Sowohl der technische als auch der organisatorische Schutz zahlreicher mittelständischer Unternehmen zeigt gefährliche Sicherheitslücken.

Trotz zunehmender Cyberbedrohungen vernachlässigen viele mittelständische Unternehmen grundlegende Schutzmaßnahmen. Das zeigt eine aktuelle Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV): Zwar halten sich 77 Prozent der Befragten für ausreichend gegen Cyberangriffe gewappnet, tatsächlich erfüllen aber mehr als zwei Drittel noch nicht einmal alle Basiskriterien für IT-Sicherheit wie starke Passwörter oder regelmäßige Updates [1].

»Die Mehrheit der Unternehmen (52 Prozent) schätzt ihre IT-Sicherheitslage besser ein, als sie tatsächlich ist«, sagt Jörg Asmussen, Hauptgeschäftsführer des GDV.

Organisatorische und technische Schwächen bleiben bestehen

Wie die Umfrage zeigt, vernachlässigen viele Unternehmen technische und organisatorische Schutzmaßnahmen. Manche Unternehmen sind bei der Datensicherung zu nachlässig, andere führen notwendige Software-Updates nicht zeitnah durch. Dadurch entstehen vermeidbare Sicherheitslücken. Besonders auffällig: 64 Prozent verzichten auf Schulungen zur Sensibilisierung ihrer Belegschaft – obwohl 68 Prozent der erfolgreichen Cyberangriffe mit einer Phishing-Mail oder einer E-Mail mit Schadsoftware starteten.

Auch auf einen erfolgreichen Angriff sind viele nicht vorbereitet. »Jedes zweite Unternehmen (48 Prozent) hat für den Ernstfall keinerlei Notfallplan entwickelt«, sagt Jörg Asmussen. Dementsprechend können die Angreifer erhebliche Schäden verursachen.

Unternehmen fürchten Cyberkatastrophe und setzen auf den Staat als Retter

Gleichzeitig zeigt die Umfrage eine weit verbreitete Sorge vor einem großflächigen Cyberangriff: 89 Prozent der befragten Unternehmen halten es für wahrscheinlich, dass eine gezielte Attacke auf Schlüsselunternehmen der deutschen Wirtschaft zu massiven volkswirtschaftlichen Schäden führen könnte, etwa durch den Ausfall kritischer Infrastruktur oder zentraler Lieferketten. Nur eine Minderheit glaubt, dass Wirtschaft (31 Prozent) oder Behörden (29 Prozent) auf einen solchen Angriff vorbereitet seien.

Trotzdem sind die Erwartungen an staatliche Stellen hoch: Über die Strafverfolgung und Aufklärung hinaus sehen 73 Prozent der Befragten es als Aufgabe des Staates, in einer Cyberkatastrophe technische Hilfe zu leisten. 57 Prozent sehen den Staat sogar in der Pflicht, betroffenen Unternehmen finanziell zu helfen. »Die hohe Erwartungshaltung an den Staat steht in scharfem Kontrast zur mangelhaften Cybersicherheit vieler Unternehmen«, sagt Asmussen.

Die Risikoeinschätzung vieler Unternehmen basiert auf Irrglauben

Die Wahrnehmung der Bedrohungslage ist im Mittelstand auf den ersten Blick angemessen: 78 Prozent der Befragten halten das Risiko eines Cyberangriffs auf KMU für eher hoch oder sehr hoch. Für ihr eigenes Unternehmen bewerten die gleichen Befragten dieselbe Gefahr ganz anders: Jetzt sehen nicht mehr 78 Prozent ein eher oder sehr hohes Risiko, sondern nur noch 38 Prozent.

Diese trügerische Sicherheit resultiert häufig aus der Überzeugung, dass das eigene Unternehmen zu klein oder nicht interessant genug wäre, um in den Fokus von Hackern zu geraten. Ganze 78 Prozent der Unternehmen, die ihr Risiko als gering einschätzen, halten ihr Unternehmen für umfassend geschützt.

[1] Hintergrund zur Umfrage

Im Rahmen seiner Initiative CyberSicher beauftragt der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH seit 2018 jährlich mit einer repräsentativen Befragung von 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen zu ihrer Wahrnehmung von Cyberrisken und den IT-Sicherheitsmaßnahmen der Unternehmen.

