Cyberangriffe im Mittelstand: Jedes dritte Unternehmen schon betroffen

IDC Studie: 66 Prozent der deutschen Unternehmen halten sich für gut gewappnet gegen Cyberangriffe, nur wenige sind es tatsächlich

Während der Pandemie wurden nicht nur Angreifer besonders aktiv, um die Situation rund um Remote Work über Phishing und Ransomware auszunutzen. Auch die IT-Umgebungen selbst haben sich enorm und vor allem rasant gewandelt, um sich an veränderte Wertschöpfungsprozesse anzupassen. Die Cybersecurity muss sich analog zu den digitalen Umgebungen und Prozessen weiterentwickeln, die sie schützen soll. Allerdings wird es mit zunehmender Komplexität offensichtlich immer schwerer für die Security-Verantwortlichen, hier entsprechend Schritt zu halten. Die neue IDC Studie „Cybersecurity in Deutschland 2021“ hat aufgedeckt, wo aktuelle und zukünftige Herausforderungen liegen und wie Unternehmen sie lösen wollen:

70 % der befragten Unternehmen waren bereits Opfer von Ransomware

Mit 29 % benennt fast ein Drittel der Befragten die vorherrschende und weiter steigende Security-Komplexität als Top-Herausforderung

Fast die Hälfte der Organisationen beschäftigt sich noch nicht mit „Digital Trust“

IDC hat im September 2021 in Deutschland branchenübergreifend Security-Verantwortliche aus 200 Unternehmen mit mehr als 100 Mitarbeitern befragt, um detaillierte Einblicke in die Herausforderungen, Vorgehensweisen und Pläne beim Aufbau und Betrieb von Security-Landschaften im Kontext allgemeiner IT- und Business-Entwicklungen zu erhalten.

Ein Großteil der befragten Unternehmen war bereits von Ransomware betroffen - und gibt sich dennoch selbstsicher

Obwohl rund 70 Prozent der Unternehmen angeben, bereits Opfer von Ransomware gewesen zu sein, gibt man sich selbstbewusst: Rund 66 Prozent der Befragten stimmen der Aussage zu, aus eigener Kraft, auch ohne externe Dienstleister und Experten, sämtliche zukünftigen IT-Sicherheitsbedrohungen bewältigen zu können. „Die Schnittmenge aus beiden Gruppen ist überraschend groß“, erklärt Marco Becker, Senior Consultant bei IDC und Projektleiter. „Dabei ist gemessen an der Häufigkeit der Ransomware-Vorfälle und der Erfolgsquote der Erpresser eine solche Selbstsicherheit absolut nicht gerechtfertigt“. 41 Prozent der Betroffenen hatten letztendlich Datenverluste, häufig trotz Bezahlung. Und auch ein großer Teil derjenigen, die nicht bezahlt haben, hatte dennoch mindestens Schäden aus dem Ausfall der verschlüsselten Systeme.

Security-Komplexität ist Top-Herausforderung – und häufig Ursache für erfolgreiche Angriffe

Rund 60 Prozent der Befragten geben an, dass sie aufgrund der Pandemie und der damit verbundenen Auswirkungen möglichst schnell neue IT-Lösungen einführen mussten und dabei die IT-Sicherheit hinten angestellt haben. Das trägt unmittelbar dazu bei, dass die Security-Komplexität für fast ein Drittel der befragten Security-Verantwortlichen zu den größten Herausforderungen gehört. Neben den immer komplexer werdenden IT-Umgebungen sind auch die Security-Landschaften gewachsen und bestehen in vielen Unternehmen aus dutzenden Lösungen und diversen Anbietern: In den Unternehmen mit bis zu 500 Mitarbeitern haben beispielsweise 17 Prozent der Befragten mehr als 20 Anbieter im Einsatz, in den größeren Unternehmen mit bis zu 2.500 Mitarbeiter gilt das für 30 Prozent der Befragten und jedes zehnte Enterprise-Unternehmen ab 2.500 Mitarbeitern aufwärts betreibt sogar Lösungen von mehr als 35 Anbietern. Diese Security-Landschaften zu überblicken und sinnvoll zu betreiben, wird immer schwieriger und endet nicht selten in einem „Alert Fatigue“ – echte Bedrohungen gehen zunehmend in der schieren Masse von Warnungen unter. Daraus resultierend gehören Malware, Ransomware, Phishing oder APT-Angriffe (Advanced Persistent Threats) wenig überraschend zu den Top-Herausforderungen für jeweils rund ein Viertel der Organisationen.

