Cyber-Angriffe treffen auch kleinere und mittelständische Unternehmen (KMU). Doch KMU scheinen die Gefahr zu unterschätzen: Nur 21 Prozent setzen die Cyber-Security-Standards, die der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) entwicklet hat, vollständig um.
„Angespannt bis kritisch“ - so bezeichnete das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheitslage in Deutschland in seinem Jahresbericht 2021.
Ein Grund für diese Risikobewertung: Allein die Zahl der Schadprogramme wuchs gegenüber dem Vorjahr um 22 Prozent. Durchschnittlich werden 394.000 neue Varianten der Schadprogramme festgestellt - pro Tag. Das BSI verhängte Ende letzten Jahres gar die höchste Warnstufe (Versicherungsbote berichtete).
„Gefahr für alle erstmal gleich“
„Wer heute noch sagt: ‚Mich greift kein Hacker an, ich bin doch nur ein kleiner Fisch‘,hat das System nicht verstanden“, sagt Peter Graß, Experte für Cyberversicherungen beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV). „Was da passiert, ist wie Schleppnetzfischen. Es wird massenweise Schadsoftware verschickt, die auf weit verbreitete Sicherheitslücken abzielt. Da ist die Gefahr erst einmal für alle gleich.“
Einer GDV-Befragung unter mittelständischen Unternehmen zufolge, gaben 2021 rund 27 Prozent an, bereits von einer Cyberattacke betroffen gewesen zu sein. Haupteinfallstor der Schadsoftware: E-Mails. Bei 39 Prozent der angegriffenen Unternehmen dauerte es vier Tage und länger bis die IT-Systeme wiederhergestellt wurden. Doch nur 60 Prozent der deutschen Unternehmen testen regelmäßig, ob ihre Sicherheitskopien intakt sind und nach einem Hackerangriff zurückgespielt werden könnten.
Dabei zählt der regelmäßige Test der Sicherheitskopien zu den 10 Cyber-Security-Standards, die der Versicherer-Verband empfiehlt (siehe Bilderstrecke oben). Doch nur 21 Prozent der befragten Unternehmen setzen diese Standards vollständig um.
Die Entwicklung dieser Standards ist aber längst nicht das einzige Angebot, mit dem die Versicherungswirtschaft versucht, deutsche KMU in Sachen IT-Sicherheit fit zu machen: So hat die GDV-Tochter ‚VdS Schadenverhütung‘ einen Quick-Check für das Informationssicherheit-Management in kleinen und mittelständischen Unternehmen entwickelt.
Zudem können sich Betriebe die Erfüllung der „Mindestanforderungen an die Informationssicherheit von Klein- und Kleinstunternehmen“ (VdS-Richtlinie 10005) zertifizieren lassen. „Für rund 180 Euro gibt es die Richtlinie und einen interaktiven Maßnahmenkatalog, der durch Themen wie Virenschutz führt oder das Aufstellen von Datensicherungsplänen, die Konfiguration des Netzwerks und seiner Verbindungen sowie die Schulung von Mitarbeitern“, schreibt der GDV zu dem Angebot. Ein halbtägiges Assessment durch Sicherheitsexperten der VdS (Kosten 450 Euro) bildet den Abschluss des Zertifizierungsprogramms. „Wir gehen dann remote mit Unternehmen alle Punkte durch und schalten uns auch auf die Systeme, um alle Punkte durchzuchecken“, sagt Markus Edel, Leiter Cybersecurity bei der VdS Schadenverhütung.