Immer noch vernachlässigen viele Betriebe den IT-Schutz

(verpd) Knapp die Hälfte der kleinen und mittelständischen Firmen weiß, dass sie von Cyberkriminellen angegriffen wurden. Für drei Viertel der Betroffenen hatte dies schädliche Folgen. Dennoch verzichten immer noch viele Unternehmen auf wesentliche IT-Sicherheitsmaßnahmen wie eine regelmäßige Datensicherung bis hin zur E-Mail-Verschlüsselung. Dies belegt eine jüngst veröffentlichte Studie des Vereins „Deutschland sicher im Netz e.V.“ (DsiN).

Viele Unternehmen haben zum Teil erhebliche Schwierigkeiten, wenn sie aufgrund einer Cyberattacke nicht mehr auf ihre Daten zugreifen können oder diese geklaut wurden. Dennoch weisen einige Firmen immer noch erhebliche Sicherheitslücken auf. Dies verdeutlicht die jüngst veröffentlichte Studie „DsiN-Praxisreport Mittelstand 2020“ des Vereins „Deutschland sicher im Netz e.V.“ (DsiN), der unter der Schirmherrschaft des Bundesministeriums des Innern, für Bau und Heimat steht.

Der Report basiert auf einer repräsentativen Erhebung von April 2019 bis April 2020 im Rahmen eines DsiN-Sicherheitschecks, an dem rund 1.040 kleine und mittelständische Unternehmen (KMUs), also Firmen mit bis zu 500 Mitarbeitern teilnahmen. Dieser kostenlos online durchführbare DsiN-Sicherheitscheck ist für kleine und mittlere Unternehmen gedacht. Er gibt laut DsiN einen Überblick über den Stand der IT-Sicherheit des Unternehmens und enthält dazu passende Handlungsempfehlungen.

Fast jede zweite Firma weiß, dass sie angegriffen wurde

Fast die Hälfte der befragten KMUs, nämlich 46 Prozent, erklärten, dass sie in der Vergangenheit mindestens einmal von einem IT-Angriff betroffen waren. Für 74 Prozent und damit knapp drei von vier Betroffenen hatten die Cyberattacken finanzielle Auswirkungen. Jeder 25. Betroffene berichtete von schweren, auch existenziellen Belastungen für das Unternehmen.

Insgesamt muss laut den DsiN-Experten davon ausgegangen werden, dass die Dunkelziffer der Firmen, die Cyberangriffen ausgesetzt waren, deutlich höher ist. Während nämlich Angriffe durch Cybererpresser mit einer sogenannten Ransomware in der Regel sofort erkannt werden, ist dies bei anderen Cyberattacken nicht der Fall.

Werden „Kundendaten, Produktinformationen oder andere Daten entwendet und gegebenenfalls weiterverkauft, kann es sein, dass das Unternehmen nie von der Cyberattacke erfährt, aber seine Wettbewerbsfähigkeit dennoch einbüßt“, so die Studienautoren.

Immer noch hohe Lücken beim IT-Schutz

Auf die Frage, wie man in seinem Unternehmen erkennt, dass man Ziel eines Cyberangriffs wird, gab fast jede dritte KMU (32 Prozent) an, nicht angegriffen zu werden oder darauf zu verzichten, mögliche Attacken aktiv zu identifizieren. Auch bei der aktiven Absicherung der IT gibt es immer noch hohe Lücken. Laut Studie ergreifen immer noch 15 Prozent und damit mehr als jedes siebte KMU keine entsprechenden Schutzmaßnahmen.

Zudem verzichtet knapp jedes zweite KMU (48 Prozent) auf eine Verschlüsselung oder einen Passwortschutz beim Versand von Daten. Jedes vierte befragte Unternehmen führt keine oder nur eine unregelmäßige Datensicherung durch.

Rund 15 Prozent der KMUs ist nach eigenen Angaben nicht bewusst, dass die im Unternehmen genutzte Standardsoftware wie zum Beispiel Officeprogramme Einfallstore für Cyberkriminelle bergen können. Mehr als jede vierte Firma (27 Prozent) führt zudem nur Updates durch, wenn der Softwarehersteller oder auch Medien auf kritische Schwachstellen hinweisen.

Schutz vor den Folgen einer Cyberattacke

Umfassende Tipps, wie sich Firmen vor Cyberkriminellen schützen können, enthalten die Webportale des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie des DsiN. Mithilfe des DsiN-Sicherheitschecks oder auch des Cyber-Sicherheitschecks des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. kann jedes Unternehmen durch Beantwortung einiger Fragen sehen, wie es um das eigene IT-Sicherheitsniveau bestellt ist.

Trotz aller möglichen Sicherheitsmaßnahmen gibt es jedoch keinen 100-prozentigen Schutz, dass man nicht doch Opfer von Cyberkriminellen wird. Um für ein betroffenes Unternehmen wenigstens die Folgen einer solchen Cyberattacke möglichst klein zu halten, bietet die Versicherungswirtschaft sogenannte Cyberversicherungen an. Je nach Vertragsvereinbarung übernimmt eine solche Police beispielsweise die Folgekosten, die aufgrund eines Cyberangriffs durch einen Datendiebstahl, eine Betriebsunterbrechung und/oder für den Schadenersatz an Dritte notwendig sind.

Zudem bieten die Versicherer ihren Kunden, die eine solche Cyberversicherung abgeschlossen haben, im Ernstfall oftmals einen umfangreichen Service. So stellen einige zum Beispiel Experten für IT-Forensik zur Schadenanalyse, Beweissicherung und Schadenbegrenzung. Manche Cyberversicherer vermitteln zudem spezialisierte Anwälte und Krisenkommunikatoren, um beispielsweise Schadenersatz-Forderungen Dritter sowie Reputationsschäden möglichst gering zu halten.