Cybersicherheit im Mittelstand: Ergebnisse aktueller Studien

mann mit totenkopfmaske und brille vor monitor

Cybersicherheit (engl. „Cyber Security“) ist für jedes vernetzte Unternehmen von Bedeutung. Aktuelle Studien zeigen allerdings, dass die Gefahren von Cyber-Attacken oft noch immer unterschätzt werden. Wir fassen die Ergebnisse aktueller Studien zum Thema „Cybersicherheit im Mittelstand“ zusammen.

Cyber-Attacken ein zunehmendes Phänomen

Angriffe auf IT-Infrastrukturen werden nicht nur komplexer, sie nehmen auch in Qualität und Intensität seit Jahren deutlich zu. Zur gleichen Zeit ist zu beobachten, dass immer mehr Bereiche des Alltags mit dem Internet vernetzt sind. Kaum ein Privathaushalt, kaum eine Behörde und kaum ein Unternehmen kann sich diesem Trend entziehen.

Beinahe unbeachten von der Öffentlichkeit hat somit in der jüngeren Verhangenheit das Bedrohungspotential durch Cyber-Attacken stetig zugenommen. Nicht zuletzt mit mehreren großen Angriffen wie z.B. auf die Universät Gießen Ende 2019 oder das Kammergericht Berlin 2020. Cyber-Attacken haben in Deutschland ein Rekordniveau erreicht.


Mittelständler im Visier

Die „Opfer“ derartiger Attacken sind häufig Großunternehmen, da sie in der öffentlichen Diskussion einen größeren Stellenwert einnehmen, finanziell likrativere Ziele darstellen oder sich – ein nicht zu unterschätzender Aspekt – durch Negativschlagzeilen den Unmut potentieller Angreifer zuziehen. Da in der Presse nur sehr wenige Cyber-Attacken auf Mittelständler publik wurden, hat sich der Mittelstand an dieser Stelle bisher gesamthaft gesehen recht sicher gefühlt. Besonders seit dem Jahr 2019 haben aber Cyber-Attacken auf mittelständische und Familienunternehmen stark zugenommen.


Risiken lauern in vielen Bereichen

Im Bereich Cybersicherheit sind Organisationen technischen, aber auch menschlichen Risiken ausgesetzt. Erstere entstehen u.a. durch veraltete Systeme, offene Schnittstellen zum Internet, unsichere Server und fehlende Richtlinen zum Umgang mit vertraulichen Informationen sowie physischen Datenträgern.

In der Literatur weniger stark diskutiert, dafür in der Praxis aber meist für den Erfolg einer konkreten Attacke ursächlich, ist jedoch das individuelle Fehlverhalten einzelner Mitarbeiter. Unwissende oder zumindest unaufmerksame Mitarbeiter klicken u.a. auf Phishing-Links in Schad-E-Mails, verraten Passwörter an (vermeintliche) Vorgesetzte oder lassen Datenträger mit vertraulichen Inhalten unverschlossen und für jedermann zugänglich an ihrem Arbeitsplatz zurück.


Menschliches Versagen ein beachtliches Risiko

Mittelständische Unternehmen sehen sich somit nicht nur organisatorischen, prozessualen und instrumentellen Themen gegenüber. Sie stehen auch vor der Herausforderung, neue und im Bereich Cybersicherheit geschulte Mitarbeiter zu finden sowie das Sicherheitsbewusstsein der momentanen Belegschaft zu erhöhen.

Während bestehende IT-Systeme und Rahmenwerke für IT-Sicherheit auf den ersten Blick einen gewissen Schutz gegen die technische und technologische Risikodimension von Cyber-Attacken geben, ist das individuelle Fehlverhalten von Mitarbeitern für die meisten mittelständischen Unternehmen weit schwerer zu vermeiden.


Risiken werden unterschätzt

Gesamthaft gesehen werden im Mittelstand bezogen auf das Thema Cybersicherheit aus Sicht aktueller Studien die bestehenden Risiken noch immer unterschätzt. Befragungen zeigen, dass für die Häfte der Unternehmen Cybersicherheit nicht zu den Top-Prioritäten der Unternehmensleitung gehört und Cyber-Risiken kein zentrales Thema darstellen.

