VdS-Studie liefert Schwachstellen zu Tage
Ergebnisse sind ernüchternd
Rund 3,7 Millionen kleine und mittelständische Unternehmen (KMU) gibt es in Deutschland. Viele von ihnen sind hoch innovativ und in ihren Branchen Marktführer. Nicht umsonst propagiert die Deutsche Bundesregierung sie als „Rückgrat der Deutschen Wirtschaft“. Ihr Erfolg begründet sich einerseits aus hervorragenden Produkten und Dienstleistungen. Aber nicht nur. Denn um heute im internationalen Wettbewerb bestehen und Geschäftsprozesse bewältigen zu können, ist auch die Nutzung moderner IT-Infrastruktur sowie der Anschluss an das Internet notwendig.
Vernetzung: Chance und Risiko
Die rasant zunehmende Digitalisierung hilft KMU schneller, effizienter und damit erfolgreich und konkurrenzfähig zu agieren. Dieselbe Technologie wird aber zur Herausforderung, wenn es um deren Sicherheit geht. Denn in dieser neuen, digitalen Arbeitswelt wächst auch die Angriffsfläche für Cyber-Kriminelle. Mit gefälschten E-Mails, Ransomware Attacken, DoS-/DDoS-Angriffen, Botnets oder Schadcode gehen Cyberkriminelle deshalb auch im Mittelstand auf Beutezug. Abgesehen haben sie es auf personenbezogene Daten, Geld und Know-how aus den Unternehmen. Und sind Kundendaten, Daten zu Patenten und Innovationen oder Source Code erst einmal weg, steht der Unternehmens- oder Produktionsbetrieb häufig still. Das wissen auch Hacker – und finden so im Mittelstand ein lukratives „Betätigungsfeld“.
Schadenfreude und finanzielle Forderungen
Die Motive der Hacker sind dabei grundverschieden: Während die einen aus Schadenfreude oder zu Spionagezwecken (politisch oder wirtschaftlich motiviert) handeln, geht es anderen nur darum „zu zeigen, was sie können“ oder bei Unternehmen oder Organisationen einen Imageschaden zu verursachen. Und wieder anderen geht es einfach nur um Geld. Denn dass dieses nicht mehr nur bei Großkonzernen zu holen ist, hat sich längst auch unter Cyber-Kriminellen herumgesprochen. Immerhin erwirtschaften KMU mehr als jeden zweiten Euro und stellen deutlich über die Hälfte aller Arbeitsplätze in Deutschland. Damit tragen sie deutlich zur Wirtschaftskraft bei.
Schäden von 55 Milliarden Euro
Doch nicht immer kommen Angriffe nur von außen: Im digitalen Arbeitsalltag werden tausende E-Mails von Mitarbeitern ungeprüft von A nach B geleitet oder USB-Sticks für den Transport von Daten genutzt. Wir wollen gar nicht wissen, wie hoch die Dunkelziffer verschwundener und fehlgeleiteter Daten aufgrund solcher Sicherheitslücken ist.
Hinzu kommt, dass Cyber-Attacken nicht immer sofort entdeckt werden. Das Bundesamt für Verfassungsschutz machte erst im vergangenen Jahr darauf aufmerksam, dass Angriffe auf die IT häufig erst mit einer Verzögerung von sechs Monaten bis zu einem Dreivierteljahr von Firmen entdeckt werden. Einer Schätzung des IT-Branchenverbands Bitkom zufolge liegt der jährliche Schaden durch Cyberattacken in Deutschland bei 55 Milliarden Euro.
IT-Sicherheit bei KMU umfangreich analysiert
Vor diesem Hintergrund hat die VdS, eine der weltweit renommiertesten Institute für Unternehmenssicherheit, eine Studie zur Informationssicherheit im Mittelstand aufgesetzt. Dazu hat das Institut die Angaben von 3000 Unternehmen aus ihrem „Web-Quick-Check“ zur schnellen Ermittlung des individuellen digitalen Schutzgrades ausgewertet. Das Ergebnis ist eine der deutschlandweit umfangreichsten Analysen zum Thema IT-Sicherheit, welches wir Ihnen im heutigen Blogbeitrag vorstellen möchten. Die gesamte Studie sehen Sie hier.
IT-Sicherheit im Mittelstand: Ernüchterung auf breiter Flur
Das Endergebnis ist ernüchternd: KMU sind hierzulande immer noch unzureichend gegen Cyber-Angriffe abgesichert. Den größten Verbesserungsbedarf gibt es beim „Management der IT-Sicherheit“. Nur 32 % sind hier gut aufgestellt. Vor allem Themen wie Cloud Computing und IT-Outsourcing werden nur unzureichend bearbeitet. Gerade hier aber könnten Mittelständler durch einfachste Optimierungsmaßnahmen eine hohe Schutzwirkung erzielen.
