IT-Sicherheit: Der Mittelstand setzt auf das Prinzip Hoffnung
Den meisten kleinen und mittelständischen Unternehmen in Deutschland ist bewusst, wie sehr ihre Arbeit mittlerweile von funktionierenden Computersystemen abhängig ist. Sie wissen auch, dass Cyberkriminalität eine Gefahr darstellt. Doch das Risiko, selbst einmal Opfer eines Cyberangriffs zu werden, verdrängen viele – es trifft ja immer nur die anderen.
Betriebsunterbrechungen sind eine der häufigsten und in der Regel die teuersten Folgen von Cyberattacken – und können Unternehmen quer über alle Branchen ins Mark treffen. In der Produktion stehen die Bänder still, Händler können weder liefern noch Zahlungen abwickeln, Ärzte haben keinen Zugriff auf Patientendaten, Hoteliers keinen Überblick über Gäste und die noch freien Zimmer. Dieser Zustand ist in den wenigsten Fällen innerhalb kurzer Zeit behoben: Wie aus der diesjährigen Forsa-Umfrage zur Cybersicherheit des deutschen Mittelstandes hervorgeht, braucht die Hälfte der Betroffenen bis zu drei Tage, bis alle Systeme wieder laufen, bei 22 Prozent dauerte es sogar noch länger.
Das stellt die meisten vor große Probleme: Sechs von zehn kleinen und mittelständischen Unternehmen müssten ihre Arbeit in dieser Zeit einstellen oder zumindest stark einschränken. Je größer die Unternehmen, desto größer ist auch die Abhängigkeit von funktionierenden IT-Systemen: Unter den Firmen mit 50 oder mehr Mitarbeitern wären 87 Prozent bei einem mehrtägigen Ausfall der IT voraussichtlich lahmgelegt.
Wie sehr sie mittlerweile vom Funktionieren der Technik abhängig sind, haben die Unternehmen in Deutschland also längst verinnerlicht, und auch das Risikobewusstsein ist durchaus vorhanden – immerhin 69 Prozent erkennen ein hohes Risiko durch Cyberkriminalität für die mittelständische Wirtschaft.
Dennoch bleibt das Risiko für die meisten abstrakt. Denn erstaunlicherweise bewerten die gleichen Befragten die Gefahr für sich selbst ganz anders: Hier sehen auf einmal nicht mehr 69 Prozent ein hohes Risiko, sondern nur noch 28 Prozent. Anders ausgedrückt: 41 Prozent meinen, es gibt ein hohes Risiko für andere, aber nicht für sie.
Viele Unternehmen glauben, ihre Daten seien für Hacker uninteressant
Wie erklärt sich diese Lücke? Die Antwort auf diese Frage ist nicht wirklich schmeichelhaft, denn sie lässt wohl am ehesten auf gut funktionierende Verdrängungsprozesse schließen. So meinen 70 Prozent, dass ihre Daten für Hacker nicht interessant wären, 60 Prozent halten ihr Unternehmen für zu klein, um in den Fokus von Cyberkriminellen zu gelangen. 58 Prozent machen geltend, dass sie bisher schließlich noch nie Opfer einer erfolgreichen Cyberattacke waren – und ganze 81 Prozent halten ihr Unternehmen für umfassend geschützt. „Die ganzen Irrglauben rund um Cyberkriminalität halten sich seit Jahren hartnäckig und führen zu nichts anderem, als dass die Angreifer leichtes Spiel haben“, ärgert sich GDV-Cyberexperte Peter Graß. Dabei sollten gerade die sogenannten Ransomware-Angriffe in den vergangenen Jahren klar gemacht haben, dass es jeden treffen kann; gerade weil Hacker nicht das eine große und gut geschützte Ziel ins Visier nehmen, solange es viel leichter ist, massenhaft Kleinbeiträge zu erpressen.
Wo das eigene Risiko verdrängt oder gar nicht erst erkannt wird, liegt häufig auch die IT-Sicherheit im Argen
Denn eines wissen die Cyberkriminellen mit Sicherheit: Wo das Risiko verdrängt oder gar nicht erst erkannt wird, liegt in der Regel auch die IT-Sicherheit im Argen. Auch das zeigt die Umfrage. So wollen gerade einmal etwas mehr als die Hälfte der befragten Unternehmen in den kommenden zwei Jahren in die Sicherheit ihrer Systeme investieren – obwohl die Investition von Zeit und Geld in vielen Fällen angebracht wäre. Vielerorts fehlt es schon an den notwendigen Strukturen: in 44 Prozent der Unternehmen ist niemand explizit für die IT-Sicherheit verantwortlich, 48 Prozent bereiten sich auf eine Cyberattacke auch nicht vor. Geradezu folgerichtig werden auch die Mitarbeiter nicht für die Gefahren sensibilisiert: Nicht mal in einem Drittel der befragten Unternehmen gibt es entsprechende Schulungen. Wozu auch, wenn es das eigene Unternehmen ja sowieso nicht trifft?
Hintergrund: Die Initiative CyberSicher
Mit der Initiative CyberSicher sensibilisieren die Versicherer für die Gefahren aus dem Cyberspace und zeigen, wie sich kleine und mittlere Unternehmen (max. 250 Mitarbeiter und max. 50 Mio. Euro Jahresumsatz) schützen können. In diesem Rahmen hat der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH mit einer repräsentativen Befragung von 300 Entscheidern in kleinen und mittleren Unternehmen beauftragt. Die Interviews fanden zwischen dem 27. März und dem 23. April 2020 statt. Darüber hinaus wurde die PPI AG beauftragt, die Sicherheit der IT-Systeme von 1.019 kleinen und mittleren Unternehmen passiv zu testen. Dabei erfasst und bewertet das Analyse-Tool cysmo alle öffentlich einsehbaren Informationen aus Sicht eines potentiellen Angreifers. Die Tests fanden im Juni 2020 statt.