Intelligente Ansätze und Lösungen zur Abwehr komplexer Bedrohungen sind nicht häufig genug im Einsatz

Veraltete Security-Prozesse und -Lösungen stellen 21 Prozent der befragten Organisationen vor große Herausforderungen. IDC geht davon aus, dass diese Zahl zu niedrig gegriffen ist und aus der Selbstüberschätzung einiger Unternehmen folgt. „Insbesondere viele der Security Analytics und Intelligence Lösungen haben noch einen niedrigen Einsatzgrad, wie die Studienergebnisse eindeutig zeigen“, sagt Marco Becker, „Meldungen, Alerts und Logs einzelner Lösungen sowie entdeckte Attacken oder Schwachstellen werden dadurch nicht effizient im gesamten Unternehmen geteilt, manche Attacken und Schwachstellen gar nicht erst entdeckt. Stattdessen versacken Alerts unter Umständen in Silos. Das torpediert den Gedanken einer ganzheitlichen und integrierten Security-Umgebung, in der übergreifende Sicherheitsrisiken entdeckt und behandelt werden können“.

Mit dem IT-Sicherheitsgesetz 2.0 werden jetzt sogar für einige Unternehmen Lösungen zur Pflicht, die kontinuierlich und automatisch Angriffe entdecken, identifizieren, vermeiden und wenn möglich auch beseitigen können. Aber auch prinzipiell sind nach Überzeugung von IDC intelligente Security-Lösungen unumgänglich, die auf KI und ML basieren und Anwendern dabei helfen, Security-Prozesse zu orchestrieren und zu automatisieren. Nur so lässt sich die wachsende Zahl der Angriffsvektoren sowie Nutzer und Geräte absichern und die stark steigende Anzahl von Security-Meldungen bearbeiten.

„Trust“ wird grundsätzlich als Wettbewerbsvorteil gesehen, aber nur wenige Unternehmen beschäftigen sich damit

IT-Security hat neben seiner Pflichtaufgabe des Schutzes digitaler Ressourcen mittlerweile für viele Unternehmen noch eine weitere Facette. Rund 75 Prozent der Befragten stimmen zu, dass IT-Security ein wichtiger Wettbewerbsvorteil ist und die eigene Marke schützt, indem sie Vertrauen aufbaut. „Trust“ ist aus Sicht von IDC eine entscheidende Ressource, denn Vertrauen ist nicht nur Basis für Geschäfte, wenn es von Kunden entgegengebracht wird, sondern auch für Business-Ökosysteme und Innovationen mit Partnern.

Derzeit ist die Schere allerdings groß: Während sich erst rund 30 Prozent der Befragten aktiv mit Trust beschäftigen und entsprechende formelle Regeln und Programme zu dessen Schutz aufgebaut haben, stehen auf der anderen Seite rund 45 Prozent, die nicht glauben, dass sich Trust-Probleme auf ihr Geschäft auswirken oder das Thema „Trust“ gar nicht kennen. Der Rest ist sich zwar immerhin der Bedeutung von Trust und dessen Verlusts bewusst, ist aber noch nicht aktiv geworden. Die Ziele bzw. potenziellen Ziele, die in Trust-Programmen gesehen werden, sind deswegen aktuell noch sehr pragmatisch und kurzsichtig ausgerichtet und zielen meist eher auf den Datenschutz (25 Prozent) oder den Schutz sensibler Daten (22 Prozent) und weniger auf den strategischen Aspekt der Wirtschaftlichkeit im Sinne von Umsatz und Kundentreue (9 Prozent). Mit zunehmender Reife digitaler Geschäftsmodelle in sämtlichen Wirtschaftssektoren – vor allem über die IT-Branche hinaus – ist IDC aber fest davon überzeugt, dass Trust zu einem immer wichtigeren Business Asset wird, dessen Schutz extrem hohe Priorität besitzt und dessen Verlust kritisch für Unternehmen sein kann.

