Der deutsche Mittelstand steht immer häufiger im Visier von Cyberattacken. Jedes fünfte privatwirtschaftliche Unternehmen wurde 2016 Opfer eines erfolgreichen Angriffs – im Jahr zuvor war es nur jedes zehnte. Hauptangriffsziel war im vergangenen Jahr mit 66 Prozent die Systemverfügbarkeit (2015: 51 %).
Das sind einige Ergebnisse der Studie „Im Visier der Cyber-Gangster“. Trotz der verschärften Bedrohungslage reagieren die Firmen nur zögerlich. So sind die IT-Budgets der Befragten im Vergleich zur Vorjahresstudie sogar gesunken. Der Anteil der Unternehmen, die hohe Investitionen zwischen 100.000 bis zu 1 Mio. Euro tätigten, schrumpfte von 14 auf 8 Prozent. Ausgaben von über 1 Mio. Euro gingen auf 2 Prozent zurück.
Der IT-Sicherheitruck bleibt aus
„Die Bedrohungslage und die Bewertung der eigenen Sicherheitssituation klaffen auseinander. Wir erkennen jedenfalls keinen ‚IT-Sicherheitsruck‘ bei mittelständischen Unternehmen. Damit gehen sie ein hohes Risiko ein“, warnt Dr. Peter Bartels, PwC-Vorstandsmitglied und Leiter des Bereichs Familienunternehmen und Mittelstand. „Viele von ihnen sind Weltmarktführer und Hidden Champions. Sie verfügen über modernste Technologien, hochspezialisiertes Fachwissen und einen beeindruckenden Kundenstamm. Diese Unternehmen und ihre Datenbestände sind deshalb besonders attraktiv für Cyber-Gangster.“ Immerhin: 51 Prozent der befragten Unternehmen erwarten in Zukunft eine steigende Ausgabenentwicklung bei der Sicherung ihrer IT-Strukturen.
IT-SiG führt bislang nicht zu einem Umbruch
Etwas investitionsfreudiger zeigen sich die Betreiber sogenannter Kritischer Infrastrukturen (KRITIS), die bis zum Sommer dieses Jahres die Anforderungen des IT-Sicherheits-Gesetzes (IT-SiG) umsetzen müssen. Zu ihnen gehören bisher Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung. Von den 22 Prozent, die sich selbst als KRITIS-relevant einschätzen, wollen rund zwei Drittel (64 %) ihre IT-Budgets erhöhen.
Allerdings erfüllen erst die Hälfte der KRITIS-relevanten Unternehmen die Anforderungen des Gesetzes. Das ist alarmierend, meint Derk Fischer, Leiter Cyber Security bei PwC: „Das IT-SiG setzt Mindeststandards für Informationssicherheit, darunter die Benennung eines Informationssicherheitsbeauftragten, die Einführung eines Informationssicherheits-Management-Systems und die Einrichtung einer Meldestelle. Diese Vorgaben sind aus meiner Sicht ein Muss und zwar nicht nur für KRITIS-Unternehmen, sondern für alle mittelständischen Unternehmen.“
Druckpunkt: digitale Transformation
Neben regulatorischen Anforderungen wie dem IT-SiG ist die digitale Transformation ein weiterer Grund, mehr in Informationssicherheit zu investieren. Über 80 Prozent der Befragten gehen davon aus, ihre Wertschöpfungsketten bis 2020 zu digitalisieren. „Durch die voranschreitende inner- und überbetriebliche Vernetzung – Stichwort Industrie 4.0 – entstehen neue Schnittstellen und Prozesse, aus denen sich neue Angriffspunkte entwickeln“, sagt Bartels. „Unternehmen müssen nicht nur ihre eigenen Informationen und Systeme schützen, sondern umfassende, global organisierte Wertschöpfungsketten.“
Mensch ist größtes Sicherheitsrisiko
Wie bei der Vorjahresuntersuchung bleibt der Mensch das größte Sicherheitsrisiko. Als Ursache sehen 76 Prozent der Unternehmen die ungenügende Schulung und Ausbildung der Mitarbeiter. Knapp dahinter liegt der verstärkte Einsatz mobiler Endgeräte, der für 75 Prozent der mittelständischen Unternehmen ein Sicherheitsrisiko darstellt. Die Auslagerung von Sicherheitsaufgaben an externe Dienstleister ist für die Mehrheit der Unternehmen bisher keine Option – am häufigsten werden externe Dienstleister im Bereich Anti-Virus eingesetzt, allerdings auch nur von 38 Prozent der Befragten. „Dabei wird verkannt“, so Fischer, „dass externe Expertise die eigene Sicherheitssituation effektiv verbessern kann. Gerade im Fall eines erfolgreichen Cyberangriffs können externe Spezialisten Personal häufig in kurzer Zeit bereitstellen und so den Schaden oft minimieren.“
Mittelstand braucht Informationssicherheits-Strategie
Das Fazit, das die Studienmacher aus den Ergebnissen ziehen, ist deshalb ernüchternd: Bestehende Aktivitäten sind vor allem auf äußere Druckpunkte wie das IT-SiG oder die Digitale Transformation zurückzuführen. Die Aufgabe von Familienunternehmen und Mittelstand müsse es jetzt sein umzudenken und das Thema eigeninitiativ zu treiben, rät Bartels: „Die Angreifer unterscheiden schon lange nicht mehr zwischen Großkonzernen und Mittelstand. Alle brauchen eine moderne Sicherheitsstrategie, mit der sie sich selbstbewusst und dauerhaft gegen Cyberangriffe wappnen.“
Methodik: Für die Untersuchung „So gefährdet ist die Informationssicherheit im deutschen Mittelstand“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC wurden bundesweit 400 mittelständische Unternehmen mit bis zu 1.000 Mitarbeitern befragt.