Mittelstand ist auf Cyberangriffe schlecht vorbereitet

Rund die Hälfte der Befragten (48%) gab demnach zu, weder einen Notfallplan noch eine entsprechende Vereinbarung mit einem IT-Dienstleister zu haben. „Viele Unternehmen reagieren auf einen Cyberangriff plan- und kopflos. Das kostet im Ernstfall viel Geld, weil es länger dauert, bis die IT-Systeme gesäubert und die Daten wiederhergestellt sind“, sagt GDV-Cyberexperte Peter Graß.

Laut der repräsentativen Umfrage unter 300 Entscheidern kleiner und mittlerer Unternehmen im Auftrag des GDV gelang es nur einem Drittel der bisher angegriffenen Unternehmen, die IT-Systeme innerhalb eines Tages wieder zum Laufen zu bringen. Jedes fünfte Unternehmen benötigte dafür sogar mehr als drei Tage. Das  kann gravierende Folgen haben, denn die Abhängigkeit von einer funktionierenden Technik ist hoch: Sechs von zehn befragten Unternehmen (58%) können bei einem Ausfall ihrer IT-Systeme kaum noch arbeiten. 

Grafik herunterladen

Menschliche und technische Schwächen machen es Kriminellen leicht

Die mangelnde Vorbereitung auf den Ernstfall ist nur eine von vielen Schwächen des Mittelstandes bei der Cybersicherheit. In 44 Prozent der befragten Unternehmen ist niemand explizit für die Sicherheit der IT-Systeme verantwortlich, nicht mal ein Drittel (31%) sensibilisiert seine Mitarbeiter mit Schulungen für die Gefahren aus dem Internet. Das nutzen die Angreifer aus: Gezielte Hacks der IT-Systeme oder DDoS-Attacken sind eher Ausnahmen, die Mehrheit der erfolgreichen Angriffe (58%) kommt per Mail ans Ziel, weil Mitarbeiter verseuchte Anhänge öffnen oder schädliche Links anklicken.

Weitere Sicherheitslücken ergeben sich aus den IT-Systemen selbst: Bei einer Untersuchung von 1.019 Mittelständlern stellte das Analyse-Tool cysmo bei vier Prozent der Firmen veraltete Software fest, für die es keine Sicherheitsupdates mehr gibt. Auch die Selbstauskünfte der befragten Unternehmen in der Forsa-Umfrage zeigen Handlungsbedarf auf: Zwölf Prozent spielen Sicherheitsupdates nicht automatisch ein, 24 Prozent verzichten auf mindestens wöchentliche Sicherheitskopien ihrer Daten und 25 Prozent lassen auch einfachste Passwörter zu.

Insgesamt erfüllt nur jedes fünfte befragte Unternehmen die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit. „Der Mittelstand müsste viel mehr für den Schutz seiner IT-Systeme tun. Aktuell zeigen sich große Sicherheitslücken, die Cyberkriminelle ausnutzen können“, sagt Graß.

Hin­ter­grund: Die Initia­tive Cyber­Si­cher

Mit der Initiative CyberSicher sensibilisieren die Versicherer für die Gefahren aus dem Cyberspace und zeigen, wie sich kleine und mittlere Unternehmen (max. 250 Mitarbeiter und max. 50 Mio. Euro Jahresumsatz) schützen können. In diesem Rahmen hat der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH mit einer repräsentativen Befragung von 300 Entscheidern in kleinen und mittleren Unternehmen beauftragt.

Die Interviews fanden zwischen dem 27. März und dem 23. April 2020 statt. Darüber hinaus wurde die PPI AG beauftragt, die Sicherheit der IT-Systeme von 1.019 kleinen und mittleren Unternehmen passiv zu testen. Dabei erfasst und bewertet das Analyse-Tool cysmo alle öffentlich einsehbaren Informationen aus Sicht eines potentiellen Angreifers. Die Tests fanden im Juni 2020 statt.

Cyberrisiken im Mittelstand 2020

Lesen Sie im Report „Cyberrisiken im Mittelstand 2020“:

• Das Prinzip Hoffnung regiert: Obwohl die meisten Unternehmen eine Cyberattacke hart treffen würde, hat IT-Sicherheit vielerorts keine Priorität.
• Neugier und Komfort schlagen die Datensparsamkeit: Viele Unternehmen legen mehr Wert darauf, Daten zu sammeln als Daten zu schützen.
• Wie eine  erfolgreiche Attacke Unternehmen verändert: Wer nicht mehr zum Opfer werden will, stärkt die Strukturen und sensibilisiert die Mitarbeiter
• Ab in die Cloud? Wer seine Daten in der Cloud speichert, sollte die Chancen und Risiken kennen.