Fazit: In puncto IT-Security ist in deutschen Unternehmen viel Luft nach oben

Insgesamt zeichnet die Studie zwar in den deutschen Unternehmen das Bild einer Cybersecurity, die in den meisten Fällen die Basisanforderungen erfüllt, aber für zukünftige Anforderungen nicht ausreichend gewappnet ist. Kulturell gesehen hat Security immer noch einen zu geringen Stellenwert in vielen Unternehmen, sowohl im Management als auch bei Anwendern. Organisatorisch kann die Anwendung moderner Ansätze wie Security by Design oder Zero Trust dabei helfen, diese Defizite zu kompensieren, die Studienergebnisse zeigen aber, dass diese dazu noch zu selten systematisch in sämtlichen IT-Maßnahmen berücksichtigt werden. Und technologisch gesehen, sind zu wenige Advanced Security Lösungen im Einsatz, die auf Automatisierung, Orchestrierung, Analytics und Intelligence setzen.

Viele Unternehmen werden vermehrt Probleme bekommen, die steigende Anzahl von Bedrohungen zu bewältigen und komplexe Angriffe überhaupt zu erkennen. Insbesondere in Zeiten zunehmender, oft auch politisch motivierter Angriffe auf wirtschaftliche Ziele ist das eine höchst bedenkliche Entwicklung. Hier müssen die Unternehmen in jedem Fall handeln, um die eigenen Ressourcen, das Vertrauen der Kunden und damit auch ihre zukünftigen Business-Grundlagen zu schützen. Aus kultureller Sicht ist nach Meinung von IDC vor allem ein Umdenken bei der Wahrnehmung von Security der Schlüssel, um das zu ändern: Weg vom reinen Zweck der Absicherung, hin zu Cybersecurity als kritische Voraussetzung für eine erfolgreiche digitale Transformation und damit modernes digitales Business.

IDC sieht aber auch die Anbieter von IT-Security-Produkten und -Services in der Pflicht: Der Markt für Cyber- und IT-Security wird zunehmend komplizierter. Anwender können moderne Lösungen und ihren Nutzen immer schwieriger voneinander unterscheiden und auch die Lösungen selbst sind ohne spezifisches Fachwissen häufig nur schwer zu betreiben und bedienen. Security-Anbieter müssen hier entsprechend mit Beratung und Schulungen unterstützten, mit anderen Anbietern in Coopetition den Schulterschluss suchen und die Integration ihrer Lösungen in Security Plattformen und Ecosystems vorantreiben und schlussendlich ihre Lösungen Cloud-ready machen. Zudem sollten Security-Anbieter auch verstärkt an der Optimierung ihrer Lösung für Managed Service Provider arbeiten, um gemeinsam auch die komplexen, aber nötigen IT-Security-Lösungen als Managed Service anzubieten zu können.

Coverage

Deutsche Unternehmen erwarten mehr Cyberangriffe – Aber nicht auf sich selbst

Die befragten Manager halten ihr Unternehmen oft für umfassend geschützt oder für zu klein, um ins Visier der Kriminellen zu geraten. Im Widerspruch dazu steht die allgemeine Risikoeinschätzung: Für den Mittelstand insgesamt gehen drei Viertel der Befragten von einem hohen Risiko erfolgreicher Cyberattacken aus.

