Mittelständische Firmen in Deutschland vernachlässigen die IT-Sicherheit. Das ergab eine aktuelle Forsa-Studie um Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft. Die Studie zeigt zudem auf, wie sich Firmen besser schützen. Absichern lassen sich bestimmte Risiken auch über eine Cyber-Versicherung.
Cyber-Risiken sind bei mittelständischen Unternehmen gefürchtet. Erst im Mai ergab die Umfrage eines großen Versicherungsunternehmens bei Unternehmen: Die Angst vor Cyber-Kriminalität hat mittlerweile die Angst vor Einbruch und Vandalismus vom Rang eins der Unternehmensängste verdrängt. Denn groß angelegte Cyber-Attacken mit Ransomware wie „WannaCry“ und „Bad Rabbit“ zeigten in der Vergangenheit: Durch Zerstörung von Daten und Eingriff in Prozesse und Steuerungssysteme werden Schäden erzeugt, die besonders kleinere und mittlere Unternehmen fundamental in ihrer Existenz bedrohen würden. Glaubt man aber einer neuen Studie im Auftrag des Gesamtverbands der Versicherer, hat diese Angst noch keinen Widerhall im Verhalten der Unternehmen gefunden.
Selbst einfachste Maßnahmen nicht befolgt
Die aktuelle Befragung von 300 Entscheidern in kleinen und mittleren Unternehmen ergab nämlich: Viele Unternehmen vernachlässigen selbst einfachste Sicherheitsmaßnahmen, um sich gegen Hacker und Internet-Kriminalität zu schützen. So werden in jedem fünften Betrieb (20 Prozent) Administratoren-Rechte nicht nur an Administratoren gegeben, sondern an alle Mitarbeiter. Hierdurch steigt die Gefahr von Störattacken und Manipulationen, auch kann Schadsoftware leichter eingeschleust werden. Jeder dritte Mittelständler (32 Prozent) macht außerdem keine wöchentliche Datensicherung. Werden dann Daten gelöscht, weil die Hardware Schaden nimmt oder ein Virus wütet, sind nicht gesicherte Daten (zum Beispiel Kundendaten, Bestellungen, Informationen zu laufenden Arbeitsprozessen) unwiderruflich verloren.
Noch erschreckender: Auf eine regelmäßige Aktualisierung von Virenscannern für alle Systeme verzichtet sogar mehr als jeder dritte Mittelständler (36 Prozent). Und das, obwohl Updates automatisch eingespielt werden können, um die Technik auf neuestem Stand zu halten.
Zehn einfache Sicherheitsvorkehrungen sollten mittelständische Unternehmen gemäß der Studie beachten:
Sicherheitsupdates sollten automatisch und zeitnah eingespielt und alle Systeme auf dem aktuellen Stand gehalten werden.
Mindestens einmal wöchentlich sollten Sicherungskopien von Daten gemacht werden.
Administratoren-Rechte sollten nur an Administratoren vergeben werden.
Alle Systeme, die über das Internet erreichbar oder im mobilen Einsatz sind, sollten zusätzlich geschützt werden, zum Beispiel durch Passwörter.
Maßnahmen wie Verschlüsselungen für Backups sollten durchgeführt werden, um Manipulationen und unberechtigten Zugriff auf Sicherungskopien zu verhindern.
Alle Systeme sollten mit einem Schutz gegen Schadsoftware ausgestattet werden, dieser sollte sich regelmäßig automatisch aktualisieren lassen.
Sicherungskopien sollten physisch vom gesicherten System getrennt werden – etwa, um Datenverlust bei Brand und Diebstahl zu verhindern.
Mindestanforderungen für Passwörter (z.B. Länge, Sonderzeichen) sollten von Mitarbeitern verlangt und technisch erzwungen werden.
Jeden Nutzer sollte mit eigener Zugangskennung und individuellem Passwort ausgestattet werden – etwa um nachvollziehen zu können, wer wann auf das System zugegriffen hat.
Das Wiederherstellen der Daten aus der Sicherungskopie sollte regelmäßig getestet werden, um Fehler beim Backup und der Datenübertragung auszuschließen.
Wettlauf zwischen Kriminellen und IT-Experten
Sorgfalt bei den Sicherheitsmaßnahmen ist also notwendig, um Cyber-Risiken zu minimieren. Dennoch muss auch daran erinnert werden: Hundertprozentiger Schutz ist nie gegeben. Befinden sich doch Hacker und Sicherheitsexperten in einem regelmäßigen Wettlauf. So nahmen selbst große Unternehmen wie die Deutsche Bahn, Renault oder die Metro in Kiew in der Vergangenheit durch Cyber-Kriminalität Schaden – obwohl man annehmen könnte, solche Firmen seien gut gegen Hacker-Angriffe geschützt.
Die Versicherer empfehlen demzufolge als zusätzlichen Schutz eine Cyber-Versicherung. Verschiedene Anbieter haben mittlerweile Angebote entwickelt, die sich gezielt an mittelständische Unternehmen wenden. Diese leisten bei Eigen- und Drittschäden. Der Gesamtverband der Versicherer führt aber zusätzlich aus: Nach einem Cyber-Angriff vermittelt und bezahlt die Versicherung auch Experten für IT-Forensik, spezialisierte Anwälte oder Krisenkommunikatoren. Unverbindliche Musterbedingungen des Verbandes dienen den Anbietern vieler Cyber-Versicherungen als Orientierung.
Und einige Versicherer sind außerdem dazu übergegangen, Mitarbeiterschulungen als zusätzlichen Service anzubieten. Sind doch sicherheitsbewusste Mitarbeiter immer noch einer der wichtigsten Faktoren für Cyber-Sicherheit.