Die wachsende Bedrohung durch Cyberangriffe auf KMUs
Die Cybersecurity-Herausforderungen für kleine und mittlere Unternehmen nehmen zu.
― 9 min Lesedauer
Inhaltsverzeichnis
Heute sind viele Dienstleistungen online und über verschiedene Systeme miteinander verbunden. Das bringt zwar Vorteile, hat aber auch dazu geführt, dass Cyberkriminalität zugenommen hat. In den frühen 2000er Jahren bestanden Cyberangriffe hauptsächlich aus Viren und Würmern. In den letzten Jahren sind diese Angriffe ernsthafter geworden, viele davon beinhalten Datenlecks und Ransomware, die darauf abzielen, Geld zu stehlen. Jetzt sehen wir fortgeschrittenere Bedrohungen durch organisierte Kriminalität und sogar von Ländern, was es kleinen und mittleren Unternehmen (KMU) schwerer macht, sich zu schützen. Während die Cyberangriffe zunehmen, konzentrieren sich die Angreifer mehr auf kleinere Unternehmen, die normalerweise schwächere Sicherheitsvorkehrungen haben.
Dieser Artikel kombiniert Wissen aus verschiedenen Studien zur Cybersicherheit für KMU, identifiziert, was noch unbekannt ist, und schlägt Wege vor, um ihre Sicherheit zu verbessern. Er behandelt die Probleme und Einschränkungen, mit denen KMU konfrontiert sind, die Sicherheitsmassnahmen, die sie getroffen haben, deren Wirksamkeit, die Risiken, die sie eingehen, und mögliche Lösungen.
Berichte zeigen, dass die Anzahl erfolgreicher Cyberangriffe auf KMU zunimmt. Einem Bericht zufolge zielten 2019 58 % der Angriffe auf KMU ab, und 43 % der Datenlecks betrafen KMU. Es wird geschätzt, dass es täglich etwa 10.000 Angriffe auf britische KMU gibt. Diese Zahlen sind wahrscheinlich unterberichtet, da viele KMU keine Informationen über die Angriffe, die sie erleben, teilen.
Trotz laufender Datenlecks und finanzieller Verluste sind viele KMU immer noch unvorbereitet. Eine Umfrage aus dem Jahr 2022 ergab beispielsweise, dass nur 17 % der britischen KMU Schwachstellenprüfungen durchgeführt haben. Diese unzureichende Vorbereitung resultiert oft aus einem mangelnden Bewusstsein für die Bedrohungen, denen sie ausgesetzt sind. Einige Forscher argumentieren, dass dies auf eine niedrige Risikowahrnehmung und fehlende Investitionen in Sicherheit zurückzuführen ist. Andere heben hervor, dass viele Menschen in KMU nicht das nötige Wissen haben, um effektive Sicherheitsmassnahmen zu entwickeln.
Bedeutung von KMU
Viele Leser fragen sich vielleicht, was KMU sind und warum sie in Bezug auf Cybersicherheit wichtig sind. Es gibt keine einheitliche globale Definition für ein KMU. Verschiedene Studien verwenden unterschiedliche Definitionen, was den Vergleich schwierig macht. Für diese Diskussion definieren wir KMU als Unternehmen mit bis zu 250 Mitarbeitern und einem Umsatz von bis zu 50 Millionen Euro.
Laut der Weltbank sind KMU entscheidend für die globalen Volkswirtschaften, machen 90 % aller Unternehmen aus, bieten über 50 % der Arbeitsplätze und tragen zu 40 % der durchschnittlichen nationalen Einkommen bei. In den USA machen KMU 99,9 % der Unternehmen aus und tragen 43,5 % zum BIP bei.
Das statistische Amt der Europäischen Union berichtete, dass im Jahr 2022 99,8 % der Unternehmen in der EU KMU waren, wobei 90 % als Mikrounternehmen (weniger als zehn Mitarbeiter) eingestuft wurden. KMU beschäftigten 83 Millionen Menschen, was 64 % der Gesamtbeschäftigung in der Region ausmachte, und trugen zu mehr als der Hälfte des regionalen Umsatzes bei. Viele Regierungen priorisieren die Entwicklung von KMU, und die Weltbank schätzt, dass sie bis 2030 600 Millionen neue Arbeitsplätze schaffen werden. Allerdings stehen KMU in Entwicklungsländern grösseren finanziellen Herausforderungen gegenüber als in entwickelteren Ländern.