Rund ein Drittel der Befragten verfügt über keinen Reaktionsplan im Notfall. Gleichzeitig ist die Reaktionsgeschwindigkeit eine der größten Herausforderungen bei der Abwehr einer Cyber-Attacke. Doch tatsächlich sind die Unternehmen häufig nicht in der Lage, den Angreifer zu identifizieren.


Mittelständler überwiegend zu langsam

Bezogen auf die Identifikation sowie Beurteilung und Vermeidung von Cyber-Risiken sind mittelständische Unternehmen recht langsam. Über die Hälfte der Befragten sehen die mangelnde Reaktionsgeschwindigkeit des eigenen Unternehmens als großes Problem ihrer Organisation. Zeitgleich geben aber über 45 Prozent an, keine Bewertungsmethode für Cyber-Risiken anzuwenden. Als größter Herausforderung der Cyber-Abwehr werden das fehlende Sicherheitsbewusstsein der Mitarbeiter und die frühzeitige Erkennung relevanter Angriffe gesehen.

In vielen Fällen benötigen Unternehmen zur Aufdeckung eines relevanten Angriffs einen bis sieben Tage. Erfahrungsbericht zeigen jedoch, dass die Systeme der Unternehmen in diesen Fällen oftmals bereits Jahre zuvor überwunden wurden und dass die Angreifer erst Jahre später diesen Zugang ausnutzen.

Nach im Juni von „Deloitte Private“ durchgeführten Studie verfügen 57 Prozent der Unternehmen über keinen Notfall-Reaktionsplan und auch keine zusätzlichen separat verfügbaren Mittel zur Abwehr von Cyber-Attacken. Wie einige aktuelle Beispiele zeigen, kann ein Cyber-Angriff jedoch die IT-Systeme von Organisationen in ihrer Gesamtheit lahmlegen und somit die Unternehmensexistenz bedrohen. Trotzdem besitzen über 70 Prozent der Unternehmen bisher kein eigenes Information Security Management System (ISMS).


Probleme sind bekannt

Knapp die Hälfte der Unternehmen sind der Ansicht, dass insbesondere die Sensibilisierung in den Bereichen Cloud Security, Sicherheit mobiler Endgeräte, Datenträger und Informationsklassifizierung gering bis sehr gering ausfällt. Hierzu passen auch die recht geringen Ausgaben für Cybersicherheit: Deren Mittelwert liegt bei nur 80.000 Euro pro Jahr. Eine beachtliche Anzahl an Unternehmen investiert allerdings weniger als 10.000 Euro p.a. für Cybersicherheit und plant auch keinen Investitionsanstieg. Ebenfalls frappierend ist in diesem Zusammenhang, dass nur ein knappes Drittel der Unternehmen angeben, eine Versicherung gegen Cyber-Risiken abgeschlossen zu haben.

Verbesserungspotential wird dagegen insbesondere bei Schulungs- und Weiterbildungsmaßnahmen gesehen. 45 Prozent der Befragten sehen diesbezüglich hohes und 41 Prozent mittlere Optimierungsmöglichkeiten. Auch bezüglich der Vermeidung von Cyber-Attacken meinen jeweils 44 Prozent der befragten Unternehmen, ein hohes bzw. mittleres Verbesserungspotential erkennen zu können. Hinsichtlich der Reaktion auf Cyber-Attacken gehen 43 Prozent von einem mittleren Verbesserungspotential aus. Die Identifikation von Cyber-Attacken betreffend sind 42 Prozent der Ansicht, auch diesbezüglich bestehe hoher Optimierungsbedarf. 44 Prozent stufen den Optimierungsbedarf als mittel ein.


Fazit

Für die Zukunft wird die Relevanz von Cybersicherheit weiter zunehmen. Aktuell schätzen 50 Prozent der Unternehmen diese als hoch oder sehr hoch ein, für die Zukunft sind es 83 Prozent. Diese Bewertung schlägt sich jedoch aktuell noch nicht in der funktionalen und instrumentellen Umsetzung nieder.

Aktuelles