Cyber-Attacken: Mittelstand nur unzureichend geschützt

Wie gut ist der deutsche Mittelstand auf Hacking-Angriffe vorbereitet? Eine aktuelle Studie von CyberDirekt, ein Makler spezialisiert auf kleine und mittlere Unternehmen, kommt zu einem verheerenden Ergebnis: Demnach haben erst rund zwölf Prozent der befragten mittelständischen Unternehmen eine Cyber-Police abgeschlossen, ganze 43 Prozent haben sich bisher noch nicht einmal mit einem Abschluss befasst. Es wird noch zu wenig für einen sinnvollen Schutz getan, mahnt Ole Sieverding, Geschäftsführer von CyberDirekt. „An vielen Stellen fehlt es noch am Bewusstsein und am Wissen.“

Ganze 70 Prozent der Befragten würden sich nicht durch Cyberattacken bedroht fühlen, 42 Prozent haben sich noch nicht ausreichend mit dem eigenen Cyber-Risiko beschäftigt. Die Befragung unter über 500 EntscheiderInnen aus den Branchen E-Commerce, Handel, Baugewerbe, Dienstleistungen und IT, vorgenommen im Dezember vergangenen Jahres, zeichnet ein düsteres Bild von Risikowahrnehmung und Prävention.

Und das, obwohl über ein Viertel der Befragten innerhalb der vergangenen zwei Jahre bereits Opfer eines Cyberangriffs geworden sind. Während 2018 nur gut 30 Prozent der Befragten in direktem Umfeld jemanden kannten, der von einem Angriff betroffen war, kletterte die Zustimmung in der aktuellen Befragung auf knapp 43 Prozent. „Die Einschläge kommen immer näher“, warnt Sieverding. Eine kostspielige Gedankenlosigkeit, schenkt man der Erhebung Glauben: Die durchschnittliche Schadenhöhe durch erfolgreiche Cyber-Angriffe liege bei über 190.000 Euro. Kein Pappenstiel für ein mittelständisches Unternehmen.

Und dennoch nutzen vorbeugende Maßnahmen die wenigsten Firmen: Nicht einmal die Hälfte sichert wichtige Daten einmal wöchentlich auf externen Datenträgern. Erst ein gutes Drittel nutze das sogenannte Patchmanagement zur Behebung von bekannten Schwachstellen, also das zeitnahe Einspielen von Sicherheitsupdates: „Sobald ein neues Update vorhanden ist, können Angreifer die Sicherheitslücke herausfinden anhand dessen, was verändert worden ist“, erklärt der CyberDirekt-Geschäftsführer. Ein leichtes Einfallstor für Hacker.

Also jedes Update so schnell es geht installieren? Schon an dieser Stelle wird es kompliziert: Es sei zum einen gar nicht immer so einfach, die Updates eigenmächtig auf den Computer zu spielen, und manchmal können unverzüglich installierte Patches auch dazu führen, dass das System gar nicht mehr funktioniert, weil die einzelnen Komponenten nicht mehr miteinander kompatibel sind. Das sei ein sensibler Punkt in den Vertragsbedingungen von Cyber-Policen: „Deswegen sollte auf entsprechende Obliegenheiten ganz verzichtet werden oder zumindest ein realistischer Zeitrahmen eingeräumt werden. Gefährlich sind "unverzügliche" Formulierungen, also ohne es vorher zu testen“, erklärt Sieverding. Allein anhand dieser kleinen Stellschraube wird klar, wie komplex das Themenfeld ist und dass professionelle Unterstützung unerlässlich ist.

Ein weiteres Problem bestehe häufig im fehlenden Notfallmanagement: Wie kommt ein Unternehmen nach einem erfolgreichen Angriff wieder in den Regelbetrieb? Das müsse im Vorfeld dringend festgelegt werden. Auch eine geeignete Back-up-Strategie sei grundlegend, denn wer die Unternehmensdaten regelmäßig offline speichert, müsse eine Ransomware weniger fürchten und könne im Zweifel auf eine Lösegeldforderung gelassener reagieren. Doch wie so oft gilt: „Meist sitzt das Problem vor dem Bildschirm und das Problem ist: Unwissenheit.“ Regelmäßige Schulungen könnten Abhilfe schaffen, in denen Mitarbeiter trainiert werden, wie sie sich im Alltag und bei speziellen Angriffen zu verhalten haben, um Schaden abzuwenden.

Unter den Top-10 wahrgenommenen Cybergefahren führen schwache Passwörter mit 57,3 Prozent Zustimmung das Ranking an. Dieser Wert lag 2018 noch bei gut 36 Prozent. Danach folgt die Nutzung öffentlicher Wlan-Netzwerke (47,6 Prozent) und verspätet ausgeführte System-Update (42,5 Prozent). Auf die Frage, welcher Schutz den Teilnehmern am wichtigsten ist, antworteten 75,3 Prozent, dass der Virenschutz Priorität habe. Nur 54,6 Prozent gaben „starke Passwörter“ als wichtigsten Schutz an. „Ich bin erschrocken, dass es nur so wenige sind“, erklärt CyberDirekt-Mann Sieverding.

Bei einer Cyberversicherung sei der Mehrheit der befragten Teilnehmer (63 Prozent) bei einem Cyberangriff der 24-Stunden-Notfall-Support durch IT-Spezialisten am wichtigsten.  Das sei das schlagende Argument, weswegen sich Unternehmen überhaupt für eine Police entscheiden. Auf Platz zwei landet die Kostenübernahme für die Wiederherstellung der IT-Syteme und Daten (62,8 Prozent), dicht gefolgt von der Kostenübernahme für IT-Forensik und für die Entfernung der Schadsoftware. In den vergangenen Monaten wurden immer wieder Stimmen laut, denen zufolge die Branche immer seltener Cyberrisiken zeichnen würde, die Forderungen nach präventiven Maßnahmen nehmen demnach zu, andernfalls wäre es schwierig, überhaupt noch eine Abdeckung zu bekommen. Sieverding schätzt die Lage allerdings deutlich positiver ein: „Grundsätzlich ist die Leistungsbereitschaft der Versicherer noch vorhanden.“

Wenn Ihnen dieser Artikel gefällt, abonnieren Sie unseren täglichen kostenlosen Newsletter für weitere relevante Meldungen aus der Versicherungs- und Finanzbranche!