Cybersicherheit im deutschen KMU
Die Bedrohungslage für Unternehmen war noch nie so hoch und gleichzeitig so komplex – nicht zuletzt auch aufgrund von Effekten des Angriffskriegs in der Ukraine. Nahezu täglich finden sich Nachrichten über Datenpannen und Hacker-Angriffe in den überregionalen Medien, die allerdings nur einen Bruchteil der wirklichen Geschehnisse darstellen.
Mit der CyberDirekt-Studie „Risikolage 2022“
Mit der CyberDirekt-Studie „Risikolage 2022“ will Hanno Pingsmann versuchen, mehr Transparenz über die aktuelle Wahrnehmung von Cyberbedrohungen und dem daraus folgenden Risikomanagement im KMU zu schaffen.
Die aktuelle Lage der Cybersicherheit
Die Zahl der erfolgreichen Cyberangriffe auf Organisationen steigt immer weiter und die Angriffsmuster werden immer perfider.
Hinzu kamen allein im Jahr 2021 bei MSX (Microsoft Exchange) mit Hafnium im März, VSA Kaseya im Juli und Log4Shell im Dezember drei weitreichende Ereignisse hinzu.
Die Wahrnehmung der Gefahr kommt in den Köpfen langsam an, nichtsdestotrotz wird noch zu wenig für einen sinnvollen Schutz gegen Hackerangriffe getan. An vielen Stellen fehlt es noch am Bewusstsein und am Wissen.
Hierzu wollen wir mit dieser Studie unseren Beitrag leisten.
Die Gefahr ist real und wird immer noch unterschätzt
Anders als Feuer oder Unwetter sind Cyberattacken eine abstrakte Gefahr. Cyberangriffe sind lautlos und unsichtbar – lediglich die gravierenden Folgen sind deutlich spürbar.
Aufgrund dieser Abstraktheit werden sie aktuell von vielen Entscheiderinnen und Entscheidern noch immer unterschätzt.
Diese verzerrte Wahrnehmung führt häufig zu gefährlichen Trugschlüssen. 69,5 Prozent der befragten mittelständischen Unternehmen fühlen sich aktuell nicht durch einen Cyberangriff bedroht. Am stärksten bedroht fühlen sich der Handel mit 76,6 Prozent, das Baugewerbe mit 75,6 Prozent und Dienstleistungsbranchen mit 72,6 Prozent
Hackerangriffe bereits erlebt
Insgesamt 26,6 Prozent der befragten mittelständischen Unternehmen geben an, innerhalb der letzten zwei Jahre Opfer eines Cyberangriffs geworden zu sein. Besonders hoch ist die Zahl unter den IT-Unternehmen (40,5 %), eher gering ist sie bei Unternehmen der Dienstleistungsbranche (16,7 Prozent).
Durchschnittliche Schadenhöhe
Die durchschnittliche geschätzte Schadenhöhe aller Betroffenen lag bei ca. 200.000 Euro. Das kann bei knapp zwei Drittel (64 %) der befragten Unternehmen, die weniger als 10 Millionen Euro Jahresumsatz erwirtschaften, schnell finanziell bedrohlich werden.
Durchschnittliche Schadenhöhe
Die durchschnittliche geschätzte Schadenhöhe aller Betroffenen lag bei ca. 200.000 Euro. Das kann bei knapp zwei Drittel (64 Pr%ozent) der befragten Unternehmen, die weniger als 10 Millionen Euro Jahresumsatz erwirtschaften, schnell finanziell bedrohlich werden.
Cybersicherheit im deutschen KMU
Die Bedrohungslage für Unternehmen war noch nie so hoch und gleichzeitig so komplex – nicht zuletzt auch aufgrund von Effekten des Angriffskriegs in der Ukraine. Nahezu täglich finden sich Nachrichten über Datenpannen und Hacker-Angriffe in den überregionalen Medien, die allerdings nur einen Bruchteil der wirklichen Geschehnisse darstellen.
