Jeder vierte mittelständische Lebensmittelhersteller war schon Opfer eines erfolgreichen Cyberangriffs
Kleinere Firmen aus der Branche sind für Hacker oft leichte Beute, zeigt eine Umfrage im Auftrag des GDV. Risikobewusstsein und Schutzniveau sind vielfach noch gering: So hat ein Viertel der Betriebe nicht mal einen IT-Sicherheitsbeauftragten.
Fast jedes vierte mittelständische Unternehmen (23 Prozent) der Lebensmittelindustrie hat bereits eine erfolgreiche Cyberattacke erlebt, sechs Prozent waren schon mehrfach betroffen. Das belegt eine repräsentative Umfrage des Forsa-Instituts bei für die Internetsicherheit zuständigen Mitarbeitern in 100 kleinen und mittleren Lebensmittelherstellern.
Wie die Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) weiter zeigt, stand nach einem erfolgreichen Angriff die Hälfte der Betriebe zeitweise sogar still. Weitere finanzielle Schäden entstanden durch den hohen Aufwand, mit dem Angriffe analysiert und entwendete oder gesperrte Daten wiederhergestellt werden mussten.
Mittelständler haben große Lücken in der IT-Sicherheit
Trotz der hohen Betroffenheit nimmt die Branche die Gefahr durch Cyberkriminelle nicht ernst genug. 61 Prozent der Befragten gehen für das eigene Unternehmen von einem geringen Risiko aus. Ihre Argumente: Die eigene Firma sei zu klein, die Daten für Kriminelle nicht interessant. Viele machen auch geltend, dass ihnen bisher nichts passiert sei, zudem sei das Unternehmen umfassend geschützt. „Zu viele Lebensmittelhersteller wiegen sich in falscher Sicherheit oder verschließen die Augen vor der Gefahr“, sagt Peter Graß, Experte für Cyberversicherungen im GDV.
Ein Viertel der Firmen ohne IT-Sicherheitsbauftragten
Dementsprechend hat die IT-Sicherheit für viele Mittelständler nur eine geringe Priorität: Gerade einmal die Hälfte von ihnen (49 Prozent) will in den kommenden zwei Jahren in weitere Schutzmaßnahmen investieren, bei einem Viertel (26 Prozent) ist niemand explizit für die IT-Sicherheit verantwortlich. Ein Drittel (35 Prozent) hat für einen Cyberangriff weder ein Notfallkonzept noch eine Vereinbarung mit ihrem IT-Dienstleister. Das kann im Ernstfall gravierende Folgen haben, denn die Abhängigkeit von einer funktionierenden IT ist bei den Lebensmittelherstellern hoch: Zwei von drei befragten Unternehmen (62 Prozent) könnten bei einem Ausfall ihrer IT-Systeme kaum noch arbeiten.
Folge der unzureichenden Risikowahrnehmung sind erhebliche Mängel in der IT-Sicherheit. Eine Untersuchung der IT-Systeme von 511 mittelständischen Lebensmittelherstellern mit Hilfe des Analyse-Tools Cysmo ergab unter anderem, dass vier Prozent der Unternehmen veraltete Software einsetzen, für die es keine Sicherheitsupdates mehr gibt. Auch der Blick ins Darknet offenbart Einfallstore für Cyberkriminelle: Hier fanden sich Daten von 141 der untersuchten Unternehmen (28 Prozent), darunter mehr als 1.000 E-Mail-/Passwort-Kombinationen von Mitarbeitern.
Handlungsbedarf zeigen auch die Selbstauskünfte der befragten Lebensmittelhersteller in der Forsa-Umfrage: Zwar werden fast überall Administratoren-Rechte restriktiv vergeben und Sicherheitsupdates automatisch eingespielt. Aber zwölf Prozent verzichten auf mindestens wöchentliche Sicherheitskopien ihrer Daten, 31 Prozent testen ihre Sicherheitskopien nicht und 15 Prozent lassen auch einfachste Passwörter zu. Insgesamt erfüllt nur ein Viertel der befragten Unternehmen (25 Prozent) die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit. „Der Mittelstand in der Lebensmittelindustrie müsste viel mehr für den Schutz seiner IT-Systeme tun. Aktuell zeigen sich große Sicherheitslücken, die Cyberkriminelle ausnutzen können“, sagt Graß.
Hintergrund: Die Initiative CyberSicher
Mit der Initiative CyberSicher nimmt der GDV die IT-Risiken einzelner Branchen unter die Lupe und zeigt, wie sich kleine und mittlere Unternehmen schützen können. In diesem Rahmen hat der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH mit einer repräsentativen Befragung der für die Internetsicherheit zuständigen Mitarbeiter von 100 kleinen und mittleren Lebensmittelherstellern (max. 250 Mitarbeiter und max. 50 Millionen Euro Jahresumsatz) beauftragt.
Die Interviews fanden zwischen dem 28. Januar und dem 26. Februar 2020 statt. Darüber hinaus wurde die PPI AG beauftragt, die Sicherheit der IT-Systeme von 511 mittelständischen Unternehmen der Lebensmittelindustrie passiv zu testen. Dabei erfasst und bewertet das Analyse-Tool Cysmo alle öffentlich einsehbaren Informationen aus Sicht eines potentiellen Angreifers. Die Tests fanden im März und April 2020 statt.
Der Cyber-Sicherheitscheck des GDV unter www.gdv.de/cybercheck stellt die wichtigsten Fragen rund um die ITSicherheit von Unternehmen. So lässt sich schnell herausfinden, wie sicher die Systeme sind, wo es Schwachstellen gibt und wie sich diese schließen lassen.