Cyber-Sicherheit: Trügerische Selbstwahrnehmung im Mittelstand

Mehr Schein als Sein beim IT-Schutz

Eine aktuelle Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) offenbart deutliche Lücken: 77 Prozent der befragten kleinen und mittleren Unternehmen (KMU) glauben, ausreichend gegen Cyberangriffe gewappnet zu sein. Tatsächlich erfüllen jedoch mehr als zwei Drittel nicht einmal grundlegende Sicherheitskriterien wie starke Passwörter oder regelmäßige Updates. „Die Mehrheit der Unternehmen (52 Prozent) schätzt ihre IT-Sicherheitslage besser ein, als sie tatsächlich ist“, sagt Jörg Asmussen, Hauptgeschäftsführer des GDV. Besonders gravierend: 64 Prozent der Betriebe verzichten auf Schulungen zur Sensibilisierung ihrer Belegschaft – obwohl zwei Drittel der erfolgreichen Cyberangriffe mit Phishing-Mails oder Schadsoftware beginnen.

Fehlende Notfallpläne erhöhen Risiken

Auch für den Ernstfall sind viele KMU nicht vorbereitet: 48 Prozent haben keinerlei Notfallpläne entwickelt. Damit laufen sie Gefahr, im Falle eines Angriffs handlungsunfähig zu sein. „Jedes zweite Unternehmen hat für den Ernstfall keinerlei Notfallplan entwickelt“, warnt Asmussen. Die Folge: Hackerangriffe können zu erheblichen Schäden führen – vom Stillstand zentraler Geschäftsprozesse bis hin zu langfristigen finanziellen Belastungen.

Hohe Erwartung an staatliche Unterstützung

Parallel zur eigenen Nachlässigkeit sind die Erwartungen an staatliche Stellen groß. 73 Prozent der Befragten erwarten, dass der Staat im Falle einer Cyber-Katastrophe technische Hilfe leistet. 57 Prozent sehen ihn sogar in der Pflicht, betroffenen Unternehmen finanziell beizustehen. Asmussen spricht von einem „scharfen Kontrast zur mangelhaften Cybersicherheit vieler Unternehmen“. Gleichzeitig äußern 89 Prozent die Befürchtung, ein großflächiger Angriff auf Schlüsselunternehmen könne massive volkswirtschaftliche Schäden verursachen – etwa durch den Ausfall kritischer Infrastrukturen oder Lieferketten.

Fehlwahrnehmung des eigenen Risikos

Die Risikoeinschätzung vieler Mittelständler bleibt widersprüchlich: Während 78 Prozent ein eher hohes Risiko für Cyberangriffe auf KMU allgemein sehen, betrachten nur 38 Prozent ihr eigenes Unternehmen als gefährdet. Besonders jene Firmen, die ihr Risiko als gering einschätzen, wiegen sich in falscher Sicherheit: 78 Prozent von ihnen halten ihre Schutzmaßnahmen für umfassend.

Hintergrund zur Umfrage:
Die Daten stammen aus der jährlichen Befragung von 300 Entscheidern und IT-Verantwortlichen kleiner und mittlerer Unternehmen durch die Forsa Gesellschaft für Sozialforschung und statistische Analysen mbH im Auftrag des GDV. Die Erhebung ist Teil der Initiative CyberSicher, die seit 2018 regelmäßig durchgeführt wird.