Deutschland ist weltweiter Spitzenreiter bei Schäden durch Cyber-Kriminalität. Besonders betroffen sind kleine und mittelständische Unternehmen, die oft unzureichend gegen Cyber-Angriffe abgesichert sind. Die Schwachstellenanalyse von VdS zeigt im Vergleich zum Vorjahr positive Trends – insgesamt gibt es aber noch immer gravierenden Verbesserungsbedarf bei der Cyber-Sicherheit in deutschen Unternehmen.
Köln, 08. Oktober 2019. Laut Verfassungsschutz wird alle drei Minuten ein Cyber-Angriff auf ein deutsches Unternehmen getätigt. Dabei gehen die Täter immer professioneller und aggressiver vor. Mit einem volkswirtschaftlichen Schaden von jährlich etwa 55 Milliarden Euro ist Cyber-Kriminalität eines der größten Geschäftsrisiken der Gegenwart – und wird trotzdem häufig unterschätzt. Das zumindest zeigen die Ergebnisse der VdS-Analyse zur Informationssicherheit in kleinen und mittelständischen Unternehmen. Ein deutlich positiver Trend im Vergleich zum Vorjahr ist jedoch erkennbar.
Zur Auswertung: Die VdS Quick-Checks
Mit dem Angebot des kostenlosen VdS Quick-Checks haben Sicherheitsverantwortliche die Möglichkeit, eine Selbstbewertung ihrer Cybersicherheit anhand von 39 Fragen durchzuführen. Die Befragung und Auswertung wird in vier Schwerpunkte mit je 3-4 Kriterien-Gruppen differenziert. Im Ergebnis erhalten Unternehmen sowohl einen allgemeinen Status Quo ihres Schutzniveaus als auch einen differenzierten Überblick über die besonderen Schwachstellen mit ersten Maßnahmenempfehlungen.
Die anonymisierten Angaben von über 1.700 teilnehmenden Firmen (in den letzten 12 Monaten) bilden die Basis der diesjährigen VdS-Untersuchung zur Informationssicherheit im Mittelstand. Mit der Teilnahme und Auswertung von insgesamt über 5.000 Unternehmen in den letzten 5 Jahren, ergibt sich mittlerweile ein valides Bild über das Niveau und die Entwicklung der IT-Sicherheit in KMU. Damit ist die Quick-Check-Studie deutschlandweit die umfangreichste Analyse dieser Art zum Thema Cyber-Sicherheit.
Zentrale Erkenntnisse
Das Gesamtergebnis der Studie von 2018/ 2019 zeigt eine deutlich positive Tendenz gegenüber dem Vorjahr. So hat sich beispielsweise der Reifegrad in den Teilbereichen „Technik“ um 7 %-Punkte auf 64 % verbessert, im Bereich „Organisation“ sogar um 8 %-Punkte auf 64 % gegenüber dem Vorjahr. Markus Edel, Abteilungsleiter für Cyber-Security und Managementsysteme bei VdS, freut sich über diese Ergebnisse: „Der Positivtrend beweist, dass das Thema zunehmend ernst genommen wird und sich das Problembewusstsein für IT-Sicherheit schärft. Die qualitative Auswertung der Daten zeigt außerdem, dass sich der Mittelstand mit der Einführung von systematischen Maßnahmen zur Erhöhung des Widerstandsgrades der IT-Landschaften beschäftigt.“
Trotz der grundsätzlichen Positivtendenz, ist der Cyber-Schutz in vielen Teilbereichen der Informationssicherheit noch immer nicht auf einem angemessen hohen Niveau. Weit abgeschlagen rangiert zum Beispiel der Teilbereich „Management", der die Aktivitäten der Betriebe zum Thema IT-Outsourcing und Cloud Computing subsummiert. Für diese Themen haben über 60 % der Unternehmen noch immer keine Sicherheitsanforderungen definiert. Bei weit über der Hälfte existieren zudem keine Richtlinien zum Umgang mit einem Sicherheitsvorfall oder ein Wideraufbauplan nach dem Ausfall kritischer Systeme. „Wir sehen an diesen Zahlen deutlich, dass noch immer sehr großer Handlungsbedarf beim Thema Cyber-Sicherheit besteht“ fasst Markus Edel zusammen.
Die Ergebnisse im Detail
Analyseblock „Organisation“: Solide Ergebnisse mit einigen Schwachstellen.
Insgesamt gut im Griff haben die KMU das Zugriffsmanagement und ihre Berechtigungsstrukturen. So sind administrative Zugänge bei 89 % auch wirklich auf Administratoren beschränkt (2018: 84 %, 2017: 83 %) und 85 % gewähren Zugänge zu einem Netzwerk nur dann, wenn sie unbedingt notwendig sind (2018: 82 %, 2017: 78 %). Weiter verbessert hat sich auch die Dokumentation in Form von internen Richtlinien: 70 % regeln den Umgang mit IT und Unternehmensdaten für ihre Mitarbeiter - allerdings nur schwache 54 % für ihre IT-Dienstleister.
Trotz einer starken Verbesserung von 39 % (2018) auf 52 % (2019) hinkt die schriftliche Verpflichtung des Topmanagements zur Gesamtverantwortung für die Informationssicherheit noch immer hinterher. Auch das Prinzip der Funktionstrennung, d.h. der Ausführung und Kontrolle der Aufgaben zur Gewährleistung der Informationssicherheit, bleibt bei der Hälfte der Unternehmen unberücksichtigt.
