Mittelstand im Visier der Cybergangster

Studie von Pricewaterhousecoopers vom Februar 2017

(PresseBox) (München, ) Der Titel „Im Visier der Cybergangster“, den die Analysten von PricewaterhouseCoopers für ihre Studie gewählt haben, lässt es schon erahnen: der Druck auf Unternehmen des Mittelstandes steigt. Angreifer unterscheiden kaum noch zwischen Großunternehmen und Konzernen oder einem mittelständischen Unternehmen. Im Rahmen der Studie „Im Visier der Cybergangster – So gefährdet ist die Informationssicherheit im deutschen Mittelstand“ befragte PwC im Herbst des letzten Jahres 400 Mittelständler, die Hälfte von ihnen Unternehmen des privaten Sektors mit einer Mitarbeiterzahl zwischen 200 und 500, die andere Hälfte beschäftigt zwischen 500 und 1000 Angestellte. Damit weicht PwC ganz bewusst von der üblichen Definition mittelständischer Unternehmen ab. Der Grund: solche oftmals eigentümergeführten Unternehmen weisen auch mit einer höheren Zahl an Beschäftigten ganz ähnliche Strukturen hinsichtlich der Informationssicherheit auf. In der Mehrzahl beantworteten die jeweiligen IT-Verantwortlichen die Fragen, mehrheitlich IT-Direktoren, Manager Informationssicherheit und Datenschutzbeauftragte.

Mit den immer komplexer werdenden Produktionsprozessen in hochgradig vernetzten IT-Infrastrukturen gehen stetig wachsende IT-Sicherheitsherausforderungen einher. Dazu kommen Geschäftspartner, Kunden und nicht zuletzt externe Dienstleister, die als Sicherheitsrisiko gerne unterschätzt werden. Gleichzeitig kommt nicht nur Druck von Seiten des deutschen Gesetzgebers. Die ab Mai 2018 geltende neue EU-Datenschutzgrundverordnung geht mit ihren Anforderungen stellenweise noch deutlich über das deutsche IT-Sicherheitsgesetz (IT-SiG) hinaus. PwC wollte herausfinden was sich unter diesen Vorzeichen beim Mittelstand in Sachen IT-Sicherheit gegenüber dem letzten Jahr getan hat und wie sich gegebenenfalls das Risikobewusstsein der Hidden Champions verändert hat.

Nicht nur für KRITIS

Für die Betreiber sogenannter kritischer Infrastrukturen ist die neue Verordnung im Rahmen des IT-Sicherheitsgesetzes bereits in Kraft getreten. Im Frühjahr 2017 folgen auf die Sektoren Energie, Informationstechnik, Telekommunikation, Wasser und Ernährung dann die Bereiche Finanzen, Transport, Verkehr und Gesundheit. In der aktuellen Studie ist dementsprechend der Prozentsatz derer deutlich angestiegen, die sich als Betreiber von kritischen Infrastrukturen im Sinne des Gesetzes einstufen. Statt 14% im Vorjahr tun das jetzt bereits 22% der Befragten.

In Anbetracht dieser Zahlen sollte man ausgehen, dass die betreffenden Unternehmen entsprechend handeln und investieren. Herausgekommen ist aber etwas anderes. 2016 erfüllten nämlich nicht ein Mal die Hälfte der relevanten Unternehmen die Anforderungen des Gesetzes.

Zur Erinnerung: Die Anforderungen müssen bis Juni dieses Jahres umgesetzt werden.

Einige Beispiele. 73% haben noch keinen Informationssicherheitsbeauftragten benannt, der als Ansprechpartner für das BSI fungiert, bei 61% der Befragten fehlt die Meldestelle für Cyberangriffe und deutlich über die Hälfte der Befragten, nämlich 59%, haben in ihrem Unternehmen noch keines der vorgeschriebenen ISMS, Informationssicherheitsmanagementsysteme, implementiert. PwC formuliert sehr deutlich, dass sich aufgrund der veränderten Situation auch die Betreiber nicht kritischer Infrastrukturen mit den Anforderungen der IT-Sicherheitsgesetze auseinandersetzen müssen.

„Wer IT-Sicherheit will, muss investieren“

Aber die Investitionen sind gegenüber dem Vorjahr sogar rückläufig. Insbesondere bei den Investitionen zwischen 100.000 Euro und 1 Million Euro schrumpft das Volumen von bisher 14 auf nur noch 8%. Beim Trendvergleich von 2014 auf 2015 stiegen praktisch nur die Investitionen im Bereich von 10.000 Euro bis unter 50.000 Euro. Ansonsten stagnierten sie in fast allen Bereichen oder sie sind sogar gesunken. Als einen der Gründe vermuten die Analysten die fehlende Planungssicherheit im Hinblick auf die Gesetzeslage. Immerhin, die Investitionsentwicklung lässt hoffen. Die meisten der Befragten bekräftigten den hohen und steigenden Stellenwert der Informationssicherheit, und insbesondere die Betreiber der kritischen Infrastrukturen schätzen sich selbst als durchaus investitionsfreudig ein. Fast zwei Drittel von ihnen, 64%, gehen davon aus, dass sich ihr Budget für Informationssicherheit erhöhen wird. Das klingt verheißungsvoll, allein, die Erfahrung lässt PwC eher verhalten auf diese Aussagen blicken. Denn auch im Vorjahr erwarteten immerhin 39% um mehr als 10% steigende Budgets. Tatsächlich wurde aber insgesamt deutlich weniger investiert als im Vergleichszeitraum des Vorjahres.