Die Folgen einer Cyberattacke
Die am meisten gefürchtete Auswirkung nach einem Cyberangriff ist für fast zwei Drittel (65,0 Prozent) der Befragten der Totalausfall des eigenen IT-Systems. Je größer und damit auch professioneller die Unternehmen werden, desto stärker sind sie sich der Gefahr bewusst. Auf Rang zwei folgen Umsatzeinbußen mit 48,9 Prozent. Besonders E-Commerce-Unternehmen haben hiervor große Sorge (66,7 %). Platz drei der meist gefürchteten Auswirkungen nach einem Cyberangriff belegt mit 48,5 Prozent die ungewollte Veröffentlichung der Kundendaten (Abb. 3.)
Gefahrenquellen teilweise bekannt
Als größte Cyber-Gefahrenquellen im Arbeitsumfeld unter den Befragten, werden schwache Passwörter mit 57,3 Prozent und die Nutzung öffentlicher WLAN-Netzwerke mit 47,6 Prozent genannt. Auch bei unserer Studie 2018 haben diese beiden Gefahrenquellen die Liste angeführt, allerdings nur mit 36,1 Prozent für die schwachen Passwörter und 34,4 Prozent für die Nutzung der öffentlichen WLAN-Netzwerke. Dicht gefolgt von verspätet ausgeführten System-Updates (42,5 Prozent gegenüber 27,5 Prozent im Vorjahr) und eigene Geräte der Mitarbeitenden in internen WLAN-Netzen (41,9 Prozent gegenüber 23,3 Prozent Vorjahr). Als geringste Gefahrenquellen ging der Einsatz der Firmenkreditkarte (30,3 Prozent) und die Website mit Terminbuchung und Kontaktformular (24,5 Prozent) aus der Befragung hervor. Ein behördliches Datenschutzverfahren und Bußgelder werden nur von 25,4 Prozent der Befragten gefürchtet.
Geeignete Schutzmaßnahmen
Virenschutz ist mit 75,5 Prozent die am meisten genutzte Maßnahme zur Absicherung gegen Cyberrisiken in mittelständischen Unternehmen und findet damit doppelt so oft Anwendung wie Patch-Management mit nur 35,8 Prozent. Über die Hälfte der befragten Unternehmen nutzen Virenschutz, Firewall, starke Passwörter VPN-Verschlüsselung und regelmäßige Passwortänderungen als Basisabsicherung. Auffällig ist, dass die regelmäßige Passwortänderung bei kleinen Unternehmen bis 500.000 Euro Jahresumsatz mit 24 Prozent nur halb so hoch ist wie im Durchschnitt über alle Unternehmensgrößen. Im Verhältnis dazu hat die Zwei-Faktor-Authentifizierung mit 41,9 Prozent ,als davon unabhängig deutlich sicherere Variante im Vergleich, schon eine hohe Akzeptanz und Verbreitung. Nur 48,1 Prozent der Befragten geben an, wöchentlich eine externe Datensicherung zu machen, die damit auf Rang 6 landet.
Einfallstor Mensch
Eine regelmäßige Sensibilisierung der Mitarbeitenden durch Schulungen wird in nur 42,7 Prozent der Unternehmen durchgeführt. Bei Firmen mit weniger als eine Million Euro Jahresumsatz erfolgt die Sensibilisierung sogar nur zu weniger als einem Drittel und bei Unternehmen bis 500.000 Euro Jahresumsatz sogar nur zu 12 Prozent. Erst ein Fünftel der Unternehmen hat aktuell einen Krisenplan als geeignetes Mittel zur besseren Reaktion bei erfolgreichen Cyberangriffen umgesetzt. Dabei hat sich gerade diese Vorbereitung auf den Ernstfall als wichtiges Instrument herausgestellt, um die Schäden möglichst zu begrenzen und die Lage über den Verlauf möglichst schnell wieder zu kontrollieren (Abb. 6). Ein Phishing-Test wird bisher nur bei knapp über einem Viertel (25,2 Prozent) der befragten Unternehmen regelmäßig durchgeführt. Aktuell bewerten nur ein Viertel (24,7 %) der befragten Entscheiderinnen und Entscheider eine Cyberversicherung als effektive Maßnahme für die Absicherung des Restrisikos.
Über den Autor: Hanno Pingsmann
ist Geschäftsführer von CyberDirekt mit Sitz in Berlin. Der Cyberexperte hat CyberDirekt im Mai 2017 als erste digitale Beratungsplattform für den Abschluss von Cyberversicherungen gegründet.