Initiativen zur Cybersicherheit von KMU
Es gibt verschiedene Regierungs- und Brancheninitiativen, um die Cybersicherheit für KMU zu verbessern. Die britische Regierung veröffentlichte einen „Cybersecurity-Leitfaden für kleine Unternehmen“, während US-Behörden Handbücher herausgaben, um KMU bei der Verbesserung ihrer Cybersicherheitspraktiken zu unterstützen. Die Europäische Kommission hat ebenfalls in Projekte investiert, um erschwingliche Cybersicherheitslösungen zu schaffen und bewährte Verfahren für KMU zu identifizieren.
Trotz dieser Initiativen gibt es wenig Beweise dafür, dass diese Rahmenwerke und Richtlinien auch tatsächlich umgesetzt wurden. Studien haben zudem gezeigt, dass bestehende Cybersicherheitsstandards und -rahmenwerke oft nicht für KMU geeignet sind.
Jahrelang konzentrierte sich die Forschung hauptsächlich auf grössere Unternehmen, wodurch eine Lücke im Verständnis der spezifischen Bedrohungen, denen KMU ausgesetzt sind, entstand. In letzter Zeit hat das Interesse an der Untersuchung von KMU deutlich zugenommen, mit einem bemerkenswerten Anstieg an veröffentlichten Forschungen in diesem Bereich.
Forschungsansatz
Dieser Artikel führt eine systematische Überprüfung der bestehenden Literatur durch, um mehrere zentrale Forschungsfragen zu beantworten. Eine systematische Überprüfung ist methodischer als herkömmliche Literaturübersichten und folgt einem klaren Protokoll, um sicherzustellen, dass alle relevanten Studien berücksichtigt werden.
Der Überprüfungsprozess beginnt mit der Entwicklung von Forschungsfragen und der Identifizierung von Datenbanken zur Suche nach vorhandener Literatur. Es umfasst eine spezifische Suchstrategie, Kriterien zur Auswahl der einzuschliessenden Studien und Methoden zur Datenextraktion und -synthese. Dieser systematische Ansatz hilft, Verzerrungen zu reduzieren, die die Auswahl der Studien beeinflussen könnten.
Datenquellen
Die Literaturübersicht umfasste die Durchsuchung verschiedener akademischer Datenbanken, die sich auf Informatik sowie allgemeinere akademische Quellen konzentrierten. Um eine breite Palette von Studien sicherzustellen, wurden Quellen wie Google Scholar für graue Literatur, wie Branchenberichte und Regierungsdokumente, einbezogen.
Die Suchstrategie bestand aus Begriffen, die sich auf Cybersicherheit und KMU beziehen, um sicherzustellen, dass relevante Studien identifiziert wurden. Anpassungen wurden vorgenommen, um den spezifischen Anforderungen jeder durchsuchten Datenbank gerecht zu werden.
Auswahlkriterien
Der Überprüfungsprozess wurde in zwei Phasen unterteilt. Zunächst wurden Studien anhand von Titeln und Abstracts gescreent. Nur Studien, die nach dem 1. Januar 2017 veröffentlicht wurden, wurden einbezogen, da dies mit einer erhöhten Cloud-Nutzung und anderen digitalen Veränderungen zusammenfiel. Die zweite Phase beinhaltete die Überprüfung der Volltexte der Studien, die die Auswahlkriterien erfüllten.
Datenextraktion
Die aus den Studien extrahierten Daten umfassten das Jahr der Veröffentlichung, Themen, Studiensorten, Methoden zur Datenerhebung und andere relevante Details. Ein Formular wurde erstellt, um diesen Prozess zu unterstützen und Konsistenz in den Ergebnissen sicherzustellen.
Thematische Analyse
Ein qualitativer Ansatz wurde für die Datensynthese gewählt. Die thematische Analyse identifizierte Muster in den Daten und integrierte sowohl induktive als auch deduktive Methoden. Dies beinhaltete die Kodierung der Daten basierend auf vordefinierten Themen und liess neue Themen während der Analyse entstehen.
Die Synthese ergab mehrere übergeordnete Themen basierend auf der Häufigkeit der Nennungen in der Literatur. Diese Themen bieten Einblicke in häufige Probleme, mit denen KMU in Bezug auf Cybersicherheit konfrontiert sind.
Häufige Themen in der Cybersicherheitsforschung zu KMU
Mangelndes Bewusstsein für Cybersicherheitsrisiken
Ein zentrales Thema, das in der Literatur identifiziert wurde, ist ein Mangel an Bewusstsein für Cybersicherheitsrisiken. Forschungen zeigen, dass viele KMU die Gefahren durch Cyberbedrohungen nicht vollständig erkennen. Dieses mangelnde Bewusstsein betrifft alle Ebenen der Organisation, von den Mitarbeitenden bis zur Führungsebene.