Auf Rot stehen die Zeichen auch in Sachen Sicherheitstechnik und Präventionsmaßnahmen, wenngleich der Nachholbedarf hier nicht ganz so groß ausfällt. Beide Bereiche sind zwar mit immerhin 57 % abgedeckt; dennoch bedeutet dieses Ergebnis auch, dass 43 % der KMU hier schlecht aufgestellt sind. Damit sind die Schutzmaßnahmen von KMU für Netzwerke, Software und Mobilen Geräten immer noch unzureichend. Ähnlich schlecht sieht es demzufolge auch bei Präventionsmaßnahmen wie Daten- und Umgebungssicherung oder Wiederanlaufpläne aus.
Mobile Geräte sind schlecht abgesichert
Schauen wir uns den Bereich Technik mal genauer an: Die erste alarmierende Erkenntnis kommt beim Blick auf die Absicherung mobiler Geräte: Gerade einmal 59 % der Firmen schützen die Daten auf ihren mobilen Geräten zuverlässig vor unberechtigten Zugriffen. Das ist zwar im Vergleich zu 2017 (57%) eine leichte Steigerung – aber immer noch zwei Prozentpunkte weniger als 2016, dem Jahr, in dem die Verschlüsselungstrojaner Locky, TeslaCrypt und Cryptowall ihr Unwesen trieben. Nun ist es in den letzten Monaten in Sachen großangelegter Cyber-Attacken verhältnismäßig ruhig geblieben – wiegen sich Unternehmen hier vielleicht in falscher Sicherheit? Denn gerade das mobile Arbeiten mit Smartphone, Tablet, Laptop und Co. öffnet Tür und Tor für Cyber-Attacken: Sie werden aufgrund der mobilen Zugriffsmöglichkeiten auf das Unternehmensnetzwerk und damit auf sensible Daten gern und viel von Angestellten genutzt und sind damit interessante Angriffsziele.
Technische Sicherheitsmaßnahmen nicht konsequent genug umgesetzt
Große Unterschiede gibt es bei den einzelnen Maßnahmen. Während 88 % der Mittelständler ihren Internetzugriff absichern und immerhin auch 86 % öffentlichen und drahtlosen Netzen nur verschlüsselt Zugriff auf ihre interne IT-Infrastruktur gewähren, führen nur 27 % der Firmen für ihre besonders relevanten IT-Netzwerke regelmäßige Risikoanalysen durch. Das ist angesichts der ständig weiterentwickelten neue Angriffsmethoden und -programme ein problematisches Ergebnis. Auch dass offenbar immer noch 12 % der Mittelständler keine Schutzmaßnahmen gegen Bedrohungen aus dem Internet umgesetzt haben, stimmt bedenklich – zumal heutzutage selbst für jeden Privatnutzer mindestens einen Basisschutz auf Firewall und Anti-Virensoftware selbstverständlich ist.
Prävention: Datensicherung top, im Ernstfall flop
Es gibt auch gute Neuigkeiten: Sicherungsmaßnahmen gegen Datenverlust werden von 96 % der KMU gut oder sehr gut umgesetzt. Das ist in dieser Größenordnung das beste Ergebnis der gesamten Studie. Das Motto vieler IT-Experten „Kein Backup = kein Mitleid“ scheint sich also herumgesprochen zu haben. Und immerhin noch gute 86 % der KMU schützen auch ihre Server vor physischen Attacken.
Was allerdings im Falle einer Cyber-Attacke zu tun ist, welche internen und externen Stellen informiert werden müssen, darüber scheint weitgehend Ratlosigkeit unter KMU zu herrschen: Nur 41 % der Unternehmen haben überhaupt Vorgaben zum Umgang mit Sicherheitsvorfällen oder gar Anlaufpläne für kritische Systeme im Falle eines Hacks. Besonders unzureichend sind Vorkehrungen wie eine Risikoanalyse für IT-Systeme – die führen nur 28 % der teilnehmenden Unternehmen durch. Und gerade einmal 24 % der KMU haben verbindlich definiert, was überhaupt als „IT-Sicherheitsvorfall“ zu verstehen ist. Trotz genauester gesetzlicher Vorgaben darüber, was im Ernstfall zu tun ist, sind die Zahlen im Vergleich zu 2017 damit gleich geblieben und zu 2016 sogar leicht rückläufig: In 2017/2016 verfügten 41% bzw. 38 % der KMU über Vorgaben für Sicherheitsvorfälle und 42% bzw. 46 % über Wiederanlaufpläne.
