Der Lagebericht Cyberschutz 2019 offenbart kleine Fortschritte und große Lücken bei kleinen und mittleren Unternehmen.
Haben Sie gut abgeschlossen und Kameras positioniert? Gar einen Wachschutz beauftragt? In Sachen Einbruchssicherung gehen Unternehmen auf Nummer sicher, schließlich ist die drohende Gefahr offensichtlich: Zerstörtes Inventar sowie gestohlene Waren, Ausrüstung und Bargeld. Ideen und Konzepte aber, die laden viele Unternehmer bedenkenlos in Clouds – ohne zu wissen, in welchem Land die Rechenzentren mit den physischen Servern zur Cloud denn eigentlich stehen. Die hauseigenen Server? Werden nur nachlässig geschützt. Die eigenen Mitarbeiter? Nicht fortlaufend und gründlich dazu geschult, wie sie beispielsweise Datenspionage und Betrugsversuche erkennen können. Und das Thema IT-Sicherheit? Nur bei knapp zwei Drittel der kleinen und mittleren Unternehmen Chefsache, das heißt: im Management so verankert, dass Verantwortlichkeiten klar definiert, Prozesse beschrieben und etwa der Zugriff auf IT-Infrastruktur sauber geregelt ist.
Zu diesem Ergebnis kommt eine Auswertung der VdS Schadenverhütung, einer Tochtergesellschaft des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). Der Lagebericht Cyberschutz basiert auf dem VdS Quick Check und gibt aktuell Auskunft über den Status Quo Cybersicherheit bei kleinen und mittleren Unternehmen in Deutschland.
Der VdS Quick Check
Mithilfe eines Online-Tool unterstützt die VdS Schadenverhütung kleine und mittlere Unternehmen dabei, Lücken in ihrer IT-Sicherheit zu erkennen. Unternehmer beantworten dazu Fragen, etwa zum Einsatz von Cloud Computing oder zur Vergabe von Aufträgen an externe Dienstleister. In der Bilanz erhalten die teilnehmenden Unternehmen den Status Quo ihres Schutzniveaus, einen Überblick über die besonderen Schwachstellen und Empfehlungen, wie sie Sicherheitslücken schließen können. Seit 2016 haben so 4.800 Unternehmen ihre Cybersicherheit überprüft.
Wer hat mal kurz das Root-Passwort?
Sicherheit fängt im eigenen Haus an – das wissen wir, seitdem wir uns mit Cybersicherheit beschäftigen (müssen). Denn viel zu viele Schadensfälle entstanden bereits, weil Mitarbeiter allzu gutgläubig USB-Sticks in ihre PCs steckten oder private Smartphones im WLAN anmelden und versehentlich das ganze Firmennetzwerk mit Viren infizierten. Oder weil Buchhalter einen vermeintlichen Auftrag ihres Chefs erledigen wollten und ohne Rückfrage horrende Geldbeträge auf fremde Konten transferierten – dabei aber einem CEO Fraud aufsaßen. Weil scheinbar jeder Zugriff auf das komplette Firmennetzwerk erhielt, und Passwörter großzügig selbst an Praktikanten gegeben wurden.
Oder: Weil den eigenen Angestellten „zu sehr“ vertraut wurde. Was nämlich eigentlich als Zeichen einer guten Firmenkultur gilt, kam einigen Unternehmen teuer zu stehen. Zuletzt berichtete der Tagesspiegel von einem Chemieunternehmen, dessen Co-Geschäftsführerin über zwölf Jahre hinweg kontinuierlich Geld abzweigte. Weder vermutet noch gemerkt habe jemand etwas, bis die betreffende Dame krank wurde und ihrem Vertreter die seltsamen Kontobewegungen auffielen. Der Schaden: 750.000 Euro. Und ein harter Fall auf den Boden der Tatsachen, der lautet: Die Gefahr ist real, auch wenn man sie nicht spürt.
Gibt es davon eine Sicherheitskopie?
