Handtaschendiebstahl und Banküberfälle sind eher „Old Scholl“. Denn heute werden Personen, Unternehmen und staatliche Einrichtungen über Datenleitungen betrogen und erpresst. Wie wir alle darauf vorbereitet sind, hat luckx – das magazin recherchiert.
IT-Sicherheit vieler deutscher Unternehmen ist mangelhaft
Aus einer aktuellen Studie ist zu entnehmen, dass sowohl der technische als auch der organisatorische Schutz zahlreicher mittelständischer Unternehmen gefährliche Sicherheitslücken zeigt. Und das, obwohl die zunehmende Cyberbedrohung tagtäglich in den Medien kommuniziert wird. So vernachlässigen viele mittelständische Unternehmen grundlegende Schutzmaßnahmen. Zwar halten sich 77 Prozent der Befragten für ausreichend gegen Cyberangriffe gewappnet, tatsächlich erfüllen aber mehr als zwei Drittel noch nicht einmal alle Basiskriterien für IT-Sicherheit wie starke Passwörter oder regelmäßige Updates. „Die Mehrheit der Unternehmen (52 Prozent) schätzt ihre IT-Sicherheitslage besser ein, als sie tatsächlich ist“, sagt Jörg Asmussen, Hauptgeschäftsführer des GDV. Wie die Umfrage zeigt, vernachlässigen viele Unternehmen technische und organisatorische Schutzmaßnahmen. Manche Unternehmen sind bei der Datensicherung zu nachlässig, andere führen notwendige Software-Updates nicht zeitnah durch. Dadurch entstehen vermeidbare Sicherheitslücken. Besonders auffällig: 64 Prozent verzichten auf Schulungen zur Sensibilisierung ihrer Belegschaft. Und das, obwohl 68 Prozent der erfolgreichen Cyberangriffe mit einer Phishing-Mail oder einer E-Mail mit Schadsoftware starten.
Kein Notfallplan vorhanden
Auch auf einen erfolgreichen Angriff sind viele nicht vorbereitet. „Jedes zweite Unternehmen (48 Prozent) hat für den Ernstfall keinerlei Notfallplan entwickelt“, sagt Jörg Asmussen. Dementsprechend können die Angreifer erhebliche Schäden verursachen. Gleichzeitig zeigt die Umfrage eine weit verbreitete Sorge vor einem großflächigen Cyberangriff: 89 Prozent der befragten Unternehmen halten es für wahrscheinlich, dass eine gezielte Attacke auf Schlüsselunternehmen der deutschen Wirtschaft zu massiven volkswirtschaftlichen Schäden führen könnte, etwa durch den Ausfall kritischer Infrastruktur oder zentraler Lieferketten. Nur eine Minderheit glaubt, dass Wirtschaft (31 Prozent) oder Behörden (29 Prozent) auf einen solchen Angriff vorbereitet seien.
Trotzdem sind die Erwartungen an staatliche Stellen hoch: Über die Strafverfolgung und Aufklärung hinaus sehen 73 Prozent der Befragten es als Aufgabe des Staates, in einer Cyber-Katastrophe technische Hilfe zu leisten. 57 Prozent sehen den Staat sogar in der Pflicht, betroffenen Unternehmen finanziell zu helfen. „Die hohe Erwartungshaltung an den Staat steht in scharfem Kontrast zur mangelhaften Cybersicherheit vieler Unternehmen“, sagt Asmussen.
Risikoeinschätzung mangelhaft
Die Wahrnehmung der Bedrohungslage ist im Mittelstand auf den ersten Blick angemessen: 78 Prozent der Befragten halten das Risiko eines Cyberangriffs auf KMU für eher oder sehr hoch. Für ihr eigenes Unternehmen bewerten die gleichen Befragten dieselbe Gefahr ganz anders: Jetzt sehen nicht mehr 78 Prozent ein eher oder sehr hohes Risiko, sondern nur noch 38 Prozent. Diese trügerische Sicherheit resultiert häufig aus der Überzeugung, dass das eigene Unternehmen zu klein oder nicht interessant genug wäre, um in den Fokus von Hackern zu geraten. Ganze 78 Prozent der Unternehmen, die ihr Risiko als gering einschätzen, halten ihr Unternehmen für umfassend geschützt.
Zur Umfrage
Im Rahmen seiner Initiative CyberSicher beauftragt der GDV die Forsa seit 2018 jährlich mit einer repräsentativen Befragung von 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen zu ihrer Wahrnehmung von Cyberrisken und den IT-Sicherheitsmaßnahmen der Unternehmen.