Mittelständische Firmen vernachlässigen selbst einfachste Maßnahmen gegen Hacker

Quelle: Robin Higgins / Pixabay

Mittelständische Firmen in Deutschland vernachlässigen die IT-Sicherheit, so das Ergebnis einer aktuellen forsa-Umfrage im Auftrag der Versicherungswirtschaft. Selbst einfachste Maßnahmen wie Software-Updates oder die regelmäßige Aktualisierung von Viren-Scannern werden nur unzureichend durchgeführt. So verzichten beinahe vier von zehn mittelständischen Betrieben beispielsweise darauf, regelmäßig Virenscanner zu aktualisieren.

Deutsche Firmen vernachlässigen selbst einfachste Sicherheitsmaßnahmen, um sich gegen Hacker und Internet-Kriminalität zu schützen. Dies zeigt eine aktuelle forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) unter 300 Entscheidern. Nur jeder sechste Betrieb (16 Prozent) erfüllt demnach einen Katalog von zehn einfachen Schutzmaßnahmen, um die IT zu schützen. Immerhin 35 Prozent der Firmen erfüllen acht oder neun Kriterien, bei weiteren 27 Prozent sind es sechs oder sieben. Die Studie kann als pdf auf der Webseite des Verbandes heruntergeladen werden.

Kein Update von Virenscannern, keine sicheren Passwörter

Was es bedeutet, selbst einfachste Schutzmaßnahmen nicht zu befolgen, zeigen konkrete Beispiele aus der Studie. In jedem fünften Betrieb (20 Prozent) werden Administratoren-Rechte nicht nur an ebenjene Administratoren gegeben, sondern an alle Mitarbeiter. Wer aber mit solchen Rechten arbeitet, macht das System anfällig für Schadsoftware, die dann leichter eingeschleust werden kann. Auch vor Störattacken und Manipulationen ist die IT weniger geschützt. Deshalb sollten nur jene mit solchen Rechten arbeiten, die sie wirklich benötigen.

Weitere Beispiele aus der Studie: Jeder dritte Mittelständler (32 Prozent) macht keine wöchentliche Datensicherung. Werden dann Daten gelöscht, weil die Hardware Schaden nimmt oder ein Virus wütet, sind nicht gesicherte Daten verloren. Dann können unter Umständen Kundendaten, Bestellungen, aber auch Informationen zu laufenden Arbeitsprozessen nicht mehr abgerufen werden.

Auf eine regelmäßige Aktualisierung von Virenscannern für alle Systeme verzichtet sogar mehr als jeder dritte Mittelständler (36 Prozent). Verwunderlich schon deshalb, weil Updates ja auch automatisch eingespielt werden können. Auch das ein sehr nachlässiges Verhalten: Gegen neueste Bedrohungen aus dem Netz ist die IT dann nicht geschützt. Auch wenn Virenscanner hier keinen hundertprozentigen Schutz bieten, sollte mindestens einer auf den Systemen installiert sein und regelmäßig aktualisiert werden: Eine Vielzahl an Attacken kann damit abgewehrt werden.

Die meisten Schäden entstehen durch das unbeabsichtigte Infizieren der Systeme mit so genannter Schadsoftware, so berichtet der GDV: Viren, Trojaner oder Ransomware. E-Mails bleiben laut Umfrage das wichtigste Einfallstor: 70 Prozent der erfolgreichen Angriffe gelangten durch das E-Mail-Postfach in die IT. Hier sei daran erinnert, dass es einen regelrechten Wettlauf zwischen Hackern und Sicherheitsexperten gibt: Tritt eine neue Sicherheitslücke auf, dann versuchen die Cyberschützer, diese schnell zu stopfen und ein entsprechendes Update einzuspielen. Wer auf Aktualisierungen verzichtet, macht seine digitalen Systeme anfällig für neue Bedrohungen.

Jeder vierte Mittelständler erlitt schon Schäden

Verwunderlich ist die fehlende Sorgfalt auch deshalb, weil viele Firmen um die Gefahren wissen. Sogar aus eigener Erfahrung: Jedes vierte mittelständische Unternehmen (24 Prozent) gab zu Protokoll, bereits Schäden durch Cyberangriffe erlitten zu haben. In vier von zehn Fällen wurde dadurch der Betrieb lahmgelegt.

Immerhin 63 Prozent sagten zudem aus, durch einen Ausfall der IT würde ihr Geschäft stark oder sehr stark eingeschränkt. Etwas mehr als ein Viertel (26 Prozent) glaubt, nicht so stark oder nur wenig betroffen zu sein. 11 Prozent der Mittelständler gaben auch, auch ohne funktionierende IT keine Probleme zu haben.

Zu folgenden Sicherheitsvorkehrungen sollten die KMU antworten:

  1. Sicherheitsupdates automatisch und zeitnah einspielen und alle Systeme auf dem aktuellen Stand halten (23 Prozent der befragten Firmen erfüllen dies nicht)
  2. Mindestens einmal wöchentlich Sicherungskopien machen (32 Prozent erfüllen dies nicht)
  3. Administratoren-Rechte nur an Administratoren vergeben (20 Prozent erfüllen dies nicht)
  4. Alle Systeme, die über das Internet erreichbar oder im mobilen Einsatz sind, zusätzlich schützen, z.B. durch Passwörter auf mobilen Geräten mit Kundendaten (24 Prozent erfüllen dies nicht)
  5. Manipulationen und unberechtigten Zugriff auf Sicherungskopien verhindern, etwa durch Verschlüsselungen für Backups (29 Prozent erfüllen dies nicht)
  6. Alle Systeme mit einem Schutz gegen Schadsoftware ausstatten und diesen automatisch aktualisieren lassen (36 Prozent erfüllen dies nicht)
  7. Sicherungskopien physisch vom gesicherten System trennen, etwa, um Datenverlust bei Brand und Diebstahl zu verhindern (25 Prozent erfüllen dies nicht)
  8. Mindestanforderungen für Passwörter (z.B. Länge, Sonderzeichen) verlangen und technisch erzwingen (26 Prozent erfüllen dies nicht)
  9. Jeden Nutzer mit eigener Zugangskennung und individuellem Passwort ausstatten, etwa um nachvollziehen zu können, wer wann auf das System zugegriffen hat (31 Prozent erfüllen dies nicht)
  10. Wiederherstellen der Daten aus der Sicherungskopie regelmäßig testen, um Fehler beim Backup und der Datenübertragung auszuschließen (54 Prozent erfüllen dies nicht)

Hintergrundinformationen: Studie „Cyberrisiken im Mittelstand 2019“ – Der GDV hat die forsa Politik- und Sozialforschung GmbH mit einer repräsentativen Befragung von 300 Entscheidern in kleinen und mittleren Unternehmen beauftragt. Die Interviews fanden im März und April 2019 statt. Befragt wurden Firmen bis 249 Mitarbeitern und 50 Millionen Euro Jahresumsatz.