Im Laufe des letzten Jahres haben wir für eine Studie des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) die Cybersicherheit von 40 mittelständische Unternehmen aus den Bereichen Elektro, Chemie, Kunststoff, Maschinenbau und Lebensmittel auf Herz und Nieren geprüft. Das Ergebnis war wie zu erwarten sehr ernüchternd. Besonders auffällig ist die Diskrepanz zwischen Selbsteinschätzung der eigenen Sicherheit und dem Ergebnis der Tests; denn obwohl sich ca. 75% aller Unternehmen gut gerüstet gegen Cyberangriffe sehen, konnten wir bei über der Hälfte der Unternehmen mit überschaubarem Aufwand einzelne Systeme oder das komplette Windows-Netzwerk übernehmen. Haupteinfallstor war und ist eine Phishing-Mail, über die entweder Schadcode ausgeführt wird oder Zugangsdaten abgefischt werden. Erst einmal im Netz, sorgten veraltete Systeme mit Sicherheitslücken dafür, dass innerhalb weniger Minuten der Zugriff auf die Kronjuwelen des Unternehmens möglich war. Und das komplett unbemerkt, denn kaum ein Unternehmen verfügt über Möglichkeiten, Einbrüche zu erkennen und angemessen zu reagieren. Die Hauptgründe: Unzureichende Personalressourcen und kaum Investitionen in Abwehrmaßnahmen. Im Schnitt kommt eine IT-Kraft auf 87 Mitarbeiter.
Eine Übersicht wichtiger Abwehrmaßnahmen habe ich im Artikel „Konkrete Schutzmaßnahmen gegen Cyberangriffe“ zusammengefasst.
Der gesamte Report des GDV kann hier abgerufen werden. Über die Studie berichteten unter anderem die Süddeutsche Zeitung und das Redaktionsnetzwerk Deutschland.