Analyse von Cyber-Risiken: Großunternehmen vs. SMBs
Die Anforderungen an die Cybersicherheit sind für alle Unternehmen ähnlich, aber die Risiken, denen sie ausgesetzt sind, und die Strategien, mit denen sie ihnen begegnen müssen, hängen von der Größe des Unternehmens ab.
Wichtige Punkte
- Das Cyber-Risiko bleibt für alle Unternehmen akut, ist aber je nach Größe der Organisation ganz unterschiedlich ausgeprägt.
- Große Unternehmen müssen ihre komplizierten Lieferketten verteidigen und sind mit mehr internen Bedrohungen konfrontiert.
- Kleine und mittlere Unternehmen verfügen oft nicht über die Ressourcen, die sie zur Bewältigung der Risiken benötigen, mit denen sie konfrontiert sind.
- Der Bericht State of Email Security 2023 von Mimecast zeigt diese Unterschiede auf und verdeutlicht, dass Unternehmen verschiedener Größe unterschiedliche Anforderungen an die Cyber-Sicherheitsbereitschaft haben.
Zwar benötigen alle Unternehmen eine starke E-Mail-Sicherheit, doch die Risiken, denen sie ausgesetzt sind, variieren oft je nach den jeweiligen Umständen. Einer der wichtigsten Aspekte dabei ist die Größe der Unternehmen und die entsprechenden Strategien für die Cybersicherheit
Cyberangriffe auf sehr große Unternehmen können Hunderttausende oder sogar Millionen von Nutzern betreffen, weshalb die Medien in der Regel auf sie aufmerksam werden. In der Realität finden jedoch mindestens die Hälfte aller Sicherheitsverletzungen in kleinen und mittleren Unternehmen (KMU) statt,[1] . Einigen Berichten zufolge sind kleinere Unternehmen mit weniger als 500 Mitarbeitern dreimal so häufig von Angriffen betroffen wie größere Unternehmen mit 10.000 oder mehr Mitarbeitern.[2]
Ein Hauptgrund dafür ist, dass viele KMUs die Cybersicherheit zwar ernst nehmen, aber nicht immer über die erforderlichen Ressourcen für eine solide Verteidigung verfügen. Sie glauben vielleicht auch, dass die Angreifer eher hinter größeren Fischen her sind. Doch oft ist das Gegenteil der Fall: Da große Unternehmen über mehr Ressourcen verfügen und sich in der Regel größere Budgets und Mitarbeiter für die Cybersicherheit leisten können, sind sie für viele Cyberkriminelle eine härtere Nuss, die es lieber auf die niedrig hängenden Früchte abgesehen haben.
Cyber-Risiken für David gegen Goliath
Auf der anderen Seite sind größere Unternehmen mit bestimmten Risiken konfrontiert, die bei kleineren Unternehmen weniger häufig auftreten. Zum Beispiel sind ihre Lieferketten in der Regel viel komplexer, mit viel mehr Gliedern in der Kette. Denken Sie zum Beispiel an ein Unternehmen wie Walmart und die Tausenden von Lieferanten, mit denen es zu tun hat. Jeder von ihnen stellt eine potenzielle Schwachstelle in der Cybersicherheitsverteidigung des Unternehmens dar.
Ein weiteres Beispiel: Große Unternehmen haben oft weitläufige Betriebe und viel mehr Mitarbeiter als ihre kleineren Brüder. Dies erschwert die Identifizierung und Lokalisierung von Angriffen und erhöht auch das Risiko interner Bedrohungen, z. B. durch verärgerte Mitarbeiter.
Der kürzlich fertig gestellte Bericht von Mimecast The State of Email Security 2023 (SOES 23) bringt all dies auf den Punkt. Der Bericht, für den 1.700 Unternehmen in 13 Ländern befragt wurden, umfasst Interviews mit Fachleuten für Informationstechnologie und Cybersicherheit aus 255 kleineren Unternehmen mit 250 bis 500 Mitarbeitern (15 % des Gesamtspektrums) und 153 Großunternehmen mit über 10.000 Mitarbeitern (9 % des Gesamtspektrums).
