Ein Viertel der teilnehmenden Unternehmen war schon einmal von Cyber-Vorfällen betroffen, die den Betriebsablauf erheblich störten: Dieses zentrale Ergebnis der neuen Studie von Deloitte ist ein Indiz für die hohe Relevanz von Cybersecurity im Mittelstand. Denn die Folgeschäden erfolgreicher Angriffe können verheerend sein. Trotzdem fokussieren viele Unternehmen zwar stark auf technische Aspekte der Cybersecurity, haben aber laut der Studienergebnisse teils Nachholbedarf bei den ebenfalls dringend nötigen organisatorischen Maßnahmen. Im Rahmen der aktuellen Studie wurden die Einschätzungen zum Thema Cybersecurity von Gesellschafter:innen und Manager:innen aus 243 Unternehmen analysiert . Dabei beleuchtet die Studie nicht nur aktuelle Herausforderungen, sondern auch langfristige Trends im Vergleich zu den Ergebnissen aus der Vorgängerstudie von 2019. Hier liefern wir einen Überblick der Ergebnisse.

Erhöhte Bedrohungslage, vielfältige Risiken

Die fortschreitende digitale Transformation von Geschäftsprozessen und die umfassende Vernetzung lassen die Cyber-Angriffsfläche auch bei Mittelständlern stetig wachsen. Besonders schwerwiegende Konsequenz von Vorfällen sind laut den Befragten die Kosten von Betriebsunterbrechungen. Die Angriffsgefahr schätzen 77 Prozent als mittel bis hoch ein, das Risikobewusstsein ist also deutlich ausgeprägt. Entsprechend hat das Thema Cybersecurity auch für 62 Prozent der Befragten eine hohe oder sehr hohe Priorität (2019: 58%). Außerdem sind die meisten Unternehmen gut über aktuelle Cybersecurity-Ansätze informiert.

Dennoch bestehen nach wie vor erhebliche Herausforderungen. Als größte Schwäche bei Cyber-Attacken wird die Reaktionsgeschwindigkeit genannt – ein Probleme, das seit der Studie von 2019 deutlich an Bedeutung gewonnen hat. Weitere Herausforderungen, die sich seit 2019 verschärft haben, sind die Identifikation von Angriffen und Tätern, die Erstellung von Reaktionsplänen sowie die mangelnde Vorbereitung von Führungskräften und Mitarbeitenden auf Attacken. Ein kritischer Faktor bleibt der Mensch: denn menschliches Verhalten entscheidet häufig über Erfolg oder Misserfolg umgesetzter technischer Maßnahmen. Das zeigt sich auch in der Einschätzung der größten Risiken: Die Teilnehmenden sehen ungeschultes Personal auf dem ersten Platz der großen oder sehr großen Risiken (59%), technische und organisatorische Schwachstellen folgen mit deutlichem Abstand. Trotz aller Herausforderungen gibt es auch Fortschritte: Bei der Risikobewertung und der Entdeckungszeit von Sicherheitsproblemen konnten gegenüber 2019 gewisse Verbesserungen erzielt werden.

Schwerwiegende Folgeschäden, vermehrte Nutzung von Reaktionsplänen

Das Schadenspotenzial von Cyber-Attacken ist erheblich und umfasst vielfältige Verlustszenarien – von finanziellen Verlusten (Wiederherstellungskosten, Betriebsunterbrechung) über Reputationsschäden (Kundenabwanderung, Imageprobleme) bis zu rechtlichen Folgen (regulatorische Strafzahlungen, Klagen). Auch die operativen Prozesse sind anfällig, etwa durch Datenverluste und Lieferkettenstörung. Unter den verschiedenen Varianten von Cyber-Angriffen wird Schadsoftware von den Befragten als die bedrohlichste Form genannt, gefolgt von Identitätsdiebstahl, Phishing und digitale Erpressung. Zwar haben mit 56 Prozent deutlich mehr Unternehmen einen Reaktionsplan für Cyber-Angriffe erarbeitet als noch 2019 (43%). Die Zahl der Nachzügler ist aber immer noch hoch. Diese sollten zügig aktiv werden, denn das Schadenspotenzial von Angriffen kann durch Reaktionspläne wesentlich reduziert werden, und die Handlungsfähigkeit in einer akuten Krisensituation wird gestärkt.

