Suchen

VdS Quick-Check-Studie Positiver Sicherheitstrend bei KMU für 2019

| Redakteur: Peter Schmitz

Deutschland ist weltweiter Spitzenreiter bei Schäden durch Cyber-Kriminalität. Besonders betroffen sind kleine und mittelständische Unternehmen (KMU), die oft unzureichend gegen Cyber-Angriffe abgesichert sind. Die Schwachstellenanalyse von VdS zeigt im Vergleich zum Vorjahr positive Trends aber auch Verbesserungsbedarf bei der IT-Sicherheit.

Firmen zum Thema

Die umfangreiche Analyse zur IT-Sicherheit von VdS mit über 5000 Teilnehmern aus unterschiedlichen Branchen des Mittelstands zeigt eine positive Entwichlung für 2019.
Die umfangreiche Analyse zur IT-Sicherheit von VdS mit über 5000 Teilnehmern aus unterschiedlichen Branchen des Mittelstands zeigt eine positive Entwichlung für 2019.
(Bild: VdS)

Laut Verfassungsschutz wird alle drei Minuten ein Cyber-Angriff auf ein deutsches Unternehmen getätigt. Dabei gehen die Täter immer professioneller und aggressiver vor. Mit einem volkswirtschaftlichen Schaden von jährlich etwa 55 Milliarden Euro ist Cyber-Kriminalität eines der größten Geschäftsrisiken der Gegenwart – und wird trotzdem häufig unterschätzt. Das zumindest zeigen die Ergebnisse der VdS-Analyse zur Informationssicherheit in kleinen und mittelständischen Unternehmen. Ein deutlich positiver Trend im Vergleich zum Vorjahr ist jedoch erkennbar.

Zentrale Erkenntnisse

Das Gesamtergebnis der Studie von 2018/ 2019 zeigt eine deutlich positive Tendenz gegenüber dem Vorjahr. So hat sich beispielsweise der Reifegrad in den Teilbereichen „Technik“ um 7 Prozent-Punkte auf 64 Prozent verbessert, im Bereich „Organisation“ sogar um 8 Prozent-Punkte auf 64 Prozent gegenüber dem Vorjahr. Markus Edel, Abteilungsleiter für Cyber-Security und Managementsysteme bei VdS, freut sich über diese Ergebnisse: „Der Positivtrend beweist, dass das Thema zunehmend ernst genommen wird und sich das Problembewusstsein für IT-Sicherheit schärft. Die qualitative Auswertung der Daten zeigt außerdem, dass sich der Mittelstand mit der Einführung von systematischen Maßnahmen zur Erhöhung des Widerstandsgrades der IT-Landschaften beschäftigt.“

Trotz der grundsätzlichen Positivtendenz, ist der Cyber-Schutz in vielen Teilbereichen der Informationssicherheit noch immer nicht auf einem angemessen hohen Niveau. Weit abgeschlagen rangiert zum Beispiel der Teilbereich „Management“, der die Aktivitäten der Betriebe zum Thema IT-Outsourcing und Cloud Computing subsummiert. Für diese Themen haben über 60 Prozent der Unternehmen noch immer keine Sicherheitsanforderungen definiert. Bei weit über der Hälfte existieren zudem keine Richtlinien zum Umgang mit einem Sicherheitsvorfall oder ein Wideraufbauplan nach dem Ausfall kritischer Systeme. „Wir sehen an diesen Zahlen deutlich, dass noch immer sehr großer Handlungsbedarf beim Thema Cyber-Sicherheit besteht“ fasst Markus Edel zusammen.

Analyseblock „Organisation“: Solide Ergebnisse mit einigen Schwachstellen

Insgesamt gut im Griff haben die KMU das Zugriffsmanagement und ihre Berechtigungsstrukturen. So sind administrative Zugänge bei 89 Prozent auch wirklich auf Administratoren beschränkt (2018: 84 Prozent, 2017: 83 Prozent) und 85 Prozent gewähren Zugänge zu einem Netzwerk nur dann, wenn sie unbedingt notwendig sind (2018: 82 Prozent, 2017: 78 Prozent). Weiter verbessert hat sich auch die Dokumentation in Form von internen Richtlinien: 70 Prozent regeln den Umgang mit IT und Unternehmensdaten für ihre Mitarbeiter - allerdings nur schwache 54 Prozent für ihre IT-Dienstleister.

Trotz einer starken Verbesserung von 39 Prozent (2018) auf 52 Prozent (2019) hinkt die schriftliche Verpflichtung des Topmanagements zur Gesamtverantwortung für die Informationssicherheit noch immer hinterher. Auch das Prinzip der Funktionstrennung, d.h. der Ausführung und Kontrolle der Aufgaben zur Gewährleistung der Informationssicherheit, bleibt bei der Hälfte der Unternehmen unberücksichtigt.

Analyseblock „Technik“: Umgang mit mobilen Geräten und Datenträgern weiter verbesserungswürdig

Der Reifegrad zur IT-Sicherheit zeigt im Teilbereich „Technik“ an vielen Stellen Verbesserungen und grundsätzlich sind Netzwerke durch Schutzmaßnahmen aus Sicht der Teilnehmer gut abgesichert. Obwohl nur 35 Prozent der IT-Systeme regelmäßigen Risikoanalysen unterzogen werden, ist der Zugriff auf die interne IT-Infrastruktur über öffentliche oder drahtlose Netze immerhin bei 86 Prozent der Unternehmen erfolgreich verschlüsselt.