Analyseblock „Technik“: Umgang mit mobilen Geräten und Datenträgern weiter verbesserungswürdig
Der Reifegrad zur IT-Sicherheit zeigt im Teilbereich „Technik“ an vielen Stellen Verbesserungen und grundsätzlich sind Netzwerke durch Schutzmaßnahmen aus Sicht der Teilnehmer gut abgesichert. Auch der Zugriff auf die interne IT-Infrastruktur über öffentliche oder drahtlose Netze ist bei 86 % der Unternehmen erfolgreich verschlüsselt.
Kritisch ist bei der Mehrzahl der Unternehmen allerdings der Umgang mit mobilen Geräten und Datenträgern – und gerade hierauf befinden sich häufig firmeninterne Informationen, die leicht in fremde Hände gelangen können. Zwar sind die Daten auf mobilen Geräten mittlerweile bei 67 % der Unternehmen vor unberechtigtem Zugriff geschützt (2018: 59 %, 2017: 57 %), etwa die Hälfte hat allerdings keine gültigen Richtlinien formuliert, die den Umgang mit mobilen Geräten festlegen. Auch eine Regelung welche Informationen auf mobilen Datenträgern gespeichert werden dürfen, gibt es bei knapp der Hälfte nicht.
Analyseblock „Prävention“: Auch in diesem Jahr ist das Fazit „Datensicherung top, Ernstfallfähigkeit flop“
Den besten Wert der gesamten Studie erzielen die Firmen bei der Datensicherung, die 95 % beherzigen. Auch die örtliche Trennung von Servern und gesicherten Daten setzen immerhin 86 % der KMU um und wappnen sich damit vor einem Gesamtverlust von Daten z.B. im Falle eines Brandes.
Besonders schwach und ohne gravierende Verbesserung zu den Vorjahren fällt hingegen der Umgang mit Sicherheitsvorfällen und Systemausfällen aus. Bei über 65 % der Firmen scheitert es direkt an der Basis: Hier existiert kein gemeinsames Verständnis davon, was unter einem Sicherheitsvorfall zu verstehen ist (2017/18: 24 %). Nur 57 % wüssten außerdem, was in Fällen dieser Art zu tun ist. Ähnlich alarmierend verhält es sich bei einem Ausfall kritischer Systeme. Wiederaufbaupläne besitzen nur 45 % (im Vorjahr 41%) der Unternehmen – einen Übersichtsplan zur geregelten Inbetriebnahme der Systeme sogar nur schwache 36 % (im Vorjahr 34 %).
Analyseblock „Management“ im Detail: Das mit Abstand schwächste Organisationsfeld
Das Management von IT-Outsourcing und Cloud Computing ist trotz einer verbreiterten Nutzung weit abgeschlagen. Auch Cyber-Kriminelle wissen, dass diese Bereiche oft ungeschützt sind und ein schwaches Glied in der IT-Schutzkette darstellen – nicht selten werden sie deshalb als Angriffspunkt genutzt. Und trotzdem haben nur 33 % der Firmen (im Vorjahr: 27 %) für das Thema Cloud Computing notwendige Anforderungen an die Sicherheit definiert. Über konkrete Sicherheitsvorgaben für Outsourcing-Projekte verfügen ebenfalls nur 38 % (2018: 33 %, 2017: 30 %).
Handlungsempfehlungen zur Absicherung: einfache Maßnahmen, große Wirkung
Das Gesamtergebnis zeigt von 52 ausgewerteten Schutzmaßnahmen auch in diesem Jahr nur eine einzige, die Datensicherung, im grünen Bereich. „Der Handlungsdruck beim Thema Cyber-Sicherheit ist also weiter gegeben. In einigen Bereichen haben Cyber-Kriminelle noch viel zu leichtes Spiel“, betont VdS-Cyber-Experte Markus Edel. Dabei können viele Schwachstellen schon mit geringem Aufwand verbessert werden: „Gerade beim verbesserungswürdigen Management der IT-Sicherheit, kann mit geringen Mitteln viel erreicht werden. So sollte u.a. der Vertrag mit jedem Dienstleister für IT-Outsourcing und Cloud Computing präzise Rechts- und Sicherheitsvorgaben enthalten und selbstverständlich zur Erfüllung verpflichten“, weiß Edel.
Das Ziel sollte eine ganzheitliche Ausrichtung der Informationssicherheit sein – und das ist keinesfalls nur Aufgabe der IT-Abteilung. Die Verpflichtung des Top-Managements ist genauso entscheidend wie die Sensibilisierung der gesamten Belegschaft für das Thema: „Schulungen und regelmäßige Informationen über neue Cyber-Gefahren sollten einen festen Platz auf der Agenda jedes Unternehmens haben“, empfiehlt Edel. Denn Fakt ist: Mit sicherheitsbewussten Mitarbeitern ist das Einfallstor für Cyber-Kriminelle um ein Vielfaches kleiner.
Sollte es trotzdem zum Ernstfall kommen, rät der Experte: „Es ist immens wichtig nach einem Angriff zunächst einmal auf gesicherte Daten zurückgreifen zu können. Die Datensicherung muss deshalb in jedem Unternehmen hohe Priorität haben. Außerdem hilft es, vorab Richtlinien aufzusetzen, die Sicherheitsvorfälle definieren und dafür ganz konkrete Verhaltensschritte formulieren. So weiß im Ernstfall jeder, wie und in welcher Reihenfolge gehandelt werden muss.“
Die kostenlosen Quick-Checks zur schnellen Statusbestimmung der Informationssicherheit (auch speziell für die Prozessautomatisierungstechnik) sowie zur DSGVO-Umsetzung finden Sie auf Opens external link in new windowvds-quick-check.de.