Mittelstand unterschätzt Cyber-Risiken

PwC-Studie: Ein Fünftel der mittelständischen Unternehmen war bereits von Cyber-Attacken betroffen / Präventionsstrategie ist meist lückenhaft / Nur knappe Mehrheit will verstärkt in Datensicherheit investieren

Frankfurt, 14. April 2014.

Der deutsche Mittelstand ist auf Hackerangriffe, Datendiebstahl und andere Formen der Cyber-Kriminalität nur unzureichend vorbereitet. Sicherheitsvorkehrungen sind häufig lückenhaft oder überhaupt nicht implementiert – rund jedes fünfte von 405 befragten Unternehmen hat keine Prozesse zur Informationssicherheit definiert oder kann hierzu keine näheren Angaben machen, wie aus einer Studie der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC hervor geht. Höhere Investitionen in die Informationssicherheit plant ungeachtet der zahlreichen im Jahr 2013 aufgedeckten Datenskandale nur rund jedes zweite Unternehmen.

„Präventionsmaßnahmen werden von den mittelständischen Unternehmen zweifellos vernachlässigt. Dies dürfte auch darauf zurückzuführen sein, dass viele Befragten die Risiken deutlich unterschätzen. Es ist davon auszugehen, dass etliche Attacken von den Unternehmen gar nicht bemerkt werden, weil erforderliche Monitoring- und Kontrollverfahren fehlen“, kommentiert Derk Fischer, PwC-Partner und Experte für IT-Sicherheit.

So war gut jedes fünfte Unternehmen schon mindestens einmal Ziel einer Cyber-Attacke. Allerdings kann mehr als die Hälfte der Betroffenen (58 Prozent) nicht genau angeben, welche Bereiche bzw. Daten angegriffen wurden und welche Folgen dies hatte. Trotz dieser unsicheren Informationslage geht jedes zweite Unternehmen davon aus, dass durch Angriffe kein finanzieller Schaden entstanden ist. In gut jedem dritten geschädigten Betrieb beliefen sich die Verluste demgegenüber auf bis zu 100.000 Euro, noch höhere Schäden identifizierten lediglich drei Prozent der Befragten.

Cloud Computing fordert Unternehmern heraus

Der wichtigste sicherheitsrelevante IT-Trend der kommenden fünf Jahre ist nach Einschätzung der meisten Befragten das Cloud Computing (47 Prozent), rund jeder vierte nennt die zunehmende betriebliche Nutzung privater Endgeräte bzw. Sicherheitsrisiken durch den externen Zugriff auf die Unternehmens-IT via Smartphone und Tablet.

Eine untergeordnete Rolle weisen die Befragten hingegen dem Thema Datenspionage zu. Zwar gehen annähernd 30 Prozent der Unternehmen davon aus, dass sie zum Ziel geheimdienstlicher Ausspähprogramme wie PRISM oder Tempora geworden sind. Doch nur 20 Prozent halten ihre Sicherheitsmaßnahmen vor diesem Hintergrund für nicht mehr ausreichend. Eine Erklärung für diese Differenz dürfte sein, dass gut zwei Drittel der Unternehmen keinen wirksamen Schutz vor Datenzugriffen durch Geheimdienste sehen.

Mitarbeiter sind unzureichend geschult

Zentrales Element einer IT-Sicherheitsstrategie ist die Aufklärung der Beschäftigten über potenzielle Datenrisiken und den Umgang mit Gefahrenquellen. „Auch das sicherste Netzwerk schützt nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt auf USB-Sticks abspeichern oder ihre Benutzerpasswörter nie ändern“, betont Fischer. Doch in fast jedem zweiten Unternehmen gibt es keine kontinuierlichen Schulungen zur IT-Sicherheit – 37 Prozent der Betriebe halten eine einmalige Unterweisung für ausreichend, bei 11 Prozent gibt es sogar überhaupt keine Sicherheitsschulung.

Die Weiterbildungsdefizite dürften auch darauf zurückzuführen sein, dass sich nur gut die Hälfte der Unternehmen (53 Prozent) an Standards zur Informationssicherheit wie beispielsweise dem ISO 27001 orientiert. Bei den übrigen wird Informationssicherheit nicht nach einem durchgehend prozessorientierten Ansatz verfolgt. „Damit manövrieren sich die Unternehmen jedoch auf Dauer ins Abseits: Mit zunehmender Vernetzung der Wertschöpfungskette müssen sich die beteiligten Unternehmen neuen Herausforderungen stellen. Die Ideen zu einem ‚Meldegesetz’ für sicherheitsrelevante Vorfälle sind insbesondere für das Mittelstandssegment ein ganz wichtiger Ansatz. Denn im Alleingang haben diese keine Chance im Wettlauf mit Hackern und Cyber-Kriminellen“, unterstreicht Peter Bartels, Vorstand und Leiter des Bereiches Familienunternehmen und Mittelstand.

An der Studie beteiligten sich 405 Unternehmen und öffentliche Non-Profit-Organisationen. Die Hälfte der Befragten beschäftigt zwischen 200 und 500 Mitarbeitern, die übrigen mehr als 500.

PwC bietet branchenspezifische Dienstleistungen in den Bereichen Wirtschaftsprüfung, Steuer- und Unternehmensberatung. Dort schaffen wir für unsere Mandanten den Mehrwert, den sie erwarten. Mehr als 184.000 Mitarbeiter in 157 Ländern entwickeln in unserem internationalen Netzwerk mit ihren Ideen, ihrer Erfahrung und ihrer Expertise neue Perspektiven und praxisnahe Lösungen. In Deutschland erzielt die PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft an 28 Standorten mit 9.300 Mitarbeitern eine Gesamtleistung von rund 1,55 Milliarden Euro.

Die Bezeichnung PwC bezieht sich auf das PwC-Netzwerk und/oder eine oder mehrere der rechtlich selbstständigen Netzwerkgesellschaften. Weitere Details unter www.pwc.com/structure