Das IT-Sicherheitsniveau stagniert seit Jahren

„Zu viele Entscheider nehmen die Bedrohung durch Cyberkriminelle immer noch nicht ernst genug, zudem überschätzen sie die Qualität ihrer IT-Sicherheit“, kritisiert GDV-Hauptgeschäftsführer Jörg Asmussen. Die Folgen seien weit verbreitete Sicherheitslücken: „80 Prozent der Mittelständler erfüllen schon die Basis-Anforderungen an die IT-Sicherheit nicht vollständig. Die Hälfte der Unternehmen hat keinen Notfallplan, ein Drittel hat keine ausreichenden Datensicherungen“, so Asmussen. Das Niveau der IT-Sicherheit stagniere seit Jahren, während die Cyberattacken gleichzeitig immer professioneller und häufiger würden.

„Der Mittelstand hat die Potenziale bei der Prävention bei weitem noch nicht ausgeschöpft. Angesichts der Gefahren müsste IT-Sicherheit in jedem Unternehmen Chefsache sein, denn eine Cyberattacke kann die wirtschaftliche Existenz eines Unternehmens in kürzester Zeit vernichten“, so Asmussen. Die Versicherungswirtschaft könne mit Cyberversicherungen das Restrisiko eines erfolgreichen Angriffs absichern – ein solcher Schutz setze aber in aller Regel ein gewisses Maß an IT-Sicherheit voraus.

Hintergrund: Die Initiative CyberSicher

Mit der Initiative CyberSicher nimmt der GDV die IT-Risiken des Mittelstandes unter die Lupe und zeigt, wie sich kleine und mittlere Unternehmen schützen können. In diesem Rahmen beauftragt der GDV die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH seit 2018 jährlich mit einer repräsentativen Befragung von 300 Entscheidern und IT-Verantwortlichen von kleinen und mittleren Unternehmen. Die aktuellen Interviews fanden zwischen dem 16. März und dem 25. April 2022 statt.

Der Cyber-Sicherheitscheck des GDV unter www.gdv.de/cybercheck stellt die wichtigsten Fragen rund um die IT-Sicherheit von Unternehmen. So lässt sich schnell herausfinden, wie sicher die Systeme sind, wo es Schwachstellen gibt und wie sich diese schließen lassen.

Cyberangriffe im Mittelstand: Jedes dritte Unternehmen schon betroffen

Nahezu jedes dritte der insgesamt rund 3,5 Millionen kleinen und mittleren Unternehmen in Deutschland hat in den vergangenen Jahren Cyberangriffe erlebt – mit durchschnittlichen Schäden im hohen fünfstelligen Bereich. Das zeigen die Ergebnisse einer jetzt veröffentlichten Studie.

Vor allem mittelständische Firmen mit 50 bis 250 Mitarbeitern sind offenbar Ziel digitaler Angriffe: Mit 57 Prozent waren mehr als die Hälfte schon mindestens einmal betroffen. Die Zahlen gehen auf eine repräsentative Befragung von mehr als 500 Unternehmen in Deutschland zurück. Durchgeführt wurde sie im Auftrag des hannoverschen Versicherers HDI vom Forschungs- und Beratungsinstitut Sirius Campus.

Kommen die Angreifer zum Ziel, wird es teuer: Fast drei Viertel der erfolgreichen Angriffe (72 %) verursachten Schäden von im Durchschnitt 95.000 Euro. Laut Studie verzeichnen größere Mittelstandsfirmen dabei in der Spitze noch deutlich höhere Beträge von bis zu 500.000 Euro. Interessant auch: Bei freiberuflich Tätigen liegen die Schäden über dem Durchschnitt aller Unternehmen bei rund 120.000 Euro.

Dass laut Untersuchung der Mittelstand überdurchschnittlich betroffen waren, heißt jedoch nicht, dass kleinere und Kleinstunternehmen aus Schneider sind. Im Gegenteil: Auch fast ein Drittel (31 %) der Firmen mit bis zu neun Beschäftigten und 37 Prozent mit zehn bis 49 Mitarbeitern sind in den letzten Jahren bereits Opfer von Cyber-Attacken geworden. Und je besser sich größere Unternehmen gegen Cyberangriffe schützen, desto mehr geraten die kleineren in den Fokus. Dabei sind sie nicht nur selbst als Ziel im Mittelpunkt, sondern die Angreifenden nutzen sie als Einfallstor – auch Point of Entry genannt – für weitere Angriffe. Dafür dienen dann häufig IT-Schnittstellen zu anderen, auch großen Unternehmen.

