Hacker, Datenklau, Spionage – vor allem kleine und mittelständische Firmen unterschätzen laut einer aktuellen Studie die Risiken durch Cyberangriffe. Es drohen finanzielle Schäden. Weiterbildung ist ein erster Schritt zu mehr Sicherheit.
Schon 2011 hat der Sicherheitsdienstleister Kaspersky davor gewarnt, dass der Mittelstand auf Cyberbedrohungen nur unzureichend vorbereitet sei. Oft fehle das dafür notwendige IT-Know-how oder schlichtweg die Ressourcen. Auch das Bundesamt für Sicherheit in der Informationstechnologie attestierte damals den KMU, die immerhin 99 Prozent der Unternehmen in Deutschland ausmachen, in einzelnen Teilbereichen erheblichen Nachholbedarf. Insbesondere im Bereich der geschäftskritischen IT-Sicherheitsprozesse – dem Umgang mit Sicherheitsvorfällen, dem Notfallmanagement und der Bewertung der Gefahrenbereiche – zeigen sich deutliche Schwächen.
Nach einer aktuellen Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC hat sich die Situation drei Jahre später nicht gebessert. Danach ist der deutsche Mittelstand auf Hackerangriffe, Datendiebstahl und andere Formen der Cyber-Kriminalität nur unzureichend vorbereitet. Sicherheitsvorkehrungen seien häufig lückenhaft oder überhaupt nicht implementiert – rund jedes fünfte von 405 befragten Unternehmen hat keine Prozesse zur Informationssicherheit definiert oder kann hierzu keine näheren Angaben machen. Höhere Investitionen in die Informationssicherheit plant ungeachtet der zahlreichen im Jahr 2013 aufgedeckten Datenskandale nur rund jedes zweite Unternehmen.
Schäden im sechsstelligen Bereich
So war laut PwC-Studie gut jedes fünfte Unternehmen schon mindestens einmal Ziel einer Cyber-Attacke. Allerdings kann mehr als die Hälfte der Betroffenen (58 Prozent) nicht genau angeben, welche Bereiche beziehungsweise Daten angegriffen wurden und welche Folgen dies hatte. „Es ist davon auszugehen, dass etliche Attacken von den Unternehmen gar nicht bemerkt werden, weil erforderliche Monitoring- und Kontrollverfahren fehlen“, kommentiert Derk Fischer, PwC-Partner und Experte für IT-Sicherheit. Trotz dieser unsicheren Informationslage geht jedes zweite Unternehmen davon aus, dass durch Angriffe kein finanzieller Schaden entstanden ist. In gut jedem dritten geschädigten Betrieb beliefen sich die Verluste demgegenüber auf bis zu 100.000 Euro, noch höhere Schäden identifizierten lediglich drei Prozent der Befragten.
Als Ursachen für die Bedrohung identifziert die Studie folgende sicherheitsrelevante IT-Themen:
- Cloud Computing (47 Prozent);
- Bring your own device (BYOD): Rund jeder vierte nennt die zunehmende betriebliche Nutzung privater Endgeräte bzw. Sicherheitsrisiken durch den externen Zugriff auf die Unternehmens-IT via Smartphone und Tablet;
- Datenspionage: Zwar gehen annähernd 30 Prozent der Unternehmen davon aus, dass sie zum Ziel geheimdienstlicher Ausspähprogramme wie PRISM oder Tempora geworden sind. Doch nur 20 Prozent halten ihre Sicherheitsmaßnahmen vor diesem Hintergrund für nicht mehr ausreichend. Eine Erklärung für diese Differenz dürfte sein, dass gut zwei Drittel der Unternehmen keinen wirksamen Schutz vor Datenzugriffen durch Geheimdienste sehen.
„Unternehmen manövrieren sich ins Abseits“
Defizite sehen die Experten auch in Sachen Weiterbildung und Sensibilisierung für IT-Sicherheit. in fast jedem zweiten Unternehmen gibt es keine kontinuierlichen Schulungen zur IT-Sicherheit: 37 Prozent der Betriebe halten eine einmalige Unterweisung für ausreichend, bei 11 Prozent gibt es sogar überhaupt keine Sicherheitsschulung. Diese Weiterbildungsdefizite dürften darauf zurückzuführen sein, dass sich nur gut die Hälfte der Unternehmen (53 Prozent) an Standards zur Informationssicherheit wie beispielsweise dem ISO 27001 orientiert.Bei den übrigen wird Informationssicherheit nicht nach einem durchgehend prozessorientierten Ansatz verfolgt. „Damit manövrieren sich die Unternehmen jedoch auf Dauer ins Abseits: Mit zunehmender Vernetzung der Wertschöpfungskette müssen sich die beteiligten Unternehmen neuen Herausforderungen stellen“, so Peter Barteils, PwC-Vorstand und Leiter des Bereiches Familienunternehmen und Mittelstand. Die Ideen zu einem ‚Meldegesetz’ für sicherheitsrelevante Vorfälle seien insbesondere für das Mittelstandssegment ein ganz wichtiger Ansatz. Denn im Alleingang haben diese keine Chance im Wettlauf mit Hackern und Cyber-Kriminellen, so Bartels.
Ein großer Fehler sei es, vor dem Risiko zu resignieren. „Auch bei der Cyberkriminalität gilt das Sprichwort von der Gelegenheit, die Diebe schafft“, erklärt Fischer im Interview. „Unternehmen können durch Sicherheitsmaßnahmen eine erfolgreiche Attacke so weit erschweren, dass sie sich für den Angreifer nicht mehr lohnt.“
Wie real die Bedrohung ist, zeigen verschiedene im Internet verfügbare Tools. So bietet die Telekom unter www.sicherheitstacho.eu einen Echtzeit-Überblick über die weltweit aktuellen Cyberangriffe. Auch Kaspersky hat vor wenigen Wochen eine Cyberthreat Real-Time Map veröffentlicht, mit der sich Anwender über die aktuelle Bedrohungslage informierten können.