Mit der fortschreitenden digitalen Transformation und der zunehmenden Vernetzung vieler Bereiche des Alltags mit dem Internet ist auch das Bedrohungspotenzial durch Cyber-Attacken drastisch gewachsen. Standen bisher vor allem Großunternehmen und Konzerne im Fadenkreuz der Hacker, so haben besonders seit 2019 auch die Angriffe auf mittelständische Unternehmen und Familienunternehmen stark zugenommen.
Dabei hat nicht nur die Quantität dieser Aktivitäten zugelegt, sondern auch deren Qualität, da die Cyber-Kriminellen immer ausgefeiltere Methoden und anspruchsvollere Technologien anwenden. Veraltete Systeme, unzureichende Sicherheitsstandards und menschliche Fehler erleichtern es Hackern, in die IT-Infrastrukturen einzudringen.
Die drohenden Schäden sind enorm, denn schließlich können Hacker-Attacken ganze IT-Systeme von Organisationen lahmlegen und so die Unternehmensexistenz bedrohen.
Trotzdem werden diese steigenden Risiken im Mittelstand vielfach noch immer unterschätzt, wie aus der Studie „Cyber Security im Mittelstand“ hervorgeht.
Dafür hat Deloitte Private im Zeitraum Oktober bis Dezember 2019 insgesamt 353 Gesellschafter und Führungskräfte großer mittelständischer Unternehmen zu den Herausforderungen, Chancen und Risiken von Cybersicherheit befragt. Im Zentrum der Studie stehen technische und menschliche Risiken, die faktische Bedrohungslage, der Vorbereitungsgrad verschiedener Funktionsbereiche, Budgets sowie Investments in die IT-Sicherheit. Die befragten Firmen beschäftigen im Durchschnitt rund 1.560 Mitarbeiter und erwirtschaften einen Umsatz in Höhe von knapp 390 Mio. Euro.
Die aktuelle Erhebung ist der 16. Band aus der Studienreihe „Erfolgsfaktoren im Mittelstand“.
Wie die Studie zeigt, zählt Cyber Security für fast die Hälfte der Befragten bislang nicht zu den Top-Prioritäten der Unternehmensleitung und auch die damit verbundenen Risiken stellen für immerhin 48 Prozent noch kein zentrales Thema dar. Künftig wollen die Mittelständler diesem kritischen Aspekt jedoch eine höhere Priorität einräumen. Für die Zukunft schätzen 83 Prozent der Studienteilnehmer die Relevanz von Cyber Security als hoch oder sehr hoch ein.
"Der starke weltweite Anstieg von Cyberkriminalität im Zusammenhang mit COVID-19 und die daraus entstandenen Schäden zeigen aktuell wieder, wie wichtig hohe Awareness für Cyber-Risiken in Unternehmen ist. Gerade deutsche Mittelständler stellen mit ihrer Bandbreite an innovativen Geschäftsmodellen und der hohen Zahl an Patentanmeldungen lukrative Ziele für Angreifer dar."
Dr. Christine Wolter, Partner, Lead Deloitte Private
Zu den zentralen Herausforderungen bei der Abwehr von Cyber-Attacken zählen die Identifikation, Beurteilung und der richtige Umgang mit diesen Risiken. So sehen 57 Prozent der Befragten die langsame Reaktionsgeschwindigkeit auf einen Angriff als großes Problem in ihrem Unternehmen. In 53 Prozent der Fälle dauert die Aufdeckung einer relevanten Attacke einen bis sieben Tage.
Die Praxis zeigt jedoch, dass die IT-Systeme der Firmen in diesen Fällen meist lange zuvor überwunden oder sogar übernommen worden sind und die Hacker erst später diesen Zugang ausnutzen. Das ist nicht verwunderlich, schließlich sieht jeder zweite Befragte in seinem Betrieb Schwierigkeiten darin, einen Angriff überhaupt zu identifizieren. Zudem fällt auf, dass 57 Prozent der Mittelständler weder über einen Notfall- Reaktionsplan verfügen, noch zusätzliche, separat verfügbare Mittel zur Abwehr von Cyber-Attacken bereithalten.
Die mit Abstand bedeutendste Schwachstelle in der IT-Sicherheit liegt für die Befragten im Faktor Mensch. Immerhin 61 Prozent sehen im fehlenden Sicherheitsbewusstsein der Belegschaft die größte Herausforderung der Cyber-Abwehr.
Unaufmerksame Angestellte, Fach- oder Führungskräfte liefern ein Einfallstor für Hacker, wenn sie etwa auf Phishing-Links in Schad-E-Mails klicken, per Mail Passwörter an vermeintliche Vorgesetzte weitergeben oder vertrauliche Datenträger für alle zugänglich an ihrem Arbeitsplatz zurücklassen.
Der Faktor Mensch spielt auch bei den größten Sicherheitslücken in der Organisation eine entscheidende Rolle. Hier stehen ungeschulte Mitarbeiter an erster Stelle (51%), mit großem Abstand folgen die Nutzung mobiler Endgeräte (37%) oder Social-Media-Aktivitäten (26%).
Zudem schätzen die Studienteilnehmer den Informationsgrad der eigenen Mitarbeiter zu sicherheitsrelevanten Cyber-Themen durchweg als mittel bis niedrig ein.
Ein enormer Nachholbedarf ergibt sich für den Mittelstand nicht nur bei der Sensibilisierung und Schulung der Mitarbeiter, sondern auch, wenn es um die Aufstockung des Budgets für IT-Sicherheit geht. Denn bisher beschränken sich die Maßnahmen gegen Cybercrime-Aktivitäten meist auf einfache Standardlösungen wie den günstigen Einsatz von Firewalls und Virenscanner.
Das ist zwar notwendig, reicht aber bei weitem nicht aus. Zudem haben lediglich 28 Prozent der Studienteilnehmer eine Versicherung gegen Cyber-Risiken abgeschlossen. Bei 81 Prozent der befragten Unternehmen liegt das Budget für Cyber Security unter 50.000 Euro pro Jahr, bei 43 Prozent davon beträgt es sogar weniger als 10.000 Euro.
"Im Vergleich zu Großunternehmen sind die finanziellen Kapazitäten im Mittelstand deutlich begrenzter und die Konkurrenz um Budgets noch ausgeprägter“, weiß Lutz Meyer von Deloitte Private. „Beispiele, in denen die Systeme einzelner Mittelständler komplett lahmgelegt wurden und die Unternehmen letztlich vom Netz gehen mussten, zeigen allerdings immer wieder, dass realistische Investitionen in Cyber Security lebensnotwendig sein können. Denn in der Regel übersteigen die Schäden eines Angriffs die primären Ausgaben um ein Vielfaches."
Dr. Christine Wolter, Partner, Lead Deloitte Private
Laden Sie hier die vollständige Studie „Cyber Security im Mittelstand“ herunter, um mehr zum Status quo und über den konkreten Handlungsbedarf mittelständischer Unternehmen im Bereich IT-Sicherheit zu erfahren.