KMU brauchen strukturiertere Zugangsvergabe
Auch hier die gute Nachricht zuerst: Die Vergabe von Zugriffsrechten, beispielsweise Lesen, Schreiben und Ausführen, auf IT-Anwendungen und Daten an Personen oder Personengruppen ist offenbar geregelt und die Verwaltung von Zugängen zu IT-Systemen klappt bei deutschen KMU: 84 % behalten administrativen Zugriff ausschließlich den Administratoren vor (2017: 83 %, 2016: 81 %), 82 % gewähren Zugänge zum jeweiligen Netzwerk nur dann, wenn sie für die Aufgabenerfüllung notwendig sind (2017: 78 %, 2016: 80 %). Dass dann allerdings nur 49 % der Unternehmen diese Zugänge nach einem festgelegten Turnus auf ihre weitere Notwendigkeit prüfen, relativiert die ganze Sache schon wieder. Denken Sie einfach nur einmal daran, wie rasch sich Zuständigkeiten ändern oder Mitarbeiter aus Unternehmen ausscheiden und Sie verstehen die Problematik. Dabei ist die strukturierte Zugangsvergabe ein kleiner Schritt mit großer Wirkung für die Unternehmenssicherheit, denn sie blockt etliche Möglichkeiten, einem Betrieb und seinen Angestellten Schaden zuzufügen.
Privatnutzung von Endgeräten besser regeln
Egal ob Firmencomputer, das zur Verfügung gestellte Smartphone oder Laptop: Immer wieder gern werden diese Endgeräte auch für private Internetrecherchen, Kommunikation oder zum Ablegen privater Daten genutzt. Aber genau dieses Verhalten ist viel geliebtes Einfallstor für Angreifer. Der private USB-Stick, der angeschlossen, das fremde Programm, das installiert oder der Anhang einer privaten E-Mail, der geöffnet wird: In Sekundenbruchteilen ist der Arbeitgeber-Rechner mit einem Virus oder sonstiger Schadsoftware verseucht. Die Privatnutzung also ganz verbieten? Was ist dann aber mit Außendienstmitarbeitern oder Home Office? Arbeitgeber kommen also um eine Regelung der private Nutzung von Firmenlaptop und Co. nicht herum. Und genau hier herrscht Nachholbedarf bei KMU: Gerade einmal 66 % regeln diesen wichtigen Sicherheitspunkt für ihre Mitarbeiter. Noch schlimmer sieht es bei Zugängen für externe Dienstleister aus: Nur 45 % der KMU haben klare Regeln für ihre IT-Dienstleister aufgestellt.
Management der Informationssicherheit ist alarmierend
Nur 32 % der Mittelständler legen ein gutes oder sehr gutes Management ihrer IT-Absicherung an den Tag. Das sind zwar 3 % mehr als noch 2017, aber trotzdem viel zu wenig. Denn obwohl gerade die Risiken des Cloud Computings inzwischen bekannt sein dürften, schützen sich nur 27 % der KMU mit notwendigen Sicherheitsanforderungen wie beispielsweise Datenverschlüsselung, sicheren Zugängen oder der Sicherung von Daten vor Verlust oder technischem Ausfall. Auch für Outsourcing-Projekte, oft ein besonders schwaches Glied der IT-Schutzkette und damit natürlich bevorzugter Angriffspunkt der Cyber-Kriminellen, verfügen nur 33 % über konkrete Sicherheitsvorgaben.
Der Bundesverband der IT-Anwender „VOICE“ und der Bundesverband IT-Sicherheit e.V. –
TeleTrusT deckten in ihrem
Manifest zur IT-Sicherheit sechs Problemfelder auf und stellten konkrete Forderungen an die Politik: Ausbau der E-Government-Aktivitäten und Sicherheitsregeln für den internationalen Datenverkehr sowie eine bessere Koordination der Digitalisierung auf Bundesebene. In unserem Blogartikel erfahren Sie Details.
Fazit: Digitalisierung zu Lasten der IT-Sicherheit?
Die Lage der IT-Sicherheit in KMU hat sich trotz fortschreitender Digitalisierung in den letzten drei Jahren kaum gebessert. So innovativ viele von ihnen im Bereich Internet of Things, Industrie 4.0, Smart Cars oder Smart Home agieren, so verfügen sie im Gegensatz zu großen Unternehmen meist über nur eingeschränkte Ressourcen für IT-Sicherheit. Vielen von ihnen fehlt das nötige Know-how oder das nötige Budget, um Sicherheitslücken in ihrem Betrieb zu erkennen und sicher zu schließen. Erkennbar immerhin ist das vorhandene Bewusstsein für IT-Sicherheit, jedoch fehlt es an Konsequenz bei der Umsetzung. Dieser Lückenschluss muss gelingen.
Der Beitrag IT-Sicherheit im Mittelstand ist unzureichend erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.
