IT-Schwachstellen im Mittelstand – Hacker hätten leichtes Spiel
Eine aktuelle Forsa-Umfrage zeigt gravierende Defizite in der IT-Sicherheit vieler mittelständischer Unternehmen. Während sich zahlreiche Firmen gut vorbereitet fühlen, erfüllen viele nicht einmal grundlegende Sicherheitsstandards.
Laut den Ergebnissen im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) halten sich 77 Prozent der Befragten für ausreichend geschützt. Tatsächlich setzen jedoch mehr als zwei Drittel nicht einmal auf Basisschutz wie regelmäßige Updates oder starke Passwörter.
Zudem haben 64 Prozent keine Mitarbeiterschulungen etabliert, obwohl Phishing-E-Mails oft den Ursprung von Angriffen bilden. Auch Notfallpläne fehlen häufig: Jedes zweite Unternehmen verfügt laut GDV über keinerlei Konzept für den Ernstfall.
Cyberangriffe und Rolle des Staates
Die Umfrage verdeutlicht zudem eine Diskrepanz zwischen Risikoerwartung und eigener Einschätzung. Während 78 Prozent ein hohes Risiko für Angriffe auf mittelständische Firmen generell sehen, stufen nur 38 Prozent die Bedrohung für ihr eigenes Unternehmen als hoch ein.
Viele Befragte gehen fälschlicherweise davon aus, zu klein oder uninteressant für Hacker zu sein. Gleichzeitig sind die Erwartungen an den Staat hoch: 73 Prozent sehen ihn in der Pflicht, im Katastrophenfall technische Unterstützung zu leisten, 57 Prozent fordern finanzielle Hilfe.
Für mich wirkt das wie eine gefährliche Mischung aus Selbstüberschätzung und Abhängigkeit vom Staat. Statt darauf zu warten, dass andere im Ernstfall helfen, wäre es sinnvoller, wenn Unternehmen schon im Alltag konsequent ihre eigenen Sicherheitslücken schließen.
Als Angestellter eines Prüfungsverbandes für Genossenschaften kann ich das tatsächlich bestätigen. Das Sicherheitsbewusstsein ist zwar größtenteils da, nur die Umsetzung ist nicht immer auf der Höhe der Zeit bzw. angemessen, insbesondere bei der Durchsetzung von Sicherheitsstandards und – ganz wichtig – eingeschränkte Berechtigungen von Benutzern. Viele der Mandanten verlassen sich da zu sehr auf die Expertise von ihren IT-Dienstleistern, welche die IT-Umgebungen betreuen. Das da von Seiten der Dienstleister keine konkreten Empfehlungen ausgesprochen werden, was an der Sicherheit verbessert werden kann, wundert mich da schon teilweise sehr.
Es ist schon erschreckend und dabei hat man heute schon viele Möglichkeiten das einfach abzusichern. Der größte Schwachpunkt in Unternehmen war und ist der Mensch. Da einfach zu sensibilisieren und kleine Hilfsmittel wie Passwortsafes und Single-Sign-On zur Verfügung zu stellen, würde viele Probleme im Keim ersticken. Leider erleben wir das in unserem Umfeld immer wieder. Jedoch weise ich gern in meinen Gesprächen darauf hin. Danach schauen dich die Gesprächspartner immer komisch an. „Wie so einfach kannst Du ein 12-stelliges kryptisches Passwort hier verwenden“ oder „Ja, das ist eine gute Idee mit der Passphrase.“ Naja, es gibt viel zu tun.
schon schlimm
73% sehen den Staat in der Pflicht – ein Wahnsinn. Fehlende Eigenverantwortung fehlt also nicht nur im Privatleben. Wenn etwas schief läuft soll der Staat helfen, ansonsten aber einen gefälligst in Ruhe lassen.
Bei meiner alten Firma stimme ich dem absolut zu. Keine Details, aber da dachte ich mir damals schon…wenn man will und weiß wo man grob gucken muss, ist es selbst ohne Hackerhintergrund relativ leicht viel Schaden anzurichten 😅
Bei meinem aktuellen AG achten wir sehr auf Security, abhängig vom Kontext natürlich. Aber das ist wohl durchaus die Seltenheit.