Angriffe zielen zumeist auf menschliche Fehler

Obwohl technische Angriffsmethoden über erweiterte Computer- oder IoT-Netze oder über Wartungsschnittstellen von Druckern oder Kopierern immer ausgefeilter werden, setzen Cyberkriminelle nach wie vor auf menschliches Fehlverhalten. Rund 20 Prozent der Unternehmen wurden durch das Vortäuschen falscher Identitäten, durch Spam- oder Phishing-Mails attackiert. Fast genauso viele traf es durch verseuchte Anhänge in E-Mails. Unter dem Strich führen damit in erster Linie Unaufmerksamkeit, Neugier oder Arglosigkeit von Beschäftigten zu Schäden, heißt es beim Versicherer HDI.

Betrieb unterbrochen – Kundendaten gestohlen

Bei Angriffen auf ihre IT fürchten Unternehmen vor allem zwei Dinge: den Diebstahl von Kundendaten (45 %) Betriebsunterbrechungen (43 %). Erwischt hat es dabei jeweils fast ein Viertel der Unternehmen. Ebenfalls etwa 22 Prozent beklagen Image- und Reputationsschäden infolge der Cyberangriffe, bei etwa 15 Prozent gab es Schadenersatzforderungen. Den Verlust geheimer Unterlagen oder Industriespionage mussten 16 Prozent der Firmen hinnehmen.

Um die Folgen konkret zu machen: Unternehmen können aufgrund befallener IT-Systeme Kundinnen und Kunden vorübergehend nicht beliefern, Beschäftigte haben keinen Zugriff auf E-Mails oder das Firmennetzwerk. Buchführung und Kundenservice waren lahmgelegt. Bei mehr als der Hälfte der betroffenen Unternehmen war der Betrieb laut Studie für mindestens zwei Tage eingeschränkt. Rund 15 Prozent mussten sogar mit vier bis sieben Tagen Betriebsstörungen klarkommen. Wie schwierig die Beseitigung solcher Schäden sein kann, zeigt ein Beispiel aus der Studie: “Eine als legal propagierte Software stellte sich als Schadsoftware heraus und war extrem schwierig zu entfernen. Sämtliche Softwaretools zur Behebung waren unwirksam. Die Beseitigung war nur möglich im abgesicherten Modus des Betriebssystems und durch manuelles Entfernen jeder einzelnen Datei.“

Angriffe häufig nur zufällig entdeckt

Häufig werden Cyberangriffe bei kleinen und mittleren Unternehmen nur zufällig entdeckt. Dabei gilt: Je größer die Firma, desto eher fällt Schadsoftware durch systematisches Screening auf. Kleinere Unternehmen hätten hier oft erheblichen Nachholbedarf, so der HDI. Besonders schlecht für Unternehmen sei es dagegen, wenn Cyberangriffe erst durch die Schäden, die sie anrichten, bemerkt werden.

Die Einsicht kommt nachher

Nach einem Angriff steigt die Bereitschaft zu Gegenmaßnahmen. Zwei von drei Unternehmen nutzen neue Soft- und Hardware setzen auf zusätzliche Präventionsmaßnahmen. Konsequenzen hat eine Cyberangriff nach den Ergebnissen der Umfrage oft auch für die IT-Dienstleistungsfirmen: In gut 20 Prozent aller Fälle bedeutete eine Computerattacke auch das Ende der Zusammenarbeit mit dem betroffenen Unternehmen. Und für den Versicherer HDI wichtig: Nur bei einem Viertel der Fälle war der Schaden umfassend durch eine entsprechende Police abgesichert. Dagegen vergüten 30 Prozent keinen einschlägigen Schutz. Allerdings schloss über ein Viertel der betroffenen Unternehmen nach einem Anschlag auf die IT-Systeme eine Cyber-Versicherung ab.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels