Versicherer sehen kaum Fortschritte bei der IT-Sicherheit deutscher Unternehmen
Mit einer Mischung aus Überschätzung der eigenen IT-Sicherheit und Verharmlosung der Gefahr reagiert der Mittelstand auf die Cyberbedrohung. Die Folge: Wichtige Sicherheitsvorkehrungen unterbleiben, wie eine Umfrage im Auftrag des GDV zeigt.
Kleine und mittlere Unternehmen werden immer wieder Opfer von Cyberattacken, wehren sich aber nur unzureichend gegen diese Bedrohung. Das geht aus einer repräsentativen Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) hervor. „Rund zwei Drittel der mittelständischen Unternehmen in Deutschland lassen die IT-Sicherheit schleifen“, sagt GDV-Hauptgeschäftsführer Jörg Asmussen. „Angesichts der Tatsache, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuletzt vor massenhaften Ransomware-Angriffen auf diese Unternehmen gewarnt hat, müssten bei den Entscheidern eigentlich alle Alarmglocken klingeln“, so Asmussen.
Zwei Drittel der mittelständischen Unternehmen haben Sicherheitslücken
In der Forsa-Umfrage gaben hingegen 66 Prozent der Befragten an, dass sie für ihr Unternehmen nur ein geringes Risiko eines Cyberangriffs sehen. Gleichzeitig liegt bei 69 Prozent der Unternehmen die IT-Sicherheit im Argen. „Manche Unternehmen sichern ihre Daten nur selten oder nicht richtig, andere kümmern sich nicht um Updates für ihre Software“, kritisiert Asmussen. Dabei sei jede dieser Sicherheitslücken ein potenzielles Einfallstor für Cyberkriminelle und ihre Lösegeldforderungen.
Ebenso wie die Prävention vernachlässigen viele Firmen auch die Vorbereitung auf einen erfolgreichen Angriff. „Jedes zweite Unternehmen (54 Prozent) ist bislang für den Ernstfall gar nicht gewappnet“, sagt Asmussen. Dementsprechend können die Angreifer erhebliche Schäden verursachen.
In der Umfrage brauchten 30 Prozent der gehackten Unternehmen vier Tage oder länger, um den Angriff zu stoppen und die IT-Systeme wieder herzustellen. Nur ein Viertel war noch am selben Tag wieder arbeitsfähig. Insgesamt berichtete jedes vierte befragte Unternehmen, schon Opfer eines erfolgreichen Cyberangriffs gewesen zu sein.
IT-Sicherheit stagniert auf niedrigem Niveau
Der GDV-Geschäftsführer fordert den Mittelstand daher zu größeren Anstrengungen bei der Prävention auf. „Wir beobachten, dass die IT-Sicherheit seit Jahren auf einem unzureichenden Niveau stagniert“, so Asmussen. Echte Fortschritte seien nicht erkennbar. Die Mehrheit der Unternehmen (60 Prozent) verzichtet weiterhin auf entsprechende Schulungen ihrer Belegschaft, nur ein Drittel (34 Prozent) schützt ihre IT-Systeme mit einer Zwei-Faktor-Authentifizierung.
Das geringe Schutzniveau wirkt sich auch auf die Zeichnungspolitik der Versicherer aus. Die Prämieneinnahmen in der Cybersparte stiegen zuletzt deutlich langsamer als in den Vorjahren. „Cyberversicherungen sind ein Sicherheitsnetz für den Ernstfall, ersetzten aber nicht einen starken Schutzschild. Angesichts der wachsenden Gefahrenlage bestehen die Versicherer bei Neuabschlüssen auf wirksamen Schutzmaßnahmen“, so Asmussen.
Weitere Ergebnisse der Umfrage „Cyberrisiken im Mittelstand 2024“
-
Die Risikoeinschätzung basiert häufig auf Irrglauben
Die Wahrnehmung der Bedrohungslage ist im Mittelstand auf den ersten Blick angemessen: 80 Prozent der Befragten halten das Risiko eines Cyberangriffs auf KMU für eher oder sehr hoch. Für ihr eigenes Unternehmen bewerten die gleichen Befragten dieselbe Gefahr ganz anders: Jetzt sehen nicht mehr 80 Prozent ein eher oder sehr hohes Risiko, sondern nur noch 34 Prozent.
Diese trügerische Sicherheit resultiert häufig aus der Überzeugung, dass das eigene Unternehmen zu klein oder nicht interessant genug wäre, um in den Fokus von Hackern zu geraten. Ganze 82 Prozent halten ihr Unternehmen aber auch für umfassend geschützt und das Risiko deshalb für gering.
-
Viele KMU sind hinsichtlich ihrer IT-Sicherheit grundlos selbstzufrieden
Insgesamt gehen drei von vier der befragten Unternehmen davon aus, dass sie bereits genug tun, um sich gegen Cyberkriminelle zu schützen.
Gleichzeitig erfüllen aber nur ein knappes Drittel die wichtigsten technischen Basis-Sicherheitsmaßnahmen.
Daüber hinaus ist auch die organisatorische Sicherheit ausbaufähig.
-
Erfolgreiche Cyberangriffe beginnen meist mit einer Mail
Die erste und wichtigste Verteidigungslinie gegen Hackerangriffe ist nicht die Technik, sondern die Belegschaft. 70 Prozent der erfolgreichen Angriffe starten mit einer Phishing-Mail, die von einem Angestellten nicht als solche erkannt wird. Dann wird ein falscher Anhang geöffnet oder ein falscher Link geklickt – und die entsprechende Schadsoftware der Angreifer auf den Rechner geladen.
Dennoch sind Schulungen und Maßnahmen zur Sensibilisierung weiterhin die Ausnahme und nicht die Regel. Ganze 60 Prozent der Unternehmen verzichten komplett darauf – und gerade mal ein Viertel der Unternehmen schult die Mitarbeiter mindestens einmal im Jahr.
-
Nicht alle KMU können im Ernstfall schnell und zielgerichtet reagieren
Wer auf Schwierigkeiten nicht vorbereitet ist, zieht den Notfall unnötig in die Länge und vergrößert die negativen Folgen. Dennoch hat sich rund die Hälfte der befragten Unternehmen bisher nicht ausreichend auf einen Ausfall der IT-Systeme vorbereitet.
Neben einem konkreten Plan für den Notfall sind auch die grundlegenden technischen Bedingungen für eine schnelle Reaktion nicht überall gegeben. In den meisten Unternehmen werden Sicherheitskopien zwar regelmäßig erstellt – aber nicht überall sicher verwahrt und noch seltener auf Wiederherstellbarkeit getestet.
Über die Umfrage
Im Rahmen seiner Initiative CyberSicher beauftragt der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH seit 2018 jährlich mit einer repräsentativen Befragung von 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen zu ihrer Wahrnehmung von Cyberrisken und den IT-Sicherheitsmaßnahmen der Unternehmen.
