Diese Website verwendet Cookies. Wenn Sie unsere Seiten nutzen, erklären Sie sich hiermit einverstanden. Weitere Informationen

Eine Platine mit Leiterbahnen steht als Symbolbild für Cybersicherheit.

Das Wichtigste in Kürze

  • Kleine und mittlere Unternehmen (KMU) sind immer häufiger von Cyberattacken betroffen.
  • Wenn dadurch die Produktion stillsteht oder Kundendaten öffentlich werden, kann der Schaden schnell existenzbedrohend werden.
  • Ein umfassender Cyberschutz ist deshalb auch bei KMU unumgänglich.
  • Das Managementsystem zur Informationssicherheit CISIS12 wurde speziell auf die Bedürfnisse von KMU zugeschnitten, um den Cyberschutz effektiv zu erhöhen.
  • Die Genossenschafts-Treuhand Bayern GmbH (GTB) bietet Unterstützung bei der Einführung von CISIS12 an.
  • Zwölf GTB-Mitarbeiter haben sich als CISIS12-Berater zertifizieren lassen.
  • Die Einführung von CISIS12 wird vom Freistaat Bayern gefördert.

Kleine und mittlere Unternehmen (KMU) sollten sich nicht in falscher Sicherheit wiegen: Eine Cyberattacke kann jeden Betrieb treffen, wie der folgenschwere Angriff auf die Softwareschmiede Kaseya Anfang Juli gezeigt hat (siehe Kasten unten). Auch bayerische Genossenschaften waren indirekt schon von Hackerkriminalität betroffen, weil bei einem dritten Unternehmen nach einer Cyberattacke alle Maschinen stillstanden und dadurch die Lieferketten nachhaltig gestört waren.

Die Betriebe sind solchen Hackerangriffen jedoch nicht wehrlos ausgeliefert. So gehört der Aufbau eines Informationssicherheits-Managementsystems (ISMS) zu den grundlegenden Sicherheitsmaßnahmen, um Risiken zu minimieren. Es gibt dabei eine ganze Reihe von solchen Systemen, die speziell auf die Anforderungen von KMU zugeschnitten sind. CISIS12 ist so ein Managementsystem. Es wurde vom IT-Sicherheitscluster speziell für kleine und mittlere Unternehmen, aber auch Organisationen und Kommunen entwickelt. Im IT-Sicherheitscluster haben sich Unternehmen der IT-Wirtschaft mit Anwendern, Forschungs- und Weiterbildungseinrichtungen sowie Juristinnen und Juristen zusammengeschlossen, um Datenschutz, IT-Sicherheit und Informationssicherheit weiterzuentwickeln und zu fördern.

GVB-Mitarbeiter als CISIS12-Berater zertifiziert

Die Genossenschafts-Treuhand Bayern GmbH (GTB) – eine hundertprozentige Tochter des Genossenschaftsverbands Bayern (GVB) – unterstützt die bayerischen Genossenschaften und andere Unternehmen bei der Einführung von CISIS12. Anfang Juni 2021 legten zwölf Kolleginnen und Kollegen der GTB erfolgreich ihre Prüfung zum „CISIS12 IT Security Officer“ und „ICO CISIS12 Professional“ ab. Sie zählen zu den ersten CISIS12-Beratern bundesweit, die kleine und mittlere Unternehmen sowie Kommunen zu CISIS12 beraten dürfen. Auf der Webseite von CISIS12 findet sich eine Liste der zertifizierten Beraterinnen und Berater.

Cyberattacken: Es kann jedes Unternehmen treffen

Es ist nur das jüngste Beispiel von mittlerweile zahllosen Vorfällen: Rund 500 Supermärkte der schwedischen Lebensmittelkette Coop blieben Anfang Juli 2021 für mehrere Tage geschlossen, weil die Kassensysteme durch einen Verschlüsselungstrojaner lahmgelegt worden waren. Dabei hatten die Hacker die Märkte nicht einmal direkt ins Visier genommen. Ziel des Angriffs war das US-Unternehmen Kaseya, das Fernwartungssoftware für IT-Dienstleister anbietet. Die Hacker hatten ein solches Programm von Kaseya gekapert und ein Update manipuliert. Dadurch gelang es ihnen, einen Schadcode auf die Server und Rechner von bis zu 1.500 Unternehmen weltweit zu schleusen und deren Daten zu verschlüsseln. Auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) heißt es über Kaseya: „Zum Kundenkreis gehören auch viele kleine und mittlere Unternehmen.“

Dieser Hinweis sollte die bayerischen Genossenschaften aufhorchen lassen. Denn die Attacke auf Kaseya steht stellvertretend für vier Erkenntnisse:

  1. Auch kleine und mittlere Unternehmen werden vermehrt Opfer von Hackerangriffen, selbst wenn sie nicht direkt attackiert werden, sondern zum Beispiel über den Umweg eines IT-Dienstleisters.
  2. Der Schaden kann die Existenz bedrohen, wenn lebenswichtige IT-Systeme über Tage lahmgelegt werden, Geschäftsdaten unrettbar verloren gehen oder sensible Kundendaten an die Öffentlichkeit geraten.
  3. Angreifer nutzen Schadprogramme zunehmend für ungezielte Massenangriffe auf Unternehmen, Institutionen und Privatpersonen. Solche breiten Schadsoftware-Kampagnen können prinzipiell jeden treffen, wie das BSI in einem Interview mit „Profil“ betont.
  4. Die stärkere Vernetzung der Unternehmen vom Zulieferer bis zum Endkunden bedeutet zusätzliche Einfallstore für Angreifer und eine Zunahme potenzieller Gefahren und Risiken.

