Unternehmen schützen sich nicht genügend vor Cyberattacken

Die deutsche Wirtschaft könnte ihren Schutz vor Angriffen aus dem Netz, also vor Cyberangriffen, noch deutlich verbessern. Möglich wären weitere technische und organisatorische Maßnahmen. Man sollte aber auch die Sinne der Mitarbeiter für Cyberrisiken schärfen. Das geht aus einer Studie der HDI Versicherung hervor.

Mehr zum Thema

Schad-Software installiert

Das sollten Sie im Falle eines Cyber-Angriffs tun

Neue Kolumne: Cyber-Sicherheit

Die Cyber-Versicherung leistet nicht nur im Schadenfall

Cyber-Schutz

Warum Sie Firmenkunden jetzt auf Cyber-Risiken ansprechen sollten

Schad-Software installiert

Das sollten Sie im Falle eines Cyber-Angriffs tun

Neue Kolumne: Cyber-Sicherheit

Die Cyber-Versicherung leistet nicht nur im Schadenfall

Cyber-Schutz

Warum Sie Firmenkunden jetzt auf Cyber-Risiken ansprechen sollten

Dafür befragte das Institut Sirius Campus Freiberufler sowie IT- und Versicherungs-Entscheider von mehr als 500 kleinen und mittelständischen Unternehmen (KMU). Und ermittelte reichlich Luft nach oben.

Da wäre zum einen die Technik: Firewalls, Spam-Filter und automatisch gesicherte Daten sind noch die am häufigsten umgesetzten Maßnahmen laut Studie. Wie weit sie verbreitet sind, belegt die folgende Grafik. Aber sie zeigt eben auch, was alles nicht ganz so oft auftritt.

Laut HDI bieten solche technischen Dinge einen guten Basisschutz und sind nicht allzu aufwendig. Allerdings reichen sie nicht aus, wie erfolgreiche Cyberangriffe bestätigen.

Weshalb zum anderen die Organisation stimmen muss und die Mitarbeiter gut geschult sein müssen. Dabei geht es um verbindliche Passwort-Standards, die regelmäßige Suche nach Schwachstellen in der Informationstechnologie (IT) und letztendlich auch Notfallmaßnahmen, falls es wirklich mal zu einem Angriff kommt. Dabei sind die Passwort-Richtlinien noch am weitesten verbreitet, wie die folgende Grafik zeigt. Eher dürftig ist die Lage beim Notfallmanagement.

Wobei wir beim größten Risiko angekommen sind, dem Menschen. Vor allem Phishing-Mails und das sogenannte Social Engineering sind die häufigsten Angriffsmethoden, heißt es in der Umfrage. Als Social Engineering nennt man es, wenn Angreifer im Vorfeld auf persönlicher Ebene über soziale Medien mit den Opfern anbandeln, dadurch ihr Vertrauen gewinnen und ihnen anschließend verseuchte E-Mails oder ähnliches schicken. Eine äußerst wirksame Methode. Doch laut Studie bildet nur knapp jedes zweite Unternehmen seine Mitarbeiter regelmäßig zum Thema Cybersicherheit weiter. Nur ein Viertel testet sie durch simulierte Angriffe per E-Mail.

Wie gefährlich die Materie ist, zeigt die Erkenntnis, dass fast jedes dritte befragte Unternehmen in jüngerer Vergangenheit Opfer eines erfolgreichen Angriffs aus dem Netz wurde. Von allen Unternehmen, die mindestens zehn der untersuchten Vorbeugemaßnahmen umgesetzt hatten, wurden jedoch nur noch 18 Prozent online bezwungen. Außerdem lag dann die durchschnittliche Schadensumme bei 54.000 Euro. Bei allen befragten Unternehmen betrug sie im Schnitt hingegen 95.000 Euro.