Cyber-Attacken und Cyber Security: So steht es um den deutschen Mittelstand

Kathrin Helmreich, 16. Juni 2020

Eine Deloitte-Studie zeigt, dass mangelnde Reaktionsgeschwindigkeit die größte Herausforderung bei Cyber-Angriffen darstellt. 

Phishing-Mails, Betrugs-Websites und Erpressungs-Software – nur eine kleine Auswahl aus dem Arsenal, mit dem es Kriminellen immer wieder gelingt, Unternehmenssysteme zu kapern und so schwere Schäden anzurichten. Dennoch ist einem großen Teil des deutschen Mittelstands die Bedrohungslage durch Cyber-Risiken nicht vollständig bewusst.

Das ist eines der Ergebnisse der Studie „Cyber Security im Mittelstand“, für die Deloitte Private insgesamt 353 Gesellschafter und Führungskräfte großer mittelständischer Unternehmen zu den Herausforderungen, Chancen und Risiken von Cyber-Sicherheit befragt hat. Längst stehen nicht mehr nur Großunternehmen im Fadenkreuz von Hackern und Cyberkriminellen, auch Mittelständler geraten zunehmend ins Visier. Gerade für sie können Cyber-Angriffe besonders schnell zu existenzbedrohenden Situationen führen.

– Deloitte-Studie: Mangelnde Reaktionsgeschwindigkeit ist für den Mittelstand die größte Herausforderung bei Cyber-Angriffen.
– Der Einzelne im Fokus: Mitarbeiter stehen bei der Abwehr von Risiken im Brennpunkt.
– Bedrohungslage schärft Risikobewusstsein: 83 Prozent der Mittelständler sehen eine stark steigende Relevanz des Themas Cyber Security.

Kein uneingeschränktes Problembewusstsein

Insgesamt 42 Prozent der Studienteilnehmer gaben an, dass das Thema Cyber Security für sie eine lediglich mittlere bis sehr niedrige Priorität besitzt. Nur etwas mehr als die Hälfte (53%) der befragten Manager und Gesellschafter ist zudem der Meinung, dass Cyber-Risiken eine hohe bzw. sehr hohe Bedeutung für die Unternehmenssteuerung haben.

Mit Blick auf das spezifische Know-how, über das vor allem kleine und mittlere Unternehmen verfügen, kann sich mangelndes Problembewusstsein als folgenschwer erweisen:

„Der starke weltweite Anstieg von Cyber-Kriminalität im Zusammenhang mit COVID-19 und die daraus entstandenen Schäden zeigen aktuell wieder, wie wichtig hohe Awareness für Cyber-Risiken in Unternehmen ist“,

betont Lutz Meyer, Partner und Leiter von Deloitte Private.

„Gerade deutsche Mittelständler stellen mit ihrer Bandbreite an innovativen Geschäftsmodellen und der hohen Zahl an Patentanmeldungen lukrative Ziele für Angreifer dar.“

Immerhin: Der Anteil der Unternehmen, die dem Thema Cyber Security eine hohe bis sehr hohe Relevanz zuweisen, steigt von aktuell 50 auf zukünftig 83 Prozent.

Der unsichtbare Feind

Dass Kriminelle unbemerkt in die IT-Infrastruktur eines Unternehmens eindringen – lange bevor sie ihren „eigentlichen“ Angriff starten – macht es für Betroffene schwer, Cyber-Attacken überhaupt rechtzeitig zu entdecken. Passend hierzu sehen die Studienteilnehmer im Fall von Cyber-Attacken die mangelnde Reaktionsgeschwindigkeit als größte Herausforderung an (57%), dicht gefolgt von der Identifikation eines Angriffs (50%).

[mk_ad]

53 Prozent geben an, dass sie durchschnittlich bis zu sieben Tage benötigen, um einen Angriff auf die eigenen Systeme zu erkennen. Genügend Zeit für Hacker, um deren IT-Infrastruktur zu screenen und z.B. Schadsoftware zu installieren, für 67 Prozent der Befragten die Attacke mit dem größten Schadenspotenzial.

Vor diesem Hintergrund umso bedenklicher: 49 Prozent der Unternehmen wissen nicht, wie sie Cyber-Risiken finanziell bewerten sollen, lediglich 12 Prozent sind in der Lage, Risiken ökonomisch zu quantifizieren. Darüber hinaus können nur 43 Prozent der Befragten einen Cyber-Notfallplan, der die wichtigsten Maßnahmen zur Sicherung von Handlungsfähigkeit und Liquidität infolge eines Angriffs festhält, vorweisen.