Die Teilnehmer des VdS Quick-Checks Cyber Security erzielten 2019 immerhin bessere Ergebnisse als in den Vorjahren – ein Indiz, dass das Thema IT-Sicherheit doch immer häufiger nicht nur erkannt, sondern auch aktiv behandelt wird. Bestanden 2016 nur 29 Prozent der Unternehmen den Quick Check im Bereich Management/Outsourcing, sind es aktuell 38 Prozent. Auch in den Bereichen Organisation, Technik und Prävention schneiden die Unternehmen besser ab als noch vor vier Jahren.
„In vielen Bereichen haben sich die mittelständischen Unternehmen verbessert“, schreibt Jörg von Fürstenwerth, Vorsitzender der Geschäftsführung des Gesamtverbandes der Deutschen Versicherungswirtschaft e.V. (GDV), in einer Kolumne. „Sie benennen konkrete Verantwortliche für die IT-Sicherheit, sie implementieren Zugangs- und Datenschutzkonzepte, sie regeln den Umgang mit mobilen Geräten und Datenträgern, sie sensibilisieren ihre Mitarbeiter für die Gefahren aus dem Netz.“ Durchgesetzt habe sich laut des Lageberichts beispielsweise das Verständnis für Datensicherung: 95 Prozent aller KMU sichern ihre Daten. Wiederum testen nur sieben von zehn Unternehmen regelmäßig, ob die Wiederherstellung der Daten im Ernstfall auch funktionieren würde.
Was weiß eigentlich alles der IT-Dienstleister?
Eine große Schwachstelle hat der VdS jedoch ausgemacht: die Überwachung externer IT-Anwendungen. So vertrauen fast zwei Drittel der Unternehmen ihren IT-Dienstleistern nahezu blind: Bei sechs von zehn deutschen Mittelständlern (62 Prozent) fehlen sowohl konkrete Sicherheitsanforderungen für ausgelagerte IT-Anwendungen und Cloud Computing als auch eine rechtliche Absicherung gegenüber den beauftragten IT-Dienstleistern. Nur etwa die Hälfte der Unternehmen gibt eine Richtlinie an seinen IT-Dienstleister, „in der definiert ist, wie mit der IT und den Daten des Unternehmens umgegangen werden muss.“ – An dieser Stelle also müssen Hausaufgaben gemacht werden.
Regelrecht erschreckende Erkenntnisse liefert der Lagebericht Cyberschutz hinsichtlich der Nutzung von Cloud-Diensten. Klar, es ist außerordentlich praktisch, Dokumente im Team bearbeiten zu können – gleichzeitig. Terminkalender zu „sharen“ und etwa mehrere Gigabyte starke Baupläne in der Dropbox oder bei WeTransfer zwischenzulagern. Sicher ist es aber nicht. Oder, wie der Lagebericht resümiert: „Sie [die Unternehmen] lagern offenbar nicht nur den Betrieb und ihre Daten aus, sondern gleich jeden Gedanken an die IT-Sicherheit.“
Wie sollten Sie vorgehen?
Der Online-Test der VdS ist sicherlich ein guter Einstieg, die eigene IT-Sicherheit zu überprüfen. Mit wenigen Fragen können Sie sich nicht nur selbst auf die Probe stellen, Sie verstehen auch sehr schnell, dass Cybersicherheit im Unternehmen strukturiert und professionell angegangen werden muss. Das Thema gehört auf den Schreibtisch der Geschäftsführung – nur von dieser Ebene können organisatorische und technische Entscheidungen getroffen werden, die die Sicherheit erhöhen. (Auch, weil sie natürlich – wie die besseren Schlösser für Ihre Werkstore oder die Kameras für den Betriebshof – schlichtweg mit finanziellem Aufwand verbunden sind.)
Und dann: Wie Sie eine Versicherung gegen Einbruch abgeschlossen haben, sollten Sie sich ebenfalls über eine Versicherung gegen Vertrauensschäden informieren: Eine VSV schützt vor Ransomware, DDos-Attacken, CEO Fraud und anderen Cyber-Angriffen. Die Vertrauensschadenversicherung deckt in einigen Bereichen weitreichende Vermögensschäden ab.
Wir beraten Sie gerne – umfassend, neutral und anbieterübergreifend. Kontaktieren Sie uns!
Stichwörter: Cyberattacke, Cybercrime, Cyberkriminalität, Cyberschutz, Cybersicherheit, IT-Sicherheit, KMU, Vertrauensschadenversicherung