Zur Suche
Digitalisierung

Kleinere produzierende Unternehmen überschätzen ihre Abwehrkräfte

Die mittelständische produzierende Wirtschaft ist ein bevorzugtes Ziel von Cyberkriminellen. Die Firmen sind auf diese Angriffe aber nicht ausreichend vorbereitet.

Lesedauer
© yoh4nn/GettyImages

Viele produzierende Mittelständler meinen, ihr Betrieb sei für Cyberkriminelle nicht interessant. Doch ein Viertel war schon betroffen.

Das zeigen mehrere vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) beauftragte Studien zur IT-Sicherheit im Maschinenbau und in der Elektro-, Chemischen, Kunststoffverarbeitenden und Lebensmittelindustrie.

Jedes vierte Unternehmen war schon Opfer von Cyberangriffen 

In einer repräsentativen Forsa-Umfrage unter 500 Unternehmen gab ein Viertel (26 Prozent) der befragten Mittelständler an, bereits Opfer von Cyberattacken gewesen zu sein. Infolge der Angriffe stand jeder zweite Betrieb zeitweise still und musste Zeit und Geld in die Wiederherstellung seiner Systeme investieren; teilweise zahlten die Unternehmen für ihre gesperrten Daten und IT-Systeme auch Lösegelder.

„Angesichts der vielen erfolgreichen Angriffe sollte IT-Sicherheit in den produzierenden Unternehmen die höchste Priorität haben. Die Verantwortlichen müssten mehr und bessere Schutzvorkehrungen treffen, die Mitarbeiter sensibilisieren und Notfallpläne schmieden. Stattdessen flüchtet man sich vielerorts darin, das Problem mehr oder weniger bewusst zu ignorieren“, sagt GDV-Hauptgeschäftsführer Jörg Asmussen. 

Denn trotz der hohen Betroffenheit der produzierenden Mittelständler gehen 55 Prozent der Befragten für ihr Unternehmen von einem geringen Risiko aus. Ihre Argumente: Das eigene Unternehmen sei zu klein, die Daten für Kriminelle nicht interessant; viele machen auch geltend, dass bisher nichts passiert und das IT-System umfassend geschützt sei. Insgesamt meinen 75 Prozent der befragten Unternehmen, sie täten genug zum Schutz gegen Cyberkriminalität.

Leichte Beute für Phishing-Attacken

In den GDV-Untersuchungen zeigten sich hingegen viele Unternehmen verwundbar: In einem eingehenden Sicherheitscheck bei 40 freiwillig teilnehmenden Mittelständlern hätten Angreifer mehr als die Hälfte der Unternehmen hacken, Daten manipulieren oder die IT-Systeme komplett übernehmen können.

„Vergleicht man die IT-Systeme mit Häusern, haben die Eingangstüren drei Schlösser, aber die Fenster stehen offen – und niemand schaut nach, was drinnen los ist“, sagt der Hacker und IT-Sicherheitsberater Michael Wiesner, der die Unternehmen für den GDV getestet hat. Allein über Phishing-Mails und gefälschte Webseiten gelang es ihm, an die Zugangsdaten von insgesamt 200 Mitarbeitern aus 19 Unternehmen zu gelangen. In sieben weiteren Unternehmen hatten Angestellte zwar keine Daten preisgegeben, aber Links angeklickt, mit denen sie Schadsoftware auf ihre Rechner laden könnten.

E-Mail-/Passwort-Kombinationen im Darknet

Eine Recherche im Darknet zeigte zudem, dass Mitarbeiter produzierender Unternehmen zu sorglos mit ihren Daten umgehen. Von rund 2.500 zufällig ausgewählten Mittelständlern konnte die mit der Suche beauftragte PPI AG Daten von über 1.000 Unternehmen im Darknet finden, darunter mehr als 35.000 E-Mail-/Passwort-Kombinationen von Mitarbeitern. Viele dieser Funde ließen sich darauf zurückführen, dass die Angestellten ihre berufliche E-Mail-Adresse für private Zwecke nutzten und sich für Online-Shops, soziale Netzwerke oder sogar Dating-Portale angemeldet hatten.

„Weil viele immer die gleichen oder sehr ähnliche Passwörter nutzen, können solche Daten von Cyberkriminellen leicht ausgenutzt werden“, warnt Gert Baumeister, Vorsitzender der Projektgruppe Cyberversicherung im GDV. Unternehmen sollten für die Nutzung der Mail-Adressen klare Regeln aufstellen und die Mitarbeiter entsprechend schulen.

Nur 30 Prozent erfüllen die wichtigsten Anforderungen für IT-Sicherheit vollständig

Handlungsbedarf zeigen auch die Selbstauskünfte der befragten Unternehmen in der Forsa-Umfrage: Zwar werden in den meisten Betrieben sichere Passwörter erzwungen und Sicherheitsupdates automatisch eingespielt. Aber vier von zehn Unternehmen erlauben den Mitarbeitern, ihre privaten Geräte in der IT-Umgebung des Betriebes zu nutzen; 20 Prozent bewahren ihre Sicherheitskopien so auf, dass auch sie bei einem Hackerangriff verschlüsselt oder gelöscht werden könnten.

Insgesamt erfüllten nur 30 Prozent die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit. Gleichzeitig sind viele Unternehmen nur unzureichend auf einen erfolgreichen Angriff vorbereitet: 41 Prozent der befragten Unternehmen hatten für den Ernstfall weder ein Notfallkonzept noch eine Vereinbarung mit ihrem IT-Dienstleister.

 

Hintergrund: Die Initiative CyberSicher des GDV

Mit der Initiative CyberSicher nimmt der GDV die IT-Risiken einzelner Branchen unter die Lupe und zeigt, wie sich kleine und mittlere Unternehmen schützen können. In diesem Rahmen hat der GDV drei Untersuchungen mittelständischer Unternehmen aus dem Maschinenbau, der Elektro-, Kunststoffverarbeitenden, Chemischen und Lebensmittelindustrie beauftragt:

  • Der Hacker und IT-Sicherheitsexperte Michael Wiesner prüfte die technische und organisatorische IT-Sicherheit von 40 freiwillig teilnehmenden Mittelständlern aus dem produzierenden Gewerbe, unter anderem griff er die Unternehmen dabei mit Phishing-Mails an.
  • Die PPI AG analysierte die Sicherheit der IT-Systeme von jeweils rund 500 Unternehmen der genannten Branchen. Dabei erfasst und bewertet sie mit dem Analyse-Tool Cysmo alle öffentlich einsehbaren Informationen aus Sicht eines potentiellen Angreifers. Zur Analyse gehört außerdem eine Suche nach Unternehmensdaten im Darknet. Die Tests fanden im März und April 2020 statt.
  • Die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH befragte aus jeder der fünf Branchen jeweils 100 für die Internetsicherheit zuständigen Mitarbeiter. Die Interviews fanden zwischen dem 28. Januar und dem 26. Februar 2020 statt.

Der Cyber-Sicherheitscheck des GDV unter www.gdv.de/cybercheck stellt die wichtigsten Fragen rund um die IT­Sicherheit von Unternehmen. So lässt sich schnell herausfinden, wie sicher die Systeme sind, wo es Schwachstellen gibt und wie sich diese schließen lassen.