Bedingt abwehrbereit: Mittelstand vernachlässigt Informationssicherheit

Knapp jeder fünfte Mittelständler in Deutschland wurde schon einmal zum Opfer von Hackern, Datendieben oder Cyber-Spionen. Viele Unternehmen können die Risiken für ihre Daten und IT allerdings gar nicht einschätzen, weil ihnen die Monitoring- und Abwehrinstrumente fehlen.

Wie die PwC-Studie zum „Stand der Informationssicherheit im deutschen Mittelstand“ zeigt, verfügt nur eine Minderheit der 405 befragten Unternehmen über ein schlüssiges Sicherheitskonzept. Etwa ein Fünftel der Befragten hat gar keine Prozesse zum Schutz von Daten und IT-Systemen implementiert, ein weiteres Fünftel folgt keinen etablierten Standards. Insbesondere in kleineren Unternehmen mit niedrigen IT-Budgets fehlen für viele Bereiche Sicherheitsvorgaben. Hinzu kommt, dass die Schutzmaßnahmen nur in jedem zweiten Unternehmen tatsächlich umgesetzt werden – allein bei jedem fünften Befragten scheitert eine flächendeckende Implementierung am Einsatz von nicht mit modernen Standards kompatiblen Alt-Systemen.

Auch bei der Kontrolle bzw. Evaluierung der Sicherheitsmaßnahmen zeigen sich Defizite. Selbst von den Unternehmen mit hohen IT-Budgets (mindestens fünf Millionen Euro pro Jahr) setzen nur 60 Prozent auf ein Maßnahmenbündel von Kennzahlenerhebung, regelmäßigen Sicherheitsaudits und systematischen Risikoanalysen. Bei den Befragten mit mittleren (mehr als 500.000 Euro) und kleinen (unter 500.000 Euro) Budgets ist die Erhebung von Kennzahlen und KPIs sogar die klare Ausnahme

Zwar haben viele Mittelständler das Sicherheitsrisiko grundsätzlich erkannt, Konsequenzen ziehen bislang aber nur wenige, so das Fazit der Studie. Neben einer latenten Unterschätzung der potenziellen Schäden durch Cyber-Kriminalität und andere Attacken lässt sich bei vielen Befragten auch eine resignative Haltung feststellen: Insbesondere gegen die Spionage staatlicher Geheimdienste sehen sich viele Unternehmen machtlos.

Nach Einschätzung der PwC-Experten könnte eine verstärkte Sicherheitskooperation im Mittelstand einen Ausweg aus dem Dilemma weisen. Der schnelle Austausch über aktuelle Gefährdungsszenarien, gegebenenfalls koordiniert durch eine unternehmensneutrale Instanz, wird eine Schlüsselaufgabe der nächsten Jahre im Kampf gegen Cyber-Kriminalität sein.