Mittelstand unterschätzt Risiken durch Onlineattacken

Mehr als die Hälfte der mittelständischen Unternehmen sehen in Online-Attacken und im Cybercrime kein großes Risiko für ihre Unternehmen. Dieses fehlende Bewusstsein könne aber zu großen Problemen führen. In vielen Fällen fehlt zudem ein eigener Verantwortlicher für die Cyber-Sicherheit. Eine umfassende Strategie kann dadurch nicht umgesetzt werden.

In vielen kleinen und mittelständischen Unternehmen kümmert sich das Management nicht ausreichend um die Cybersicherheit. Quelle: Ponemon
In vielen kleinen und mittelständischen Unternehmen kümmert sich das Management nicht ausreichend um die Cybersicherheit. Quelle: Ponemon

Knapp 60 Prozent der kleinen und mittelständischen Unternehmen sehen in Cyberkriminalität kein großes Risiko für ihr Unternehmen. Daher werden häufig nötige Sicherheitsvorkehrungen nur unzureichend oder überhaupt nicht in die Wege geleitet. Und das oft auch ganz bewusst. Das stellt der Sicherheitsanbieter Sophos in einer weltweiten Studie fest, die von dem renommierten Ponemon Institut durgeführt wurde.

So spielen die Ergebnisse zwar dem Sicherheitsanbieter in die Hände, tatsächlich aber scheint bei vielen Mittelständlern kaum ein Problembewusstsein vorhanden zu sein. So fehlen bei 44 Prozent der 2000 befragten Unternehmen laut Ponemon ein Bewusstsein für diese Gefährdungen. Wenn die Risiken nicht verstanden werden, fehlt natürlich auch die Bereitschaft, die Mittel freizugeben, um sich gegen solche Angriffe zu rüsten. So geben 42 Prozent der Befragten an, zu kleine Budgets zu haben. Bei etwa einem Drittel der Unternehmen fehlt es auch an Fachwissen. In 58 Prozent der Unternehmen soll demnach das Management kein ausreichendes Wissen über die Risiken von Cyberattacken besitzen, stellt das Ponemon Institute fest.

Zudem habe sich gezeigt, dass die Unsicherheit bei diesem Thema zunimmt je höher der betreffende Entscheidungstärger in der Hierachrchie des Unternehmens angesiedelt ist. Häufig fehlt auch ein definierter Verantwortlicher für das Thema Cybersecurity. Damit fällt häufig dem CIO neben anderen IT-Aufgaben diese Verantwortung ebenfalls zu.

“CIOs agieren in KMUs heutzutage oftmals als Only Information Officer. Sie müssen also auf sich allein gestellt vielfältige und immer komplexere Verantwortungen übernehmen”, so Gerhard Eschelbeck, Chief Technology Officer bei Sophos. Weil aber die OIOs häufig sich ganz allgemein einer zunehmend Komplexen Landschaft gegenüber sehen, so Eschelbeck, fehle “häufig die Zeit für eine effiziente IT-Sicherheitsstrategie.”

Die häufigsten Attacken auf Unternehmensnetze. Quelle: Ponemon
Die häufigsten Attacken auf Unternehmensnetze. Quelle: Ponemon

Im internationalen Vergleich jedoch stehe Deutschland laut Ponemon sehr seht gut da. Ponemon hat für die Untersuchung einen speziellen Unsicherheitsindex entworfen. Der reicht bis 10. Und mit einem Wert von 3,8 schneiden die deutschen IT-Verantwortlichen weltweit noch am besten ab.

Was aber nicht bedeutet, dass es hierzulande im Mittelstand keinen Handlungsbedarf gebe. Denn gerade in Sachen Monitoring gebe es große Lücken. So gaben rund ein Drittel der Befragten an, nicht sicher zu sein, ob in den zurückliegenden 12 Monaten ein Cyberangriff auf die Unternehmensinfrastruktur ausgeübt wurde oder nicht. Nicht selten ist Auffinden oder auch der Nachweis für einen solchen Angriff mit großem Aufwand verbunden. Und das gilt auch für Schutzmaßnahmen vor solchen Angriffen.

So schätzen viele der Teilnehmer die Kosten, die durch die Implementierung von Sicherheitsmaßnahmen im Unternehmen als höher ein, als die Kosten, die durch einen Erfolgreichen Angriff entstehen. Details zur Methodik und weitere Ergebnisse der Umfrage gibt es hier.