Deutsche Mittelständler verwalten und speichern hochsensible Daten in ihren Netzwerken und auf unterschiedlichen Geräten. Dennoch sind sie extrem schlecht auf die Abwehr von Cyber-Kriminalität vorbereitet – Hackerangriffe, Datendiebstahl sowohl von außen wie auch von innen, Sabotage und andere Formen der Cyber-Risiken zählen dazu.

Die Sicherheitsvorkehrungen sind oft lückenhaft oder gar nicht vorhanden – das ergab eine Umfrage, deren Zahlen die Beratungsgesellschaft PwC kürzlich vorlegte.

Derk Fischer von PwC erklärte, dass Präventionsmaßnahmen von den mittelständischen Unternehmen zweifellos vernachlässigt werden. Eine sehr große Anzahl von Firmen unterschätzten die Risiken. Sie würden etliche Attacken erst gar nicht bemerken, weil die erforderlichen Kontrollverfahren einfach fehlten.

Nahezu ein Fünftel der 405 befragten Unternehmen hat keine ausreichenden Maßnahmen zum Schutz ihrer Daten ausgearbeitet. Lediglich ein Drittel hat nach der umfassenden und lang andauernden Berichterstattung über die Internet-Spionage des amerikanischen Geheimdienstes NSA ihre eigene Sicherheitsstrategie hinterfragt und circa nur die Hälfte plant höhere Investitionen in die Informationssicherheit. »Die Ergebnisse der Studie sind ernüchternd«, erklärten die Berater.

Sie raten den Unternehmen, ihre Belegschaft regelmäßig über mögliche Risiken mit Umgang mit Daten und den zahlreichen Gefahrenquellen aufzuklären. »Auch das sicherste Netzwerk schützt nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt auf USB-Sticks abspeichern oder ihre Benutzerpasswörter nie ändern«, sagte Derk Fischer.

Ein Großteil der Mittelständler verfügt zwar über Vorgaben zur Sicherheit beim Umgang mit Information, diese folgen jedoch in den seltensten Fällen einem anerkannten Standard. Sie werden mangels besseren Wissens „im Eigenbau“ umgesetzt. Dabei sind die kleinen und mittleren Betriebe dazu meist gar nicht in der Lage, denn sie hinken den Möglichkeiten der Angreifer deutlich hinterher: »Fast scheint es, als hätten sie sich entweder zum Aussitzen... oder aber zur Resignation entschlossen.«

Nach der Umfrage war gut jedes fünfte Unternehmen mindestens einmal Ziel einer Cyber-Attacke. Über die Hälfte (58%) der Betroffenen konnten allerdings nicht einmal genau angeben, welche Unternehmensbereiche und Daten von den Angriffen betroffen waren. Und dennoch geht jedes zweite Unternehmen davon aus, dass durch Angriffe kein finanzieller Schaden entstanden ist. In gut jedem dritten geschädigten Betrieb beliefen sich die Verluste demnach auf bis zu 100.000 Euro, noch höhere Schäden identifizierten lediglich drei Prozent der Befragten.

Dabei zeigten sich die Befragten beim Thema Auslagerung von Firmendaten an Internetdienste besonders skeptisch. 47 Prozent nannten die Speicherung in der Cloud als größtes IT-Sicherheitsrisiko und rund jeder vierte den externen Zugriff auf die Unternehmens-IT mit privatem Smartphone oder Tablet.

Diese Studie zeigt eindrucksvoll das, was viele Unternehmen seit langem „fühlen“ und dennoch aus unterschiedlichen Gründen ignorieren: Die Sicherheit ihrer Unternehmensdaten wird vernachlässigt!

Dabei sollten gerade kleine und mittelständige Unternehmen großen Wert auf Datensicherheit legen. Werden diese einmal von Cyber-Kriminellen abgegriffen, wandern nicht nur Geschäftszahlen zur Konkurrenz, sondern noch schlimmer, das Know-how der Unternehmen und somit ihr wichtigstes Kapital. Was das für Konsequenzen haben kann, mag sich jeder Unternehmer selbst ausmalen. Und dennoch praktiziert man in vielen Unternehmen eine Vogel-Strauß-Politik. Frei nach dem Motto:

»Man sieht es nicht, man hört es nicht und man riecht und schmeckt es nicht – demnach gibt es nicht!« – Merkt man in so einem Fall jedoch einen Einbruch, ist es meistens zu spät.

Mit diesem Bericht hoffen wir, was Datensicherheit angeht, für einen gewissen Grad an Sensibilisierung gesorgt zu haben. Dieses Thema ist im höchsten Masse komplex und mit nicht unerheblichen Kosten verbunden. Es zu vernachlässigen stellt jedoch keine Lösung dar – das wäre fahrlässig.

Datensicherheit ist ein dynamischer Prozess, der ständig an neue Gefahren angepasst werden muss. Wer dieses Thema vernachlässigt, wird diese Nachlässigkeit früher oder später bereuen. Die Cyber-Kriminellen schlafen nicht und man kann davon ausgehen, dass jede Lücke, jede Nachlässigkeit und jede Bequemlichkeit schonungslos von ihnen ausgenutzt wird.

Wenn Sie bereits geeignete Maßnahmen für Ihre Datensicherheit getroffen haben und diese stets weiterentwickeln, brauchen Sie auf diese Mitteilung nicht zu reagieren. Ansonsten sollten Sie ernsthaft über die Sicherheit Ihrer Daten nachdenken und die entsprechenden Schritte einleiten, denn nur eine installierte Internet-Sicherheitssoftware alleine, wenn auch stets aktuell gehalten, reicht heute bei weitem nicht mehr aus. Nehmen Sie Kontakt mit uns auf – wir beraten Sie und helfen Ihnen gerne weiter.