Handels- und Logistikunternehmen sind häufig Ziel von Cyberkriminellen, aber auf diese Angriffe nicht ausreichend vorbereitet. Das zeigen mehrere vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) beauftragte Studien zur IT-Sicherheit im Großhandel, Einzelhandel sowie im Transportsektor.
Viele mittelständische Handels- und Logistikunternehmen vernachlässigen ihre IT-Sicherheit und werden zum leichten Ziel von Hackern. Fast jede vierte Firma (22 Prozent) ist bereits Opfer von Cyberattacken gewesen. Jeder zweite angegriffene Betrieb stand sogar zeitweise still und musste die IT-Systeme mit großem Aufwand wiederherstellen.
Das zeigt eine repräsentative Forsa-Umfrage unter 300 Unternehmen des Groß- und Einzelhandels sowie aus dem Transportsektor im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). „Die erfolgreichen Angriffe zeigen, dass die IT-Sicherheit in Handel und Logistik noch sehr lückenhaft ist. Die Verantwortlichen müssen mehr und bessere Schutzvorkehrungen treffen, die Mitarbeiter sensibilisieren und Notfallpläne schmieden“, sagt die stellvertretende GDV-Hauptgeschäftsführerin Anja Käfer-Rohrbach.
IT-Systeme zeigen zahlreiche Schwachstellen
Wie gering das Schutzniveau ist, belegt auch ein vom GDV initiierter Sicherheitscheck, an dem 19 Mittelständler der Branchen freiwillig teilnahmen. IT-Sicherheitsberater Michael Wiesner stieß bei zwei Drittel der Unternehmen auf veraltete Betriebssysteme und fand bei fast allen (95 Prozent) Schwachstellen, die Hacker zur Manipulation von Daten oder zur Übernahme der IT-Systeme nutzen könnten.
Zudem gelangte er bei jedem vierten Unternehmen über Phishing-Mails und gefälschte Webseiten an die Zugangsdaten von Beschäftigten, die ihm sehr weitgehende Zugänge erlaubten. „Wer erst einmal erfolgreich in die IT-Systeme eingedrungen ist, kann sie in aller Regel komplett übernehmen und nach Belieben manipulieren“, warnt Wiesner.
Trotz der hohen Verwundbarkeit ihrer Branche gehen fast zwei Drittel (63 Prozent) der von Forsa Befragten von einem geringen Risiko für ihr Unternehmen aus. Ihre Argumente: Ihre Firma sei zu klein, die Daten für Kriminelle nicht interessant. Viele machen auch geltend, dass bisher nichts passiert und das IT-System umfassend geschützt sei.
Insgesamt meinen drei Viertel (73 Prozent) der befragten Unternehmen, sie täten genug zum Schutz gegen Cyberkriminalität. Laut Käfer-Rohrbach hält die Selbsteinschätzung der Realität nicht stand:
Das Sicherheitsproblem wird oft kleingeredet oder bewusst ignoriert.
Viele Informationen über Logistik- und Handelsfirmen im Darknet
Wie einfach es Hacker haben, zeigt auch eine Darknet-Recherche. Dazu beauftragte der GDV die PPI AG, mit ihrem Cyberrisikobewertungstool Cysmo 1.500 Mittelständler aus Handel und Logistik zu überprüfen. Hier waren die Daten von 470 Unternehmen (31 Prozent) im Darknet zu finden – oft berufliche E-Mail-Adressen samt dazugehöriger Passwörter, die Angestellte auch für private Zwecke genutzt hatten.
„Weil viele Menschen immer die gleichen oder sehr ähnliche Passwörter nutzen, können E-Mail-/Passwort-Kombinationen von Cyberkriminellen leicht ausgenutzt werden“, warnt Käfer-Rohrbach. Unternehmen sollten für die Nutzung beruflicher Mail-Adressen daher klare Regeln aufstellen und die Mitarbeiter entsprechend schulen.
Nur ein Viertel erfüllt die wichtigsten Anforderungen
Handlungsbedarf zeigen auch die Selbstauskünfte der Unternehmen in der Forsa-Umfrage: Zwar werden in den meisten Betrieben sichere Passwörter erzwungen und Sicherheitsupdates automatisch eingespielt, aber jedes zweite Unternehmen (52 Prozent) erlaubt den Mitarbeitern, ihre privaten Geräte in der IT-Umgebung des Betriebes zu nutzen.
Jedes vierte Unternehmen (25 Prozent) bewahrt seine Sicherheitskopien so auf, dass sie auch bei einem Hackerangriff verschlüsselt oder gelöscht werden könnten. Insgesamt erfüllen nur 24 Prozent die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit.
Gleichzeitig sind viele Unternehmen nur unzureichend auf einen erfolgreichen Angriff vorbereitet: 47 Prozent der befragten Unternehmen hatten für den Ernstfall weder ein Notfallkonzept noch eine Vereinbarung mit ihrem IT-Dienstleister.