Eingeschränkte Cybersicherheitskompetenz
Ein weiteres wiederkehrendes Thema ist die eingeschränkte Cybersicherheitskompetenz unter dem Personal von KMU. Viele Studien stellten fest, dass Personen in KMU oft nicht über das notwendige Wissen und die Fähigkeiten verfügen, um Cybersicherheitsherausforderungen effektiv zu verstehen oder anzugehen. Diese Kompetenzlücke erschwert es KMU, angemessene Sicherheitsmassnahmen umzusetzen.
Unterfinanzierte und ressourcenbeschränkte Cybersicherheitsprogramme
KMU sehen sich oft finanziellen Einschränkungen gegenüber, die ihre Fähigkeit beeinträchtigen, in Cybersicherheit zu investieren. Viele Studien hoben hervor, dass Sicherheitsprogramme in KMU unterfinanziert sind, was ihre Fähigkeit einschränkt, effektive Verteidigungen gegen Cyberbedrohungen aufzubauen.
Literatur übersieht spezifische Bedürfnisse von KMU
Mehrere Studien wiesen darauf hin, dass in der bestehenden Literatur die spezifischen Bedürfnisse von KMU nicht angemessen adressiert werden. Diese Vernachlässigung bedeutet, dass die Empfehlungen und Lösungen, die präsentiert werden, oft nicht mit den Realitäten übereinstimmen, denen KMU gegenüberstehen, was die Umsetzung der empfohlenen Praktiken erschwert.
Mangel an massgeschneiderten Lösungen und Rahmenwerken
Die Literatur zeigt einen Bedarf an Cybersicherheitslösungen, die speziell für KMU entwickelt wurden. Viele bestehende Rahmenwerke sind zu komplex oder ressourcenintensiv für kleinere Unternehmen, was zu einer ineffektiven Umsetzung führt.
Niedrige Risikowahrnehmung
Die Wahrnehmung von Cybersicherheitsrisiken ist unter KMU-Eigentümern und -Führungskräften oft niedrig. Diese niedrige Wahrnehmung führt zu einer unzureichenden Priorisierung von Cybersicherheitsinitiativen innerhalb der Organisationen.
Zunehmende Cyberangriffe auf KMU
Die Häufigkeit von Cyberangriffen auf KMU nimmt zu. Studien haben berichtet, dass viele KMU Opfer von Cyberbedrohungen werden, was zu erheblichen finanziellen Verlusten und Störungen führt.
Überforderte Cybersicherheitsführung
Viele KMU verfügen nicht über eine dedizierte Cybersicherheitsführung. Die Verantwortlichkeiten für Cybersicherheit liegen oft bei Personen, die nicht über das notwendige Fachwissen verfügen, was zu einer unzureichenden Verwaltung von Cybersicherheitsfragen führt.
Steigende Finanzielle Verluste durch Cyberangriffe
Cyberangriffe haben erhebliche finanzielle Auswirkungen auf KMU. Viele Studien diskutierten die finanziellen Folgen, die Verstösse und Angriffe verursachen können, und verschärfen die Verwundbarkeit dieser Unternehmen.
Diskussion der Themen
Die identifizierten Themen zeigen eine starke Korrelation zwischen den Problemen, mit denen KMU in Bezug auf Cybersicherheit konfrontiert sind. Der Mangel an Bewusstsein wird häufig als zentrales Hindernis für effektive Cybersicherheitsbemühungen genannt. Dieses Bewusstseinsproblem ist jedoch oft mit einer eingeschränkten Cybersicherheitskompetenz und unzureichenden Ressourcen verbunden.
Das Verständnis der Zusammenhänge zwischen diesen Faktoren ist entscheidend, um effektive Strategien zu entwickeln, die KMU dabei unterstützen, ihre Cybersicherheitslage zu verbessern. Die Beziehung zwischen mangelndem Bewusstsein, begrenzter Kompetenz und Ressourcenengpässen könnte, wenn sie nicht richtig verstanden wird, zu fehlgeleiteten Bemühungen führen.
Forschung legt nahe, dass eine blosse Sensibilisierung möglicherweise nicht zu verbesserten Cybersicherheitsauswirkungen führt, wenn nicht ausreichende Ressourcen und Unterstützung bereitgestellt werden. Organisationen könnten sich überwältigt fühlen von neuem Wissen über Risiken, ohne die Mittel zu haben, um diese effektiv anzugehen.
