Angriffe auf IT-Infrastrukturen von Unternehmen und Organisationen – aber auch von Ländern – nehmen immer mehr zu. Aktuell im Fokus steht die US-Präsidentenwahl. Seit Wochen beobachtet der US-Geheimdienst Hackerangriffe auf Computersysteme politischer Organisationen und Institutionen. Der Verdacht: Russische Hacker versuchen die Wahlen zu manipulieren. Doch auch Internet-Schwergewichte wie Netflix, Spotify oder Pinterrest sind Opfer von ausgeklügelten Cyberattacken. Erst Ende September hat ein groß angelegter DDoS-Angriff (Distributed Denial of Service) für einen Totalausfall der Internet-Dienste gesorgt.

Deutscher Mittelstand vernachlässigt Schutz gegen Cyberrisiken

Trotz dieser Vorfälle nimmt der deutsche Mittelstand die Cyberrisiken nicht ernst genug, wie der vom Verein Deutschland sicher im Netz e.V. gemeinsam mit der DATEV eG veröffentlichte DsiN-SicherheitsMonitor 2016 zeigt.

Zwar verbesserten sich die Vorkehrungen von Cyberrisiken in Einzelbereichen: So werden Sicherheitsrichtlinien heute von 32 Prozent der Unternehmen (2014: 28 Prozent) dokumentiert. Immerhin jedes vierte Unternehmen definiert unternehmenseigene Schutzziele für die IT (2014: 21 Prozent). Bei der Sensibilisierung von Mitarbeitern hingegen ist weiterhin nur knapp jedes vierte Unternehmen aktiv (27 Prozent). Auch in anderen Kategorien verbessern sich die Sicherheitsmaßnahmen nur langsam: So verfügt mit 31 Prozent (wie auch im Vorjahr) nur knapp jedes Dritte Unternehmen über einen Notfallplan, 2014 waren es allerdings erst 29 Prozent.

Insellösungen statt Gesamtkonzept

Übergreifende Konzepte zum sicheren Betrieb sind auch sechs Jahre nach dem Start der Studienerhebung 2011 nicht selbstverständlich. So existieren nur in weniger als zwei Dritteln der KMU (58 Prozent) geregelte Verantwortlichkeiten für Datenschutz und Datensicherheit, und nur ein Drittel der KMU (32 Prozent) verfügt über ein von der Geschäftsleitung getragenes Sicherheitskonzept. Solche grundlegenden Vorkehrungen sind aber eine Voraussetzung, um die Anforderungen eines IT-Grundschutzes zu erfüllen, den das Bundesamt für IT-Sicherheit auch kleineren Unternehmen empfiehlt.

Faktor Mitarbeiter bei IT-Sicherheit besonders wichtig

Dr. Peter Krug, DsiN-Beiratsmitglied und Vorstandsmitglied der DATEV eG für Produktentwicklung, ruft Unternehmen dazu auf, in die Weiterbildung von Mitarbeitern zu investieren: „Trotz erster positiver Entwicklungen bei den organisatorischen Maßnahmen werden die Mitarbeiter als Faktor für einen starken IT-Schutz von Unternehmen immer noch zu stark vernachlässigt. Unternehmen müssen in die Weiterbildung ihrer Angestellten investieren. Mitarbeiter gehören bis heute zu den häufigsten Angriffszielen bei Cyberattacken. Insbesondere angesichts des aktuellen Anstiegs von Cyberangriffen zahlt sich das am Ende doppelt aus.“

Rechtliche Anforderungen nicht ausreichend bekannt

Auffällig ist auch, dass Unsicherheiten im Umgang mit digitalen Angeboten auch auf unzureichende Kenntnisse über die rechtlichen Anforderungen zurückzuführen sind. So geben 71 Prozent der Unternehmen, die Cloud Computing bereits einsetzen an, entsprechende Sicherheitsanforderungen bzw. rechtliche Rahmenbedingungen (Compliance) nicht oder nur teilweise zu kennen.

Grafiken, die die Studienergebnisse veranschaulichen, sind auf der Webseite: sicher-im-netz.de verfügbar.

Hinweis: Der DsiN-SicherheitsMonitor Mittelstand beschreibt die IT-Sicherheitslage bei kleinen und mittleren Unternehmen. Grundlage ist die Online-Befragung von Firmen im Rahmen des DsiN-Sicherheitschecks. Die Befragung wird seit 2011 mit Unterstützung der DATEV durchgeführt. Seit April 2011 haben sich rund 8.600 mittelständische Unternehmen beteiligt.

Weiterführende Literatur

Worauf es bei der Vorbereitung, der Durchführung und dem Abschluss erfolgreicher IT-Audits ankommt, beschreibt Dr. Stefan Beißel in dem Band "IT-Audit. Grundlagen - Prüfungsprozess - Best Practice" anhand eines umfassenden Prüfungskatalogs. Wie Sie Prüfungen von IT-Verfahren in öffentlichen Institutionen ausgestalten, zeigt der Praxisleitfaden aus der DIIR-Schriftenreihe: „Revision von IT-Verfahren in öffentlichen Institutionen“. Und wie Sie wesentliche regulatorische Anforderungen an die IT identifizieren, priorisieren und deren Erfüllung einer effizienten Steuerung zuführen, erläutern Michael Rath und Rainer Sponholz in dem Band „IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen“.