im Bereich IT-Sicherheit entsprechen.

Bei der Umsetzung des TISiM-Aktionsplans steht dem Sec-O-Mat inzwischen auch eine TISiM-App als mobiler Begleiter zur Seite (www.tisim.de/meine-tisim/tisim-app). Sie überträgt den Aktionsplan über die Merkliste in den sogenannten Kompetenzpfad, der strukturiert und geführt zu mehr Vertrauen im Umgang mit Fragen der Cybersicherheit verhelfen soll. Die Merkliste aus dem Sec-O-Mat lässt sich in der TISiM-App bequem abrufen und bearbeiten. Und schließlich liefert die App aktuelle Meldungen, etwa über Sicherheitsvorfälle oder zur Aktivität des TISiM-Mobils.

Neben dem Sec-O-Mat hat die TISiM-Website noch einige weitere interessante Hilfen zu bieten. So stellt etwa regelmäßig ein Special gebündelt Info-Materialien, Hinweise zu Veranstaltungen, einen Blog und praktische Tipps zusammen. Derzeit können Interessierte sich zum Beispiel im Bereich „Aktuelles“ eine Datei zu „Angriffsszenarien“ und „Sicherheit im Homeoffice“ herunterladen. Einen Blick wert sind auch die Use-Cases auf der Website, die verschiedene Unternehmen vorstellen und zeigen, wie diese ihre Sicherheit verbessert haben, ohne natürlich in firmenspezifische Details zu gehen.

Sandra Balz leitet seit April 2020 die Transferstelle IT-Sicherheit im Mittelstand (TISiM). Sie war einige Jahre wissenschaftliche Mitarbeiterin und Referentin für Abgeordnete des Deutschen Bundestags und ist seit Langem in der digitalen Wirtschaftspolitik engagiert – mit Themen wie Wettbewerbsrecht, KI, Start-up-Förderung, soziale Netzwerke, Innovationsförderung und IT-Sicherheit. Im com! professional-Interview spricht Sandra Balz über die Aufgaben der TISiM, das Sicherheitsbewusstsein in KMUs und das Know-how der Geschäftsführungen.

Sandra Balz: Wir gehen zu den kleinen und ganz kleinen Unternehmen von fünf bis 50 Mitarbeitern und hören von denen dann immer: „Ich habe doch gar nichts, was sich für Angreifer lohnt, keine Daten, warum sollte ich zum Angriffsziel werden?“ Fakt ist aber: Die sind genauso bedroht wie große Unternehmen, auch wenn die Auswirkungen insgesamt andere Dimensionen haben. Zu sagen, dass KMUs nicht gefährdet sind, nur weil ausschließlich über die Angriffe auf die großen Firmen geschrieben wird, wäre ganz falsch. Denn die Frage ist nur, wann ich als KMU angegriffen werde, nicht ob. Man könnte jetzt frustriert sagen, dann ist es eben so, dass jeder mal angegriffen wird, und dann werden die Firmen schon aktiv. Aber so können wir natürlich nicht an die Sache herangehen.

Balz: Wir müssen den KMUs die Risiken immer wieder aufzeigen. Wenn ein Unternehmen sagt, wir haben doch gar keine Daten, dann verweisen wir auf Abteilungen wie seine Buchhaltung oder auf die Lohnabrechnung – und immer wieder gern auch auf den kleinen Blumenladen auf dem Land, der bei Fleurop mitmachen will. Dazu muss er nämlich auf deren Plattform – und dann fließen Daten.

Wenn der Unternehmer dann Angst bekommen sollte, sagen wir ihm, keine Sorge, die Bedrohung ist zwar da, aber wenn du zwei, drei Maßnahmen ergreifst, dann bist du erst mal schon auf der sicheren Seite. Es geht vor allem darum, das Mindset zu verändern, also die Denke „Mein Auftragsbuch ist voll, alles andere interessiert mich nicht, um Sicherheit kümmere ich mich später“.

