IT-Sicherheit: Die Risikolage im Mittelstand 2022

Obwohl mehr als ein Viertel der mittelständischen Unternehmen bereits Opfer eines erfolgreichen Cyberangriffs wurden, haben sich viele noch nicht mit dem eigenen Risiko befasst. Dies sind zumindest Ergebnisse der Studie CyberDirekt Risikolage 2022. Hierfür wurden im Dezember 2021 insgesamt 511 Vertreterinnen und Vertreter hiesiger mittelständischer Unternehmen aus unterschiedlichen Branchen befragt.

So fürchten 65 Prozent der befragten Unternehmen den kompletten Ausfall der eigenen IT als Folge eines erfolgreichen Cyberangriffs. Auf Rang 2 folgen befürchtete Umsatzeinbußen als Auswirkung einer Cyberattacke. Hier haben insbesondere Unternehmen aus dem Bereich E-Commerce große Sorgen (66,7 Prozent). Auf Platz 3 der befürchteten Folgen eines Cyberangriffs folgt die Veröffentlichung von Kundendaten. Ein Viertel der befragten Unternehmen gab an, innerhalb der letzten zwei Jahre Opfer eines Cyberangriffs geworden zu sein. Die durchschnittliche Schadenshöhe aller Betroffenen habe bei 193.697 Euro gelegen.

Als große Gefahrenquellen im Arbeitsumfeld werden schwache Passwörter sowie verspätet ausgeführte Systemupdates genannt. Zu den umgesetzten Sicherheitsmaßnahmen gehören laut Befragung Virenschutz, Firewall sowie starke Passwörter. Das Thema starke Passwörter lässt sich da ja trefflich diskutieren, da vielerorts noch mit veralteten Passwortrichtlinien gearbeitet werden dürfte und beispielsweise weniger mit der Länge der Kennwörter oder Passwortmanagern. Bei den Maßnahmen ist auch noch die regelmäßige Passwortänderung aufgeführt, deren Sinnhaftigkeit ja seit längerem in Frage steht. Das Thema 2-Faktor-Authentifizierung landet hingegen nur auf Rang 8. Da mangelnde Updates als Problem offensichtlich erkannt werden, ist es einigermaßen bedenklich, dass das Thema Patch-Management etwas abgeschlagen nur auf Rang 9 der umgesetzten Schutzmaßnahmen gegen Cyberrisiken landet.

Gut geschulte Mitarbeiter sind ein echter Aktivposten in Sachen IT-Sicherheit. Insgesamt geben 67,5 Prozent der Befragten an, die Belegschaft regelmäßig zu schulen. Allerdings tun dies nur 44,2 Prozent mit Seminaren. Und 35,6 Prozent der Unternehmen geben an, wirkliche Trainings durchzuführen. Phishing-Tests führen 25,2 Prozent der teilnehmenden Unternehmen durch. Ganze 18,4 Prozent der befragten Teilnehmer geben an, ihre Mitarbeiter gar nicht regelmäßig zu schulen. Hier sei die Lage bei kleinen Unternehmen besonders kritisch.

Cybersicherheit an sich wird von 54,4 Prozent aller befragten Unternehmen als wichtig oder sehr wichtig eingestuft. Dabei erreichen die befragten IT-Unternehmen den höchsten Wert mit 62,8 Prozent. Schlusslicht bildet die Dienstleistungsbranche mit 47,8 Prozent. Die Unterschiede bei der Einschätzung würden auch mit der Unternehmensgröße zusammenhängen. Die größeren Unternehmen der Befragung bewerten das Thema Cybersicherheit häufiger als wichtig als die kleineren. Insgesamt geben 8,4 Prozent der Befragten an, Cybersicherheit nicht wichtig oder überhaupt nicht wichtig zu finden.

„Wir sehen, dass die Dringlichkeit der Cyberbedrohungslage langsam in den Köpfen ankommt. Allerdings noch zu langsam. Daher müssen wir mehr tun über die Cybergefahren aufzuklären und Unternehmen besser vorzubereiten.“, so Ole Sieverding, Geschäftsführer bei CyberDirekt. Die gesamte Studie lässt sich gegen Registrierung herunterladen.