Mittelstand vernachlässigt fahrlässig den Cyberschutz

Viele mittelständische Handels- und Logistikunternehmen vernachlässigen ihre IT-Sicherheit und werden zum leichten Ziel von Hackern. Fast jede vierte Firma (22 Prozent) ist bereits Opfer von Cyberattacken gewesen. Jeder zweite angegriffene Betrieb stand sogar zeitweise still und musste die IT-Systeme mit großem Aufwand wiederherstellen.

Das zeigt eine repräsentative Forsa-Umfrage unter 300 Unternehmen des Groß- und Einzelhandels sowie aus dem Transportsektor im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). „Die erfolgreichen Angriffe zeigen, dass die IT-Sicherheit in Handel und Logistik noch sehr lückenhaft ist. Die Verantwortlichen müssen mehr und bessere Schutzvorkehrungen treffen, die Mitarbeiter sensibilisieren und Notfallpläne schmieden“, sagt die stellvertretende GDV-Hauptgeschäftsführerin Anja Käfer-Rohrbach.

IT-Systeme zeigen zahlreiche Schwachstellen

Wie gering das Schutzniveau ist, belegt auch ein vom GDV initiierter Sicherheitscheck, an dem 19 Mittelständler der Branchen freiwillig teilnahmen. IT-Sicherheitsberater Michael Wiesner stieß bei zwei Drittel der Unternehmen auf veraltete Betriebssysteme und fand bei fast allen (95 Prozent) Schwachstellen, die Hacker zur Manipulation von Daten oder zur Übernahme der IT-Systeme nutzen könnten.

Zudem gelangte er bei jedem vierten Unternehmen über Phishing-Mails und gefälschte Webseiten an die Zugangsdaten von Beschäftigten, die ihm sehr weitgehende Zugänge erlaubten. „Wer erst einmal erfolgreich in die IT-Systeme eingedrungen ist, kann sie in aller Regel komplett übernehmen und nach Belieben manipulieren“, warnt Wiesner.

Trotz der hohen Verwundbarkeit ihrer Branche gehen fast zwei Drittel (63 Prozent) der von Forsa Befragten von einem geringen Risiko für ihr Unternehmen aus. Ihre Argumente: Ihre Firma sei zu klein, die Daten für Kriminelle nicht interessant. Viele machen auch geltend, dass bisher nichts passiert und das IT-System umfassend geschützt sei.

Insgesamt meinen drei Viertel (73 Prozent) der befragten Unternehmen, sie täten genug zum Schutz gegen Cyberkriminalität. Laut Käfer-Rohrbach hält die Selbsteinschätzung der Realität nicht stand:

Das Sicherheitsproblem wird oft kleingeredet oder bewusst ignoriert.

Viele Informationen über Logistik- und Handelsfirmen im Darknet

Wie einfach es Hacker haben, zeigt auch eine Darknet-Recherche. Dazu beauftragte der GDV die PPI AG, mit ihrem Cyberrisikobewertungstool Cysmo 1.500 Mittelständler aus Handel und Logistik zu überprüfen. Hier waren die Daten von 470 Unternehmen (31 Prozent) im Darknet zu finden – oft berufliche E-Mail-Adressen samt dazugehöriger Passwörter, die Angestellte auch für private Zwecke genutzt hatten.

„Weil viele Menschen immer die gleichen oder sehr ähnliche Passwörter nutzen, können E-Mail-/Passwort-Kombinationen von Cyberkriminellen leicht ausgenutzt werden“, warnt Käfer-Rohrbach. Unternehmen sollten für die Nutzung beruflicher Mail-Adressen daher klare Regeln aufstellen und die Mitarbeiter entsprechend schulen.

Nur ein Viertel erfüllt die wichtigsten Anforderungen

Handlungsbedarf zeigen auch die Selbstauskünfte der Unternehmen in der Forsa-Umfrage: Zwar werden in den meisten Betrieben sichere Passwörter erzwungen und Sicherheitsupdates automatisch eingespielt, aber jedes zweite Unternehmen (52 Prozent) erlaubt den Mitarbeitern, ihre privaten Geräte in der IT-Umgebung des Betriebes zu nutzen.

Jedes vierte Unternehmen (25 Prozent) bewahrt seine Sicherheitskopien so auf, dass sie auch bei einem Hackerangriff verschlüsselt oder gelöscht werden könnten. Insgesamt erfüllen nur 24 Prozent die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit.

Gleichzeitig sind viele Unternehmen nur unzureichend auf einen erfolgreichen Angriff vorbereitet: 47 Prozent der befragten Unternehmen hatten für den Ernstfall weder ein Notfallkonzept noch eine Vereinbarung mit ihrem IT-Dienstleister.

Über die Studien

• Die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH befragte aus jeder der drei Teilbranchen jeweils 100 Entscheidungsträger oder für die Internetsicherheit zuständigen Mitarbeiter. Erhebungszeitraum war der Herbst 2022.
• Der White-Hat-Hacker und IT-Sicherheitsexperte Michael Wiesner prüfte die technische und organisatorische IT-Sicherheit von 19 freiwillig teilnehmenden Großhandels-, Einzelhandels- und Transportunternehmen, unter anderem griff er die Unternehmen dabei mit Phishing-Mails an. Untersuchungszeitraum waren das Q4/2022 und das Q1/2023.
• Die PPI AG analysierte die Sicherheit der IT-Systeme von jeweils rund 500 Unternehmen der genannten Branchen. Dabei erfasst und bewertet sie mit dem Analyse-Tool Cysmo alle öffentlich einsehbaren Informationen aus Sicht eines potentiellen Angreifers. Zur Analyse gehört außerdem eine Suche nach Unternehmensdaten im Darknet. Untersuchungszeitraum: Januar 2023.