Der deutsche Mittelstand steht immer häufiger im Visier von Cyberattacken. Jedes fünfte privatwirtschaftliche Unternehmen wurde 2016 Opfer eines erfolgreichen Angriffs – im Jahr zuvor war es nur jedes zehnte. Hauptangriffsziel war im vergangenen Jahr mit 66 Prozent die Systemverfügbarkeit (2015: 51 Prozent). Das sind einige Ergebnisse der Studie „Im Visier der Cyber-Gangster. So gefährdet ist die Informationssicherheit im deutschen Mittelstand“ der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Befragt wurden dafür bundesweit 400 mittelständische Unternehmen mit bis zu 1.000 Mitarbeitern.
Unternehmen halten sich bei Investitionen zurück
Trotz der verschärften Bedrohungslage reagieren die Firmen nur zögerlich. So sind die IT-Budgets der Befragten im Vergleich zur Vorjahresstudie sogar gesunken. Der Anteil der Unternehmen, die hohe Investitionen zwischen 100.000 bis zu 1 Mio. Euro tätigten, schrumpfte von 14 auf 8 Prozent. Ausgaben von über 1 Mio. Euro gingen auf 2 Prozent zurück. „Die Bedrohungslage und die Bewertung der eigenen Sicherheitssituation klaffen auseinander. Wir erkennen jedenfalls keinen ‚IT-Sicherheitsruck‘ bei mittelständischen Unternehmen. Damit gehen sie ein hohes Risiko ein“, warnt Dr. Peter Bartels, PwC-Vorstandsmitglied und Leiter des Bereichs Familienunternehmen und Mittelstand. „Viele von ihnen sind Weltmarktführer und Hidden Champions. Sie verfügen über modernste Technologien, hochspezialisiertes Fachwissen und einen beeindruckenden Kundenstamm. Diese Unternehmen und ihre Datenbestände sind deshalb besonders attraktiv für Cyber-Gangster.“ Immerhin: 51 Prozent der befragten Unternehmen erwarten in Zukunft eine steigende Ausgabenentwicklung bei der Sicherung ihrer IT-Strukturen.
Druckpunkt: digitale Transformation
Neben regulatorischen Anforderungen wie dem IT-Sicherheits-Gesetz ist die digitale Transformation ein weiterer Grund, mehr in Informationssicherheit zu investieren. Über 80 Prozent der Befragten gehen davon aus, ihre Wertschöpfungsketten bis 2020 zu digitalisieren. „Durch die voranschreitende inner- und überbetriebliche Vernetzung – Stichwort Industrie 4.0 – entstehen neue Schnittstellen und Prozesse, aus denen sich neue Angriffspunkte entwickeln“, sagt Peter Bartels. „Unternehmen müssen nicht nur ihre eigenen Informationen und Systeme schützen, sondern umfassende, global organisierte Wertschöpfungsketten.“
Mensch ist größtes Sicherheitsrisiko
Wie bei der Vorjahresuntersuchung bleibt der Mensch das größte Sicherheitsrisiko. Als Ursache sehen 76 Prozent der Unternehmen die ungenügende Schulung und Ausbildung der Mitarbeiter. Knapp dahinter liegt der verstärkte Einsatz mobiler Endgeräte, der für 75 Prozent der mittelständischen Unternehmen ein Sicherheitsrisiko darstellt. Die Auslagerung von Sicherheitsaufgaben an externe Dienstleister ist für die Mehrheit der Unternehmen bisher keine Option – am häufigsten werden externe Dienstleister im Bereich Anti-Virus eingesetzt, allerdings auch nur von 38 Prozent der Befragten. „Dabei wird verkannt“, so Derk Fischer, Leiter Cyber Security bei PwC, „dass externe Expertise die eigene Sicherheitssituation effektiv verbessern kann. Gerade im Fall eines erfolgreichen Cyberangriffs können externe Spezialisten Personal häufig in kurzer Zeit bereitstellen und so den Schaden oft minimieren.“
Mittelstand braucht Informationssicherheits-Strategie
Das Fazit, das die Studienmacher aus den Ergebnissen ziehen, ist deshalb ernüchternd: Bestehende Aktivitäten sind vor allem auf äußere Druckpunkte zurückzuführen. Die Aufgabe von Familienunternehmen und Mittelstand müsse es jetzt sein umzudenken und das Thema eigeninitiativ zu treiben, rät Peter Bartels: „Die Angreifer unterscheiden schon lange nicht mehr zwischen Großkonzernen und Mittelstand. Alle brauchen eine moderne Sicherheitsstrategie, mit der sie sich selbstbewusst und dauerhaft gegen Cyberangriffe wappnen.“
Quelle: Im Visier der Cyber-Gangster, Februar 2017 / PwC