IT-Sicherheit: Firmen sind schlecht auf Angriffe vorbereitet

IT-Sicherheit hat in vielen mittelständischen Unternehmen keine Priorität. Dies sind die Ergebnisse einer Forsa-Umfrage, die im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) durchgeführt wurde. Befragt wurden 300 Entscheider kleiner und mittlerer Unternehmen. Die Befragung fand im Frühjahr 2020 statt.

So gab rund die Hälfte der Befragten (48 Prozent) an, über keinen Notfallplan zu verfügen und auch keine diesbezügliche Vereinbarung mit einem IT-Dienstleister zu haben. Das hat im Falle eines Falles weitreichende Folgen. So gelang es nur einem Drittel der angegriffenen Unternehmen, die IT-Systeme innerhalb eines Tages wieder zum Laufen zu bringen. Und jedes fünfte Unternehmen benötigte hierfür mehr als drei Tage. Das bleibt nicht ohne Folgen für den gesamten Geschäftsbetrieb, die Abhängigkeit von einer funktionierenden EDV ist inzwischen hoch. So haben 58 Prozent der Befragten angegeben, sie könnten bei einem Ausfall der IT kaum noch arbeiten. „Viele Unternehmen reagieren auf einen Cyberangriff plan- und kopflos. Das kostet im Ernstfall viel Geld, weil es länger dauert, bis die IT-Systeme gesäubert und die Daten wiederhergestellt sind“, sagt GDV-Cyberexperte Peter Graß.

Nun ist eine schlechte Vorbereitung auf Notfälle nur ein Aspekt der IT-Sicherheit. Auch im Allgemeinen scheint es um die Priorität in Sachen Cybersicherheit nicht zum Besten bestellt zu sein. So sei in 44 Prozent der befragten Unternehmen niemand explizit für die Sicherheit der IT-Systeme verantwortlich. Und nur 31 Prozent der Unternehmen sensibilisieren die eigenen Mitarbeiter für die Risiken der IT-Sicherheit. Dabei ist der Faktor Mensch eine der wichtigsten Säulen bei einer Strategie in Sachen Cybersicherheit. Das zeigt sich dann auch bei den Arten der erfolgreichen Angriffe unter den befragten Unternehmen. Mit 58 Prozent liegen Angriffe per E-Mail als meistgenannte Variante auf dem ersten Rang. Danach folgen Hackerangriffe oder DDoS-Attacken (Distributed Denial-of-Service).

Und auch in vielen anderen Bereichen der IT-Sicherheit haben die befragten Mittelständler offensichtlich Handlungsbedarf. So würde nur jedes fünfte der befragten Unternehmen die wichtigsten Basisanforderungen an die IT Security erfüllen. So würden 24 Prozent darauf verzichten auch nur einmal wöchentlich Sicherheitskopien ihrer Daten anzulegen. Ganze zwölf Prozent spielen Sicherheitsupdates nicht automatisch ein und 25 Prozent lassen auch einfachste Passwörter zu.