Handlungsdruck kommt aber auch von anderen Seiten. Kunden und externe Geschäftspartner verleihen ihren Forderungen nach IT-Sicherheit deutlich mehr Nachdruck. In vielen Fällen sind entsprechende IT-Sicherheitsmaßnahmen bereits Bestandteil der Vertragsgestaltung. Wie schon im Vorjahr sind es regulatorische Anforderungen, die Unternehmen dazu zwingen in Informationssicherheit zu investieren. Für 76% aller Befragten ist das die entscheidende Motivation entsprechende Budgets freizusetzen. An zweiter Stelle stehen mit 66% Kundenanforderungen, gefolgt von Branchenstandards, der aktuellen Berichterstattung zu Cyberattacken, aktuellen Sicherheitsvorfällen oder Cyberangriffen im eigenen Unternehmen oder der Branche.

Mit der digitalen Transformation und einer voranschreitenden inner- und überbetrieblichen Vernetzung werden der Schutz sensibler Kunden- und Unternehmensdaten sowie eine hohe Verfügbarkeit der IT-Systeme als solcher immer wichtiger.

Das bekräftigt Derek Fischer, Partner für Cyber Security PwC und einer der Autoren der Studie: „Für jedes Unternehmen sind die eigenen Daten zu Kunden, Aufträgen und Produkten das Herz ihrer Geschäftstätigkeit. Im Gegensatz zu Konzernen sichern mittelständische Unternehmen ihre Daten häufig in längeren Zeitintervallen, sodass das letzte Backup nicht immer den aktuellsten Stand

hat. Weiterhin ist es mittelständischen Unternehmen oft nicht möglich die Datensicherungen in einem abgeschotteten Netzwerksegment abzulegen. Hier kommt Ransomware ins Spiel. (...).“

Dazu kommen DDoS-Angriffe und kombinierte DDoS-/Ransomware-Angriffe, bei denen Hacker im Vorfeld eine Erpressernachricht schicken, die mit einem DDoS-Angriff droht, sollte das entsprechende Lösegeld nicht gezahlt werden. Und auch wenn es wenig verlässliche Zahlen gibt, ist es kein großes Geheimnis, dass etliche Firmen die geforderten Beträge zahlen, um schnellstmöglich wieder an ihre Daten zu gelangen beziehungsweise einen angedrohten Angriff zu vermeiden.

Investieren ja, aber nicht in Personal

Wenn investiert wird, dann nur selten in zusätzliches Personal. Was die Mitarbeiter im Bereich IT-Sicherheit anbelangt bleibt die Personalausstattung weitgehend konstant. Nur in größeren Unternehmen und Konzernen werden die Aufgaben auf mehr Schultern verteilt. Eines hat sich aber tatsächlich und nachweislich zum Positiven verändert, und das ist der Stellenwert der IT-Sicherheit. Sie ist inzwischen Chefsache. Neun von zehn Beauftragten für Informationssicherheit, das sind stolze 88% der Befragten, berichten direkt an die Geschäftsführung.

Selbsteinschätzung und Umsetzung

Immer wieder erlebt man allerdings Überraschungen, was die Diskrepanz zwischen der Selbsteinschätzung der Unternehmen und der realen Umsetzung anbelangt. Wie die Studie ergeben hat tun sich die Befragten einigermaßen schwer die gesetzlich erforderlichen Maßnahmen umzusetzen oder sogar darüber hinaus zu investieren. Dennoch fühlen sich stolze 72% der Befragten gut bis sogar sehr gut vor Cyberattacken geschützt. Unternehmen fühlen sich besonders was das Identitäts- und Berechtigungsmanagement angeht deutlich besser aufgestellt als noch im Vorjahr.

Daneben spielt die Definition von Sicherheitsrichtlinien eine große Rolle (das sagen 76%) ebenso wie das schnelle Aufdecken von Cyberattacken (60%).