„Schwachstelle Mensch“

Geht es darum, Cyber-Attacken vorzubeugen, deuten die Ergebnisse auf eine entscheidende Rolle der Beschäftigten hin: 61 Prozent der Studienteilnehmer geben ein fehlendes Sicherheitsbewusstsein der Mitarbeiter als größte Herausforderung bei der Abwehr von Cyber-Risiken an. Auch bei der Frage nach den größten Sicherheitslücken sind ungeschulte Mitarbeiter laut Ansicht der Befragten die Hauptgefahrenquelle (51%), weit vor der Nutzung mobiler Endgeräte (37%) oder Social-Media-Aktivitäten (26%). Außerdem stufen die befragten Manager und Gesellschafter den Informationsgrad der eigenen Mitarbeiter zu sicherheitsrelevanten Cyber-Themen durchweg als mittel bis niedrig ein, etwa im Bereich Passwortsicherheit (62%) oder Identitätsmanagement (72%).

„Den deutschen Mittelstand kennzeichnet neben seiner Innovationskraft auch eine tradierte Belegschaft, die oft noch nicht ausreichend für Cyber-Risiken sensibilisiert ist“,

so Lutz Meyer.

„Um individuelles Fehlverhalten von Mitarbeitern zu minimieren, können neben der Erhöhung des Schulungsniveaus auch aktive Übungen wie Red Teaming oder War Gaming die Aufmerksamkeit deutlich erhöhen.“

Realistische Budgets schaffen

Ein Großteil der Abwehrmaßnahmen, die die befragten Unternehmen im Bereich Cyber Security ergreifen, geht selten über die klassischen Rahmenwerke für IT-Sicherheit wie Virenscanner oder Firewalls hinaus; Versicherungslösungen gegen die Folgen von Cyber-Attacken haben nur 28 Prozent der Studienteilnehmer abgeschlossen.

Das spiegelt sich im Budget wider, das den Cyber Security-Verantwortlichen zur Verfügung steht: 81 Prozent der Teilnehmer geben weniger als 50.000 Euro pro Jahr aus, davon sogar 43 Prozent weniger als 10.000 Euro. Aus Expertensicht nicht genug: Gemessen an der Empfehlung, dass ca. 0,5 bis 2 Promille des Umsatzes für Cyber Security aufgewendet werden sollten, erfüllen 89 Prozent der Studienteilnehmer – mit einem Umsatzmittelwert von 387 Mio. Euro – diese Maßgabe nicht.

„Im Vergleich zu Großunternehmen sind die finanziellen Kapazitäten im Mittelstand deutlich begrenzter und die Konkurrenz um Budgets noch ausgeprägter“,

weiß Lutz Meyer von Deloitte Private.

„Beispiele, in denen die Systeme einzelner Mittelständler komplett lahmgelegt wurden und die Unternehmen letztlich vom Netz gehen mussten, zeigen allerdings immer wieder, dass realistische Investitionen in Cyber Security lebensnotwendig sein können. Denn in der Regel übersteigen die Schäden eines Angriffs die primären Ausgaben um ein Vielfaches.“

Die vollständige Studie zum Download finden Sie hier auf unserer Website.

Weitere Informationen zu Deloitte Private finden Sie hier.

Über Deloitte

Deloitte erbringt Dienstleistungen in den Bereichen Wirtschaftsprüfung, Risk Advisory, Steuerberatung, Financial Advisory und Consulting für Unternehmen und Institutionen aus allen Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und unterstützt Kunden bei der Lösung ihrer komplexen unternehmerischen Herausforderungen. Making an impact that matters – für die rund 312.000 Mitarbeiter von Deloitte ist dies gemeinsames Leitbild und individueller Anspruch zugleich.

Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited („DTTL“), eine „private company limited by guarantee“ (Gesellschaft mit beschränkter Haftung nach britischem Recht), ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL (auch „Deloitte Global“ genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie auf http://www.deloitte.com/de/UeberUns.

Das könnte dich auch interessieren: Microsoft Teams: Hacker nutzen Corona für Cyberattacken

Quelle: Deloitte
Artikelbild: Shutterstock / Von husjur02

Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel