Kleine und mittlere Unternehmen können sich nicht vor Cyberangriffen schützen. Das zeigt eine aktuelle Studie zur IT-Sicherheit im Auftrag des Deutschen Industrie- und Hammelskammertages (DIHK).

Gut die Hälfte aller Unternehmen in Deutschland ist in den vergangenen zwei Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Nach konservativen Berechnungen des Bitkom beläuft sich der entstandene Schaden für die gesamte deutsche Wirtschaft auf rund 51 Milliarden Euro pro Jahr. Und nach einer aktuellen Studie des Berliner Digitale Society Institute (DSI) ist kaum mit Besserung zu rechnen. Der im Auftrag des Deutschen Industrie- und Hammelskammertages (DIHK) erstellten Analyse zufolge sind die Anforderungen zu komplex, viele Technologien und Assessments zu teuer und Risiken zu schwer einzuschätzen, als dass kleinere Betriebe sich ohne Unterstützung angemessen gegen Cyber-Gefahren wappnen könnten.

Die Auswirkungen solcher IT-Sicherheitsvorfälle sind gravierend: Daten und wertvolle Arbeitszeit gehen verloren, Firmengeheimnisse werden ausspioniert, und nicht zuletzt leidet das Image bei Kunden und Geschäftspartnern, die ihre sensiblen Daten in guten Händen wissen wollen. „In einer Wirtschaft 4.0 kommt der Sicherheit informationstechnischer Systeme große Bedeutung zu“, kommentierte der stellvertretende DIHK-Hauptgeschäftsführer Achim Dercks die Ergebnisse der Untersuchung gegenüber dem Handelsblatt. „Jeden Tag gibt es neue Meldungen über Schwachstellen und Angriffe auf IT-Systeme.“

IT-Sicherheit in KMU nur schwer umsetzbar

„Gerade kleine und mittlere Unternehmen ergreifen nach eigener Aussage bislang noch eher selten vorbeugende Maßnahmen“, berichtete Dercks von den Erkenntnissen des DSI. „Auch bei Aktivitäten wie Firewalls und Virenschutz macht es Sinn, dass Betriebe über Verschlüsselung, entsprechende Hardware und Kooperation mit vertrauenswürdigen Betreibern solche Angriffe abwehren.“

IT-Sicherheit im Unternehmen gelinge jedoch nur, wenn sie „gelebt“ werde, warnte der stellvertretende DIHK-Hauptgeschäftsführer. Die Initiative dafür müsse von der Unternehmensleitung ausgehen. Die Studie gibt deshalb Unterstützung bei der Risikobeurteilung, sie enthält eine Handreichung zur Einführung von Maßnahmen und zur Einschätzung der potenziellen Verwundbarkeit von IT-Produkten. Darüber hinaus enthält die Untersuchung sicherheitsverbessernde Empfehlungen der Autoren. Sie betont aber auch, dass viele KMUs nicht in der Lage seien, „ausreichend qualifiziertes Personal anzustellen oder qualitativ hochwertige Weiterbildungsangebote zu identifizieren.“ Zudem seien kaum Verfahren implementiert, mit denen „Sicherheitsverweigerer“ in der IT im Sinne einer grundlegenden Gewährleistung belangt werden können.

Fazit: Mit dieser Studie stellen die Autoren Sandro Gaycken von der European School of Management and Technology (ESMT) und Rex Hughes von der University of Cambridge dem deutschen Mittelstand ein verheerendes IT-Sicherheits-Zeugnis aus. Die Analyse „Cyberreadiness in kleinen und mittleren Unternehmen“ steht hier zum Download bereit.