Organisatorische Maßnahmen und Cyber-Initiativen

Im Vergleich zur letzten Studie sind deutliche Fortschritte bei der strategischen Integration von Cybersecurity erkennbar. Bei 60 Prozent der Befragten ist sie inzwischen strategischer Bestandteil der Unternehmensführung (2019: 39%). Die insgesamt erhöhte Bedeutung von Cybersecurity im Mittelstand zeigt sich auch bei den getroffenen organisatorischen Maßnahmen. Besonders vorteilhaft ist die Nutzung eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001. Dieser Standard definiert einen strukturierten Ansatz zur Risikoidentifikation und -bewertung sowie entsprechende Kontrollmaßnahmen. Immerhin 40 Prozent der mittelständischen Unternehmen nutzen inzwischen ein ISMS (2019: 26%). Ein weiterer geeigneter organisatorischer Schritt besteht in der Bündelung der Cyber-Verantwortung in der Rolle eines Chief Information Security Officers (CISO). Einen CISO beschäftigen allerdings nur 20 Prozent der befragten Unternehmen, häufiger ist die Cyber-Verantwortung in einer Fachabteilung angesiedelt (47%). Außerdem sind Schulungen ein wichtiger organisatorischer Hebel, um menschliche Risiken zu reduzieren. Die Mehrzahl der Unternehmen nutzt interne oder externe Weiterbildungen, am häufigsten zu Information Security, Datenschutz und internen Gefahrensituationen. Viele Unternehmen führen außerdem regelmäßige Sensibilisierungsmaßnahmen durch. Die Studie hat zudem konkrete Cybersecurity-Initiativen beleuchtet. Im Fokus stehen dabei technische Maßnahmen wie Virenscanner, Festlegung von Zugriffsrechten oder Multi-Faktor-Authentifizierung. Etwas weniger verbreitet sind Maßnahmen wie die Bestellung eines Cyber-Verantwortlichen, Mitarbeiterschulungen und Audits durch externe Spezialisten. Generell sieht die Studie im organisatorischen Bereich trotz der seit 2019 erzielten Verbesserungen immer noch verbreiteten Handlungsbedarf.

Cyber-Versicherungen und Kosten für Cybersecurity

Ein weiteres Schwerpunktthema der Studie ist die Nutzung von Cyber-Versicherungen im Mittelstand. Solche Versicherungen decken eine breite Palette von Cyber-Risiken ab, etwa die Kosten für Wiederherstellung oder Betriebsunterbrechungen. Über die finanzielle Absicherung hinaus führen die Policen außerdem oft zu verbessertem Risikomanagement, da sie die Einhaltung bestimmter Standards und wirksame Maßnahmen erfordern, etwa die Einführung eines ISMS. Diese Vorteile werden von immer mehr Mittelständlern erkannt: Während 2019 nur 28 Prozent der Unternehmen eine Cyber-Versicherung abgeschlossen hatten, sind es inzwischen 60 Prozent. Auch die Cyber-Budgets insgesamt nehmen zu, insgesamt wird für Cybersecurity deutlich mehr Geld ausgegeben als noch 2019. Die größten Investitionen sind in den Bereichen neue Technologien und Systeme sowie IT-Sicherung zu verzeichnen. Die Ausgaben für organisatorische Maßnahmen fallen geringer aus, was erneut den Nachholbedarf in diesem Bereich illustriert.

Wichtige Fortschritte, weiterer Handlungsbedarf

Die zukünftige Relevanz von Cybersecurity wird von vielen Befragten erkannt: 58 Prozent schätzen sie als sehr hoch ein (2019: 42%). Zugleich zeigt die Selbsteinschätzung der eigenen „Cyber Readiness“ aber verbleibende Lücken. Nur 39 Prozent der Teilnehmenden attestieren ihrem Unternehmen ein hohes bis sehr hohes Niveau. Die Studienergebnisse verdeutlichen, dass eine Erhöhung der Readiness insbesondere zusätzliches Engagement im organisatorischen Bereich erfordert. Wie das in der Praxis gelingen kann, skizziert die Studie abschließend in konkreten Handlungsempfehlungen. Die vollständige Studie mit vielen weiteren Details und Ergebnissen sowie umfangreichen Erläuterungen erhalten Sie hier.

Unsere Services

Wir verstehen uns als langfristiger Partner für den Mittelstand und Familienunternehmen: Deloitte Cyber Private bietet pragmatische Ansätze sowie spezifische Sicherheitslösungen und stellt für deren Umsetzung das Know-how der weltweit führenden Beratungs- und Prüfungsgesellschaft zur Verfügung.

Als kompetenter Partner und Marktführer stehen wir Ihnen in allen sicherheitsrelevanten Fragenstellungen mit umfangreichen Referenzen zur Verfügung. Von Cyber Security als Back-Office-Kostenposition mit Fokus auf Bedrohungen und Unsicherheit zu Cyber als Werttreiber durch Differenzierung, Umsatzschutz und Kostenvermeidung.

Eine Übersicht unseres praxiserprobten Gesamtangebots rund um IT-Sicherheit finden Sie auf der Seite Cyber Security.