Es sieht also ganz so aus, als könnten mittelständische Unternehmen beim Thema IT-Sicherheit und Umsetzung durchaus ein bisschen externe Unterstützung gebrauchen. „Die aktuelle Befragung zeigt allerdings, dass der Großteil der Informationssicherheitsaufgaben im deutschen Mittelstand immer noch von eigenen Mitarbeitern durchgeführt wird. Auch in naher Zukunft wollen viele Unternehmen die Zusammenarbeit mit externen Sicherheitsspezialisten kaum ausbauen.“ Wer sich allerdings dennoch für externe Unterstützung entscheidet, der fühlt sich in der Folge besser vor Cyberangriffen geschützt als diejenigen, die auf diese Unterstützung verzichten.

Aktuelle Stimmungsbilder belegen, wie sehr das Bewusstsein für eine sich verschärfende Bedrohungslage einerseits, und das Bewusstsein für das eigene Risiko andererseits, auseinanderklaffen. Auf die Frage wie sich die erhöhte Bedrohungslage für das eigene Unternehmen bemerkbar macht antworten 70% durch neue Angriffsarten, 65% durch die steigende Zahl von Cyberangriffen, 47% durch die zusätzlichen gesetzlichen Vorhaben, 36% durch stärkere Sicherheitsvorgaben und 34% schließlich durch geänderte Angriffsziele. Die Zahl der tatsächlich von Cyberangriffen betroffenen Unternehmen stieg bei den mittelständischen Unternehmen von 10 auf 19% und hat sich damit innerhalb eines Jahres fast verdoppelt. Hier waltet durchaus Selbstkritik, denn 37% der befragten Unternehmen ist durchaus bewusst, dass sie über eher mangelhafte Prozesse verfügen um Cyberangriffe schon im Anfangsstadium zu erkennen, weitere 11% gaben an, dass solche Prozesse in ihrem Unternehmen nur unzureichend implementiert seien.

Das größte Sicherheitsrisiko sehen Unternehmen nach wie vor in schlecht geschulten, respektive schlecht ausgebildeten Mitarbeitern (76%) und in etwa gleichwertig im Einsatz von mobilen Endgeräten (75%). Was die Ziele der Angriffe anbelangt sind das vor allem bei den Unternehmen der kritischen Infrastrukturen die Systemverfügbarkeit. 66% der Befragten geben das als häufigstes Ziel von Angriffen an, bei den Betreibern kritischer Infrastrukturen sind die Zahlen naturgemäß noch höher und liegen bei einem Wert von 82%.

Mitarbeiter- und Zugangsdaten sind vor allem als Türöffner für Datendiebstahl und Cyberspionage ein begehrtes Ziel, gerade für Unternehmen aus dem produzierenden Gewerbe. Und bei immerhin schon jedem vierten Mittelständler haben es die Angreifer auf Kunden- und Vertragsdaten abgesehen.

Fazit

Unternehmen fällt es immer noch schwer den bei einem Cyberangriff entstandenen Schaden zu beziffern: „Ein ramponiertes Image oder eine schlechte Reputation zu beziffern, ist schwierig, und generell lassen sich die finanziellen Auswirkungen durch Cyberattacken nicht immer genau benennen.“ Und selbst erfolgreiche Cyberattacken werden nicht unbedingt auch als solche erkannt oder erst sehr viel später. Unternehmen, die im Bereich Industrie 4.0 tätig sind, gehen übrigens generell von einer erhöhten Bedrohung durch Cyberangriffe aus (85%) und eine überwältigende Mehrheit der Befragten hat sich deshalb bereits intensiv mit dem Thema Informationssicherheit auseinander gesetzt (91%). Aus der Summe der Ergebnisse leiten die Analysten ganz klar ab: Wenn mittelständische Unternehmen weiterhin erfolgreich sein wollen, müssen sie Unternehmensdaten und Unternehmensstrukturen besser schützen und eine entsprechende Strategie zur Informationssicherheit umsetzen. Dabei kommt es darauf an, dass IT-Sicherheit und Datenschutz nicht zur Kostenfalle werden wie die Analysten von Forrester erst jüngst in einer Umfrage ermittelt haben. Denn mehr Budget heißt nicht automatisch mehr Sicherheit.

Ein fragmentierter Ansatz bei Datenschutz und Datensicherheit ist zwar nicht unüblich, hat aber erhebliche Schwachstellen. Zudem sorgt die Methode nicht selten für neuerliche Herausforderungen. 96% der Befragten versprechen sich deshalb einiges von einem integrierten Ansatz über eine einzige Plattform:


Datenschutzverletzungen und Cyberangriffe schneller als bisher aufdecken
Regulatorischen Anforderungen entsprechen
Ressourcen freisetzen, um Richtlinien auszuarbeiten und umzusetzen sowie dann die notwendigen Prozesse zu etablieren
Entsprechende Abwehrmaßnahmen ergreifen können


Quelle: Studie „Im Visier der Cybergangster – So gefährdet ist die Informationssicherheit im deutschen Mittelstand“

Diese Pressemitteilungen könnten Sie auch interessieren

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.