Zu den wichtigsten Unterschieden gehören:
- In den vergangenen 12 Monaten waren praktisch alle der diesjährigen SOES-Befragten (97 %) Ziel eines Phishing-Angriffs , wobei die Mehrheit (59 %) mehr Angriffe als in den Vorjahren erlebte. In großen Unternehmen mit mehr als 10.000 Mitarbeitern ist dies sogar noch weiter verbreitet: 73 % berichten von einem deutlichen Anstieg der Phishing-Versuche.
- Zwei Drittel der diesjährigen SOES-Befragten berichteten ebenfalls, Opfer von ransomwaregeworden zu sein, doch in diesem Fall waren kleinere Unternehmen stärker betroffen. Während 70 % zugaben, dass ein Ransomware-Angriff ihrem Unternehmen geschadet hat, waren weniger als die Hälfte der befragten Großunternehmen (46 %) in ähnlicher Weise betroffen.
- Obwohl die große Mehrheit der SOES-Befragten angab, zumindest minimal auf einen Angriff vorbereitet zu sein, bei dem ihre E-Mail-Domäne gefälscht wird, gaben nur 29 % der kleineren Unternehmen an, dass sie vollständig auf eine Spoofing-Bedrohung vorbereitet sind, verglichen mit 35 % bei größeren Unternehmen. Das Gleiche gilt für die Bekämpfung einer betrügerischen Website, die die eigene nachahmt (28 % gegenüber 33 %), obwohl kleinere Unternehmen genauso häufig wie größere Unternehmen auf diese Weise angegriffen werden.
- Die Befragten, sowohl große als auch kleine Unternehmen, gaben an, dass sie die Kollaborationstools von ausgiebig nutzen und sie für ihr Unternehmen als unverzichtbar ansehen. Kleinere Unternehmen fühlen sich jedoch eher unzureichend vor den von diesen Tools ausgehenden Risiken geschützt als größere Unternehmen (60 % gegenüber 51 %), obwohl letztere die größte Zunahme von Angriffen durch Collaboration-Tools verzeichnen (42 % gegenüber 36 %).
- Es überrascht nicht, dass größere Unternehmen weitaus häufiger als KMU über defensive Technologien verfügen. So verfügen beispielsweise fast 63 % der Großunternehmen über Systeme zur Überwachung und zum Schutz vor Datenlecks und Datenexfiltration in ausgehenden E-Mails, während es bei kleineren Unternehmen nur 36 % sind.
- Auch bei der Nutzung von Künstlicher Intelligenz (KI) und maschinellem Lernen (ML) für die Cybersicherheit hinken kleinere Unternehmen größeren Unternehmen hinterher. Während 43 % der befragten KMUs eine Art von KI oder ML in ihre Cybersicherheitsprogramme integriert haben, haben 52 % der Großunternehmen dasselbe getan.
- Umgekehrt sind kleinere Unternehmen eher auf die Cyberversicherung angewiesen als größere Unternehmen. Nahezu die Hälfte (49 %) sieht in solchen Policen ein "umfassendes Sicherheitsnetz" für ihre Cyberrisiken, verglichen mit nur 37 % der Großunternehmen.
Die Quintessenz
Sowohl große als auch kleine Unternehmen stehen vor gewaltigen Herausforderungen im Bereich der Cybersicherheit - aber die Herausforderungen sind nicht identisch. Kleine und mittlere Unternehmen haben möglicherweise Schwierigkeiten, ausreichende Ressourcen für ihre Verteidigung aufzubringen, und geraten daher häufiger ins Visier von Cyberkriminellen; Unternehmen müssen sich mit komplexeren und schwer fassbaren Bedrohungen auseinandersetzen. Beide brauchen zwar eine starke Cyber-Vorbereitung, doch sollten ihre Pläne auf ihre jeweiligen Bedürfnisse zugeschnitten sein.
Um mehr darüber zu erfahren, wie Unternehmen aller Größen mit den heutigen erhöhten Cyber-Risiken umgehen, laden Sie den vollständigen State of Email Security 2023 Bericht herunter.
[1] "Cyberattacken und Ihr kleines Unternehmen," Business News Daily
[2] "Kleine Unternehmen sind häufigere Ziele von Cyberangriffen als größere Unternehmen," Forbes
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!