Balz: Das ist sehr individuell. Hier ist auf jeden Fall sehr viel Psychologie im Spiel. Es gibt Unternehmen, da ist der Geschäftsführer begeistert und weiß, meine Mitarbeiter müssen geschult werden und auch ich muss es verstehen. Der sagt dann, wir machen das zusammen. Und es gibt andere, die sagen, solche Spiele machen wir nicht mit. Es ist auf jeden Fall noch ein weiter Weg, alle Unternehmen mitzunehmen. Denn es reicht nicht zu sagen: Das musst du jetzt machen und wenn du das nicht machst, bist du dumm und musst selber zusehen, wo du bleibst. Wir haben zwar verstanden, wie man herangehen muss, aber wenn die Unternehmen am Ende sagen, heute haben meine Mitarbeiter gar keine Zeit für so etwas und für Spiele erst recht nicht, dann ist das so. Die Ansätze, mit denen sich die Security-Awareness verbessern lässt, sind auf jeden Fall die richtigen.

Balz: Der Sec-O-Mat ist ein Online-Tool, in dem das Unternehmen einige Fragen beantwortet und dann einen Aktionsplan bekommt. Wir fragen zum Beispiel, wie viele Mitarbeiter das Unternehmen hat und wie viele mit der IT arbeiten. Ausgehend von Schadensszenarien, in denen es zum Beispiel darum geht, wie schwerwiegend es wäre, wenn ein Webshop nicht mehr funktionieren würde oder wenn Kundendaten gestohlen würden, bekommt das Unternehmen dann einen Aktionsplan und damit schon mal einen Überblick über seine Sicherheitslage.

Balz: Es geht oft um Basis-Dinge wie Phishing-Awareness, um Klassiker wie „Wo überall verstecken die Leute Passwörter?“ und Ähnliches mehr. Die Vorschläge reichen von Youtube-Videos zu Passwortmanagern bis zu grundlegenden Tipps, etwa dem, dass die Mitarbeiter ihren Bildschirm sperren sollten, wenn sie ihren Arbeitsplatz verlassen.

Balz: Ja, wir haben auch regionale Anlaufstellen, rund 80 Stück, zum Beispiel in Handwerkskammern, Industrie- und Handelskammern oder Mittelstand-Digital-Zentren, in denen geschulte Ansprechpartner beraten. 

Wir haben außerdem unser TISiM-Mobil, einen Bus mit zwei Referenten, die in den ländlichen Raum fahren, auf kleine Messen oder in ein Gewerbegebiet und dort dann stehen und zu denen man hingehen kann. Jetzt, wo das nach den Corona-Einschränkungen wieder möglich ist, versuchen wir, wieder mehr solcher Dinge zu machen, also auf die Unternehmen zuzugehen. Wir können aber natürlich nicht zu jedem einzelnen Unternehmen hinfahren. Aber wenn wir mit solchen Aktionen möglichst viele Firmen darüber informieren können, dass es uns gibt und dass die ersten Schritte zu mehr IT-Sicherheit gar nicht so schwer sind, dann haben wir schon viel erreicht.

Balz: Aus der Perspektive des Dienstleisters lautet da die Antwort natürlich erst mal ja. Aus unserer Sicht sollte das jedes Unternehmen individuell entscheiden. Dabei gilt: Kompetenz ist das A und O. Wenn der Geschäftsführer eines Unternehmens weiß, warum er etwas in puncto IT-Sicherheit tun sollte, dann kann er sich umschauen und selber entscheiden. Er sollte auf jeden Fall versuchen, eigenes Know-how aufzubauen und zu erschließen. Das kann er auch über die Angebote der Transferstelle machen. Da bekommt er einen ersten Überblick, etwa zu Schulungsangeboten und zur Technik. Der Geschäftsführer sollte Bescheid wissen, was man für die IT-Sicherheit tun sollte, und kann dann auch zu einem Dienstleister gehen, der das umsetzt. Klar ist aber: Ohne Investments wird das nicht gehen.

Balz: Weil wir mit Steuergeldern gefördert werden, müssen wir herstellerneutral beraten. Wir dürfen also einem Unternehmer nicht sagen, nimm einen bestimmten Anbieter. Aber wir arbeiten sehr gern mit Security-Unternehmen zusammen, auch um zum Beispiel herauszufinden, wo es noch keine passenden Produkte für KMUs gibt. Ich denke zum Beispiel an Cyberversicherungen. Die gibt es für die großen Unternehmen und sie sind sehr teuer. Ich meine: Jedes Unternehmen hat eine Haftpflichtversicherung oder Brandschutz-Police, warum versichert es nicht auch seine IT-Sicherheit? Zu solchen Dingen sind wir als Transferstelle in einem guten Austausch mit allen Akteuren, um das gemeinschaftlich voranzubringen.