Managementsysteme zur Informationssicherheit (ISMS) wie CISIS12 begleiten ein Unternehmen bei der täglichen Arbeit mit der IT. Mit ihrer Hilfe lassen sich unterschiedliche Verantwortlichkeiten, Aufgaben, Prozesse und Dokumentationen so aufeinander abstimmen und verzahnen, dass bestimmte, zuvor festgelegte Ziele der Informationssicherheit erreicht werden. „Große Geschwister“ von CISIS12 sind zum Beispiel die Norm ISO 27001 oder die Mindeststandards für Informationssicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die Systematik von CISIS12 folgt dabei einem vorgegebenen Zyklus: Planen („Plan“) – Umsetzen („Do“) – Kontrollieren („Check“) – Reagieren („Act“). Die einzelnen Schritte werden für jede IT-Komponente jeweils mit konkreten Hilfestellungen unterlegt. So erhält der Informationssicherheits-Beauftragte quasi einen Werkzeugkasten mit einer Anleitung, zu welchen Werkzeugen er in einem konkreten Anwendungsfall greifen muss. Soll zum Beispiel eine neue IT-Anwendung eingeführt werden, sind im Vorhinein Maßnahmen für den sicheren Einsatz vorzusehen („Plan“). Anschließend müssen diese umgesetzt („Do“) und ihre Wirksamkeit überprüft werden („Check“). Wenn es bei der Umsetzung beziehungsweise der Wirksamkeit Probleme gibt, müssen die Sicherheitsmaßnahmen verbessert und gegebenenfalls in einem neuen Zyklus implementiert werden („Act“).

Zielgerichtete Beratung von KMU

Die für CISIS12 zertifizierten GTB-Mitarbeiterinnen und Mitarbeiter sind mit dem komplexen Thema der Informationssicherheit durch ihre langjährige Beratertätigkeit für Banken und Versicherungen bestens vertraut.  In der Finanzbranche gelten strenge Vorgaben zur Informationssicherheit. Durch die Zertifizierung als CISIS12-Berater können die GTB-Fachleute nun zielgerichtet auch kleine und mittlere Organisationen betreuen oder die Funktion als externer Informationssicherheits-Beauftragter übernehmen. Dies können Genossenschaften sein, aber auch nicht-genossenschaftliche Unternehmen oder Kommunen. Die Ausbildung und der hohe Wissensstandard der CISIS12-Beraterinnen und Berater werden durch das IT-Sicherheitscluster gewährleistet. Der Verein informiert darüber hinaus regelmäßig zur Informationssicherheit, sensibilisiert für die Wichtigkeit des Themas und bietet Zugang zu beratenden Firmen.

Cybersicherheit: Firmenkundenkampagne der bayerischen Volksbanken und Raiffeisenbanken

Ein hoher Schutz gegen digitale Bedrohungen ist für jedes Unternehmen elementar. Doch was ist, wenn doch einmal etwas passiert? Dann kann ein guter Versicherungsschutz das Unternehmen möglicherweise vor schlimmerem Schaden bewahren. Darum dreht sich auch die aktuelle Firmenkunden-Kampagne der bayerischen Volksbanken und Raiffeisenbanken, die noch bis Mitte November 2021 läuft. Ziel der Kampagne ist es, die Firmenkunden über die Risiken und Folgen von Internetkriminalität aufzuklären und sie auf die Angebote der Versicherungspartner der bayerischen Volksbanken und Raiffeisenbanken aufmerksam zu machen. Zentrale Kampagnen-Motive werden bayernweit durchgängig in verschiedenen Online-Medien wie Google, Xing oder LinkedIn geschaltet. Media-Schaltungen im Hörfunk sowie in ausgewählten Print-Publikationen verstärken die Kampagne im September und Oktober. Die bayerischen Volksbanken und Raiffeisenbanken haben die Möglichkeit, die Cyberschutz-Kampagne über ihre eigenen Kanäle (Online, Funk und Print) lokal zu verlängern. Weitere Infos dazu gibt es im MuV-Manager.

Der Freistaat fördert die Einführung von CISIS12

Der Freistaat Bayern fördert die Einführung von CISIS12. Hierfür gibt es das Programm „Digitalbonus Bayern“ für kleine Unternehmen bis 50 Mitarbeitenden sowie ein spezielles Förderprogramm zur Erhöhung der Informationssicherheit in bayerischen Kommunen. Unternehmen und Kommunen, die CISIS12 erfolgreich eingeführt haben, erhalten auf Wunsch ein Gütesiegel, das zum Beispiel in der Öffentlichkeitsarbeit verwendet werden kann.


Manuela Feese-Zolotnitski ist Spezialistin für das Beauftragtenwesen im Datenschutz und in der Informationssicherheit beim Genossenschaftsverband Bayern.

Kontakt zur Genossenschafts-Treuhand Bayern GmbH

Die Genossenschafts-Treuhand Bayern GmbH Wirtschaftsprüfungsgesellschaft (GTB) hat ihren Sitz in den Räumen des Genossenschaftsverbands Bayern (GVB) in München, Türkenstraße 22-24. Kontakt: gtb(at)gv-bayern.de oder 089 / 2868-3580.

Artikel lesen
Rat