Über die Studien
- Die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH befragte aus jeder der drei Teilbranchen jeweils 100 Entscheidungsträger oder für die Internetsicherheit zuständigen Mitarbeiter. Erhebungszeitraum war der Herbst 2022.
- Der White-Hat-Hacker und IT-Sicherheitsexperte Michael Wiesner prüfte die technische und organisatorische IT-Sicherheit von 19 freiwillig teilnehmenden Großhandels-, Einzelhandels- und Transportunternehmen, unter anderem griff er die Unternehmen dabei mit Phishing-Mails an. Untersuchungszeitraum waren das Q4/2022 und das Q1/2023.
- Die PPI AG analysierte die Sicherheit der IT-Systeme von jeweils rund 500 Unternehmen der genannten Branchen. Dabei erfasst und bewertet sie mit dem Analyse-Tool Cysmo alle öffentlich einsehbaren Informationen aus Sicht eines potentiellen Angreifers. Zur Analyse gehört außerdem eine Suche nach Unternehmensdaten im Darknet. Untersuchungszeitraum: Januar 2023.
Themen:
LESEN SIE AUCH
Vier von fünf Unternehmen haben IT-Sicherheitslücken
Der Mittelstand überschätzt die Qualität seiner IT-Sicherheit und unterschätzt die Risiken eines Cyberangriffs. So halten rund 80 Prozent der Entscheider ihr Unternehmen für ausreichend geschützt. Insgesamt erfüllen aber lediglich 22 Prozent grundlegende technische Sicherheitsmaßnahmen komplett.
NIS-2-Richtlinie: Unternehmen sollten jetzt aktiv werden
Auch 2023 fehlt es noch flächendeckend am richtigen Cyber-Sicherheitsbewusstsein in Unternehmen und entsprechender Resilienz. Die NIS-2-Richtline soll dem Abhilfe schaffen. Besonderes Augenmerk wird dabei auf das Risikomanagement und das Cyber-Notfallmanagement gelegt.
Kosten für IT-Sicherheit: Budgets richtig kalkulieren
In einer Zeit, in der IT-Sicherheit jedes Unternehmen gleichermaßen betrifft, ist es völlig falsch, diesem Thema mit klassischer Kosten-Nutzen-Rechnung zu begegnen. Gerade hierbei sollten Entscheider präzise, aber nicht zu scharfkantig kalkulieren, denn falsche Sparsamkeit kann fatal sein.
Daten von jedem zweiten KMU im Darknet
Cyberversicherer kehren in die Gewinnzone zurück
Nach einem verlustreichen Jahr 2021 wurden den Cyberversicherern 2022 weniger Hackerangriffe gemeldet. Die Schaden-Kostenquote sank von fast 124 Prozent auf rund 78 Prozent. Das macht sich auch im Spartenergebnis bemerkbar.
So schützen Sie Ihr Unternehmen wirksam gegen Cyberangriffe
Unternehmen investieren zwar zunehmend in den Ausbau der eigenen IT- und Cybersicherheit, dennoch können sie das Risiko eines Cyberangriffs oft nicht mehr kontrollieren - aber immerhin stark eindämmen. Ein Überblick über die wichtigsten Maßnahmen zur Stärkung der IT-Sicherheit und Cyberresilienz.
Elektronische Patientenakte gestartet: Modellregionen testen neues System
Seit Mitte Januar wird die „ePA für alle“ schrittweise eingeführt – zunächst in ausgewählten Regionen. Der GKV-Spitzenverband betont, dass das System ausreichend getestet werden muss.
EU-Kommission hält an FIDA-Verordnung fest – Open Finance bleibt auf der Agenda
Nachdem zunächst Berichte die Runde machten, dass die EU-Kommission ihre Pläne zur Regulierung von Open Finance gestoppt habe, zeigt das finale Arbeitsprogramm nun ein anderes Bild: Die FIDA-Verordnung bleibt auf der politischen Agenda. Branchenverbände begrüßen die Kehrtwende und fordern eine praxisnahe Umsetzung.
LVM: Eine Million Versicherte nutzen Kundenportal
Die LVM Versicherung hat mit ihrem Kundenportal „Meine LVM“ einen wichtigen Erfolg erreicht: Über eine Million Kundinnen und Kunden nutzen inzwischen die digitalen Services des Portals.

Künstliche Intelligenz wird erwachsen: Die wichtigsten KI-Trends 2025
Verschärfter Wettbewerb, Agentic AI und wachsender regulatorischer Druck prägen die KI-Welt 2025. Pegasystems wirft einen Blick auf die fünf entscheidenden Trends, die Unternehmen jetzt im Auge behalten sollten.
Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher
Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde.
Digitale Betriebsmodelle: Laufen kleinere Versicherer den großen davon?
Veraltete Systeme, demografischer Wandel und regulatorische Anforderungen setzen Versicherer unter Druck. Besonders kleinere Häuser nutzen ihre Agilität, um digitale Betriebsmodelle schneller anzupassen und Marktanteile zu sichern, stellt Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater Analytics, im Interview heraus.