Maschinenbauer nehmen IT-Risiken zu oft auf die leichte Schulter
Kleine und mittelständische Maschinenbauer haben große Lücken bei ihrer IT-Sicherheit. Zu viele Unternehmen wiegen sich in falscher Sicherheit - mit unabsehbaren Folgen. Das zeigen Analysen des Gesamtverbandes der Deutschen Versicherungswirtschaft.
In einer repräsentativen Forsa-Umfrage unter 100 Maschinenbauern gab jedes dritte Unternehmen an, bereits Opfer erfolgreicher Cyberattacken gewesen zu sein, jedes zehnte Unternehmen war sogar mehrfach betroffen. Infolge der Attacken standen die meisten Betriebe zeitweise still und mussten Zeit und Geld in die Wiederherstellung ihrer Systeme investieren; teilweise zahlten die Maschinenbauer für ihre gesperrten Daten und IT-Systeme auch Lösegelder.
„Zu viele Maschinenbauer wiegen sich in falscher Sicherheit“
Trotz der hohen Betroffenheit nimmt die Branche die Gefahr durch Cyberkriminelle vielfach auf die leichte Schulter: 55 Prozent der Befragten gehen für ihr eigenes Unternehmen von einem geringen Risiko aus. Die IT-Sicherheit hat für viele Maschinenbauer dementsprechend keine Priorität. Bei einem Viertel der Unternehmen (28 Prozent) ist niemand explizit für die Informationssicherheit verantwortlich, gerade einmal die Hälfte der Unternehmen will in den kommenden zwei Jahren in weitere Schutzmaßnahmen investieren. „Zu viele Maschinenbauer wiegen sich in falscher Sicherheit oder verschließen die Augen vor der Gefahr“, sagt Peter Graß, Experte für Cyberversicherungen im Gesamtverband der Deutschen Versicherungswirtschaft (GDV).
Als Ergebnis der unzureichenden Risikowahrnehmung zeigen sich weit verbreitete Mängel bei der IT-Sicherheit. Eine Untersuchung der IT-Systeme 500 mittelständischer Maschinenbauer mit Hilfe des Analyse-Tools Cysmo ergab unter anderem, dass fünf Prozent der Unternehmen veraltete Software einsetzen, für die es keine Sicherheitsupdates mehr gibt. Auch der Blick ins Darknet war ergiebig: Hier fanden sich Daten von fast der Hälfte (45 Prozent) der Unternehmen, darunter fast 8000 E-Mail-/Passwort-Kombinationen von Mitarbeitern.
Akuten Handlungsbedarf zeigen auch die Selbstauskünfte der befragten Maschinenbauer: Fast die Hälfte der Unternehmen (42 Prozent) sind auf einen IT-Notfall nicht vorbereitet, aber 47 Prozent erlauben es Mitarbeitern, ihre privaten Geräte in der IT-Umgebung des Unternehmens zu nutzen. Zudem erfüllt nur ein Drittel die wichtigsten Basis-Anforderungen an die IT-Sicherheit; unter anderem werden Sicherungskopien nicht überall sicher aufbewahrt und getestet.
Hintergrund: Die Initiative CyberSicher
Mit der Initiative CyberSicher nimmt der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) die IT-Risiken einzelner Branchen unter die Lupe und zeigt, wie sich kleine und mittlere Unternehmen schützen können. In diesem Rahmen hat der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH mit einer repräsentativen Befragung der für die Internetsicherheit zuständigen Mitarbeiter von 100 kleinen und mittleren Maschinenbauern beauftragt. Die Interviews fanden zwischen dem 28. Januar und dem 26. Februar 2020 statt. Darüber hinaus wurde die PPI AG beauftragt, die Sicherheit der IT-Systeme von 500 mittelständischen Maschinenbauern passiv zu testen. Dabei erfasst und bewertet das Analyse-Tool Cysmo alle öffentlich einsehbaren Informationen aus Sicht eines potentiellen Angreifers. Die Tests fanden im März und April 2020 statt.
Der Cyber-Sicherheitscheck des GDV unter www.gdv.de/cybercheck stellt die wichtigsten Fragen rund um die ITSicherheit von Unternehmen. So lässt sich schnell herausfinden, wie sicher die Systeme sind, wo es Schwachstellen gibt und wie sich diese schließen lassen.