Herausforderungen für KMU
KMU stehen verschiedenen Herausforderungen gegenüber, wenn sie versuchen, Cybersicherheitsmassnahmen umzusetzen. Diese Herausforderungen umfassen finanzielle Einschränkungen, fehlendes Fachwissen und unzureichende Unterstützungssysteme. Daher zögern viele KMU, neue Technologien zu übernehmen oder in Cybersicherheitsschulungen zu investieren.
Zudem erschwert der Mangel an standardisierten Ansätzen zur Cybersicherheit in KMU die Situation. Diese Variabilität macht es für KMU schwierig, relevante Leitlinien zu finden, die auf ihren spezifischen Kontext zutreffen.
In vielen Fällen spielen auch externe Faktoren, wie staatliche Unterstützung und Branchentrends, eine Rolle bei der Gestaltung der Herangehensweise von KMU an Cybersicherheit. Das Verständnis dieser externen Einflüsse ist wichtig, um die Herausforderungen, mit denen KMU konfrontiert sind, zu kontextualisieren.
Fazit
Der Anstieg von Cyberbedrohungen, die auf KMU abzielen, verdeutlicht den dringenden Bedarf an besseren Cybersicherheitspraktiken. Trotz zahlreicher Initiativen und einer wachsenden Anzahl an Literatur bleiben viele KMU aufgrund eines Mangels an Bewusstsein, begrenzter Ressourcen und unzureichender Cybersicherheitskompetenz verwundbar.
Ein fokussierterer Ansatz ist erforderlich, um Lösungen zu entwickeln, die praktisch und relevant für KMU sind. Die spezifischen Bedürfnisse von KMU zu adressieren, massgeschneiderte Rahmenwerke zu schaffen und eine angemessene Finanzierung für Cybersicherheitsinitiativen sicherzustellen, kann ihre Verteidigung gegen wachsende Cyberbedrohungen erheblich verbessern.
Zukünftige Forschungen sollten die komplexen Beziehungen zwischen Bewusstsein, Kompetenz und Ressourcenallokation sowie die einzigartigen Herausforderungen, mit denen KMU in verschiedenen Regionen konfrontiert sind, genauer untersuchen. Durch das Verständnis dieser Zusammenhänge können Interessengruppen KMU besser dabei unterstützen, effektive Cybersicherheitsstrategien zu entwickeln, die ihre Unternehmen schützen und ihnen helfen, in einer zunehmend digitalen Welt zu gedeihen.
Titel: Unaware, Unfunded and Uneducated: A Systematic Review of SME Cybersecurity
Zusammenfassung: Small and Medium Enterprises (SMEs) are pivotal in the global economy, accounting for over 90% of businesses and 60% of employment worldwide. Despite their significance, SMEs have been disregarded from cybersecurity initiatives, rendering them ill-equipped to deal with the growing frequency, sophistication, and destructiveness of cyber-attacks. We systematically reviewed the cybersecurity literature on SMEs published between 2017 and 2023. We focus on research discussing cyber threats, adopted controls, challenges, and constraints SMEs face in pursuing cybersecurity resilience. Our search yielded 916 studies that we narrowed to 77 relevant papers. We identified 44 unique themes and categorised them as novel findings or established knowledge. This distinction revealed that research on SMEs is shallow and has made little progress in understanding SMEs' roles, threats, and needs. Studies often repeated early discoveries without replicating or offering new insights. The existing research indicates that the main challenges to attaining cybersecurity resilience of SMEs are a lack of awareness of the cybersecurity risks, limited cybersecurity literacy and constrained financial resources. However, resource availability varied between developed and developing countries. Our analysis indicated a relationship among these themes, suggesting that limited literacy is the root cause of awareness and resource constraint issues.
Autoren: Carlos Rombaldo Junior, Ingolf Becker, Shane Johnson
Letzte Aktualisierung: 2023-09-29 00:00:00
Sprache: English
Quell-URL: https://arxiv.org/abs/2309.17186
Quell-PDF: https://arxiv.org/pdf/2309.17186
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.
Referenz Links
- https://osf.io/ps7xy/
- https://tug.org/FontCatalogue/
- https://authors.acm.org/proceedings/production-information/accepted-latex-packages
- https://www.overleaf.com/learn/latex/Bibtex_bibliography_styles
- https://dl.acm.org/ccs.cfm
- https://papers.ssrn.com/sol3/papers.cfm?abstract_id=549082
- https://t.www.na-businesspress.com/JMPP/AnastasiaC_Web16_4_.pdf
- https://www.brookings.edu/wp-content/uploads/2016/06/09_development_gibson.pdf
- https://blogs.worldbank.org/psd/a-universal-definition-of-small-enterprise-a-procrustean-bed-for-smes