Cyberattacke nicht vorbereitet. In einer repräsentativen Forsa-Umfrage unter 300 Entscheidern kleiner und mittlerer Unternehmen im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) gab rund die Hälfte der Befragten (48 Prozent) zu, weder einen Notfallplan noch eine entsprechende Vereinbarung mit einem IT-Dienstleister zu haben. Eine Überraschung ist das Ergebnis nicht.
„Viele Unternehmen reagieren auf einen Cyberangriff plan- und kopflos. Das kostet im Ernstfall viel Geld, weil es länger dauert, bis die IT-Systeme gesäubert und die Daten wiederhergestellt sind“, sagt GDV-Cyberexperte Peter Graß.
20 Prozent benötigen mehr als drei Tage
Laut Umfrage gelang es nur einem Drittel der bisher angegriffenen Unternehmen, die IT-Systeme innerhalb eines Tages wieder zum Laufen zu bringen, jedes fünfte Unternehmen benötigte dafür sogar mehr als drei Tage.
Das kann gravierende Folgen haben, denn die Abhängigkeit von einer funktionierenden Technik ist hoch: Sechs von zehn befragten Unternehmen (58 Prozent) können bei einem Ausfall ihrer IT-Systeme kaum noch arbeiten.
Menschliche und technische Schwächen
Die mangelnde Vorbereitung auf den Ernstfall ist nur eine von vielen Schwächen des Mittelstandes bei der Cybersicherheit.
In 44 Prozent der befragten Unternehmen ist niemand explizit für die Sicherheit der IT-Systeme verantwortlich. Nicht einmal ein Drittel (31 Prozent) sensibilisiert seine Mitarbeiter mit Schulungen für die Gefahren aus dem Internet.
Das nutzen die Angreifer aus: Gezielte Hacks der IT-Systeme oder DDoS-Attacken sind eher Ausnahmen. Die Mehrheit der erfolgreichen Angriffe (58 Prozent) kommt per Mail ans Ziel, weil Mitarbeiter verseuchte Anhänge öffnen oder schädliche Links anklicken.
Sicherheitslücken in IT-Systemen
Weitere Sicherheitslücken ergeben sich aus den IT-Systemen selbst: Bei einer Untersuchung von 1.019 Mittelständlern stellte das Analyse-Tool Cysmo bei vier Prozent der Firmen veraltete Software fest, für die es keine Sicherheitsupdates mehr gibt.
Enormer Handlungsbedarf
Auch die Selbstauskünfte der befragten Unternehmen in der Forsa-Umfrage zeigen Handlungsbedarf auf. Zwölf Prozent spielen Sicherheitsupdates nicht automatisch ein. 24 Prozent verzichten auf mindestens wöchentliche Sicherheitskopien ihrer Daten und 25 Prozent lassen auch einfachste Passwörter zu.
Insgesamt erfüllt nur jedes fünfte befragte Unternehmen die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit. „Der Mittelstand müsste viel mehr für den Schutz seiner IT-Systeme tun. Aktuell zeigen sich große Sicherheitslücken, die Cyberkriminelle ausnutzen können“, sagt Graß. (dr)
Foto: Shutterstock
