Den meisten Firmen fehlt ein ausreichender Cyberschutz

Eine aktuelle Befragung verdeutlicht, dass bei der Mehrheit der kleinen bis mittelständischen Unternehmen IT-Sicherheitslücken bestehen und sie damit nicht ausreichend vor Cyberangriffen geschützt sind.

14.9.2020 (verpd) Rund 75 Prozent der kleinen bis mittelständischen Unternehmen erfüllen die zehn grundlegendsten IT-Schutzmaßnahmen zur Sicherheit vor Cyberattacken nicht. Und das, obwohl den meisten bewusst ist, dass ihr Unternehmen ohne funktionierende IT teils tagelang nur noch stark eingeschränkt weiterlaufen könnte. Dies belegt eine vom Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) in Auftrag gegebene diesjährige Umfrage.

Jüngst hat der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) den aktuellen Report „Cyberrisiken im Mittelstand 2020“ veröffentlicht. Eine Grundlage der Studie ist eine im März und April 2020 vom Marktforschungsinstitut Forsa Politik- und Sozialforschung GmbH durchgeführte repräsentative Befragung unter 300 Entscheidern kleiner und mittlerer Unternehmen (KMU).

Unter anderem gaben dabei 69 Prozent und damit die Mehrheit an, dass sie hierzulande ein hohes Risiko für mittelständische Unternehmen sehen, Opfer einer Cyberattacke zu werden. Doch nur 28 Prozent sehen diese Gefahr auch für ihr eigenes Unternehmen. Dass diese Risikoeinschätzung für die eigene Firma eher nicht der Realität entspricht, zeigen aktuelle Erfahrungswerte und auch die teils gravierenden Lücken im IT-Schutz bei den Unternehmen.

Drei von vier Firmen waren Opfer von Cyberattacken

So waren laut einer Studie des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) 75 Prozent der über 1.000 für die Untersuchung befragten Unternehmen in den letzten zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen. 13 Prozent vermuteten eine Cyberattacke, allerdings konnten sie den Angriff nicht zweifelsfrei feststellen.

Dennoch glauben laut der aktuellen Forsa-Umfrage immer noch 70 Prozent der befragten KMUs, dass ihre Unternehmensdaten für Hacker nicht interessant sind. Zudem sind 60 Prozent der Ansicht, dass ihre Firma für Cybergangster zu klein sei. Mehr als die Hälfte, 58 Prozent, sehen ein niedriges Cyberrisiko für ihr Unternehmen, da sie bisher noch nicht Opfer einer erfolgreichen Cyberattacke waren. „Die ganzen Irrglauben rund um Cyberkriminalität halten sich seit Jahren hartnäckig und führen zu nichts anderem, als dass die Angreifer leichtes Spiel haben“, warnt GDV-Cyberexperte Peter Graß.

Besonders hoch ist die Fehleinschätzung, rund um die eigene IT-Sicherheit eines Unternehmens. So halten 81 Prozent ihre Firma in diesem Bereich für umfassend geschützt. Und das, obwohl laut Umfrage 75 Prozent der kleinen und mittleren Unternehmen nicht einmal die zehn grundlegendsten IT-Schutzmaßnahmen, um Cyberangriffe abzuwehren, einhalten. Zu diesen zehn Basis-IT-Schutzmaßnahmen gehören laut GDV:

  • „Sicherheitsupdates automatisch und zeitnah einspielen und alle Systeme auf dem aktuellen Stand halten.
  • Mindestens einmal wöchentlich Sicherungskopien anfertigen.
  • Administratorenrechte nur an Administratoren vergeben.
  • Alle Systeme, die über das Internet erreichbar oder im mobilen Einsatz sind, zusätzlich schützen.
  • Manipulationen und unberechtigten Zugriff auf Sicherungskopien verhindern.
  • Alle Systeme mit einem Schutz gegen Schadsoftware ausstatten und diesen automatisch aktualisieren lassen.
  • Mindestanforderungen für Passwörter (zum Beispiel Länge, Sonderzeichen) verlangen und technisch erzwingen.
  • Jeden Nutzer mit eigener Zugangskennung und individuellem Passwort ausstatten.
  • Wiederherstellen der Daten aus der Sicherungskopie regelmäßig testen."

Cyber-Sicherheitscheck und Absicherungslösung

Den meisten Unternehmen ist allerdings auch bewusst, dass der Betriebsablauf ohne eine funktionierende IT mehrere Tage lang stark gestört wäre. Dies gaben nämlich 53 Prozent der Kleistfirmen sowie 77 Prozent der kleinen und 87 Prozent der mittleren Unternehmen an. Tipp: Mithilfe des GDV-Onlinetools „Cyber-Sicherheitscheck“ kann jedes Unternehmen mittels eines Fragebogens selbst prüfen, inwieweit das eigene IT-System bezüglich der zehn genannten Schutzmaßnahmen abgesichert ist.

Detaillierte IT-Sicherheitstipps und Präventionsmaßnahmen für Firmen enthalten die Webportale des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie des Vereins „Deutschland sicher im Netz e.V.“ (DsiN). Allerdings gibt es keine Sicherheitsmaßnahmen, die einen 100-prozentigen Schutz vor Cyberkriminellen garantieren können. Damit die Folgen eines geglückten Cyberangriffs für ein betroffenes Unternehmen möglichst gering bleiben, gibt es jedoch von der Versicherungswirtschaft Lösungen in Form von sogenannten Cyberversicherungen.

Je nach Vertragsvereinbarung übernimmt eine solche Cyberpolice nach Angaben des GDV „nicht nur die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte, sondern steht den Kunden im Ernstfall mit einem umfangreichen Serviceangebot zur Seite: Nach einem erfolgreichen Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte Anwälte und Krisenkommunikatoren. So hilft sie, den Schaden für das betroffene Unternehmen so gering wie möglich zu halten.“