Kritisch ist bei der Mehrzahl der Unternehmen (61 Prozent) allerdings der Umgang mit mobilen Geräten und Datenträgern – und gerade hierauf befinden sich häufig firmeninterne Informationen, die leicht in fremde Hände gelangen können. Zwar sind die Daten auf mobilen Geräten mittlerweile bei 67 Prozent der Unternehmen vor unberechtigtem Zugriff geschützt (2018: 59 Prozent, 2017: 57 Prozent), etwa die Hälfte hat allerdings keine gültigen Richtlinien formuliert, die den Umgang mit mobilen Geräten festlegen. Auch eine Regelung welche Informationen auf mobilen Datenträgern gespeichert werden dürfen gibt es bei knapp der Hälfte nicht.

Analyseblock „Prävention“: Auch in diesem Jahr ist das Fazit „Datensicherung top, Ernstfallfähigkeit flop“

Den besten Wert der gesamten Studie erzielen die Firmen bei der Datensicherung, die 95 Prozent beherzigen. Auch die örtliche Trennung von Servern und gesicherten Daten setzen immerhin 86 Prozent der KMU um und wappnen sich damit vor einem Gesamtverlust von Daten z.B. im Falle eines Brandes.

Besonders schwach und ohne gravierende Verbesserung zu den Vorjahren fällt hingegen der Umgang mit Sicherheitsvorfällen und Systemausfällen aus. Bei über 65 Prozent der Firmen scheitert es direkt an der Basis: Hier existiert kein gemeinsames Verständnis davon, was unter einem Sicherheitsvorfall zu verstehen ist (2017/18: 24 Prozent). Nur 57 Prozent wüssten außerdem, was in Fällen dieser Art zu tun ist. Ähnlich alarmierend verhält es sich bei einem Ausfall kritischer Systeme. Wiederaufbaupläne besitzen nur 45 Prozent (im Vorjahr 41 Prozent) der Unternehmen – einen Übersichtsplan zur geregelten Inbetriebnahme der Systeme sogar nur schwache 36 Prozent (im Vorjahr 34 Prozent).

Analyseblock „Management“ im Detail: Das mit Abstand schwächste Organisationsfeld

Das Management von IT-Outsourcing und Cloud Computing ist trotz einer verbreiterten Nutzung mit nur 38 Prozent weit abgeschlagen. Auch Cyber-Kriminelle wissen, dass diese Bereiche oft ungeschützt sind und ein schwaches Glied in der IT-Schutzkette darstellen – nicht selten werden sie deshalb als Angriffspunkt genutzt. Und trotzdem haben nur 33 Prozent der Firmen (im Vorjahr: 27 Prozent) für das Thema Cloud Computing notwendige Anforderungen an die Sicherheit definiert. Über konkrete Sicherheitsvorgaben für Outsourcing-Projekte verfügen ebenfalls nur 38 Prozent (2018: 33 Prozent, 2017: 30 Prozent).

Handlungsempfehlungen zur Absicherung: einfache Maßnahmen, große Wirkung

Das Gesamtergebnis zeigt von 52 ausgewerteten Schutzmaßnahmen auch in diesem Jahr nur eine einzige, die Datensicherung, im grünen Bereich. „Der Handlungsdruck beim Thema Cyber-Sicherheit ist also weiter gegeben. In einigen Bereichen haben Cyber-Kriminelle noch viel zu leichtes Spiel“, betont VdS-Cyber-Experte Markus Edel. Dabei können viele Schwachstellen schon mit geringem Aufwand verbessert werden: „Gerade beim verbesserungswürdigen Management der IT-Sicherheit, kann mit geringen Mitteln viel erreicht werden. So sollte u.a. der Vertrag mit jedem Dienstleister für IT-Outsourcing und Cloud Computing präzise Rechts- und Sicherheitsvorgaben enthalten und selbstverständlich zur Erfüllung verpflichten“, weiß Edel.

Das Ziel sollte eine ganzheitliche Ausrichtung der Informationssicherheit sein – und das ist keinesfalls nur Aufgabe der IT-Abteilung. Die Verpflichtung des Top-Managements ist genauso entscheidend wie die Sensibilisierung der gesamten Belegschaft für das Thema: „Schulungen und regelmäßige Informationen über neue Cyber-Gefahren sollten einen festen Platz auf der Agenda jedes Unternehmens haben“, empfiehlt Edel. Denn Fakt ist: Mit sicherheitsbewussten Mitarbeitern ist das Einfallstor für Cyber-Kriminelle um ein Vielfaches kleiner.

Sollte es trotzdem zum Ernstfall kommen, rät der Experte: „Es ist immens wichtig nach einem Angriff zunächst einmal auf gesicherte Daten zurückgreifen zu können. Die Datensicherung muss deshalb in jedem Unternehmen hohe Priorität haben. Außerdem hilft es, vorab Richtlinien aufzusetzen, die Sicherheitsvorfälle definieren und dafür ganz konkrete Verhaltensschritte formulieren. So weiß im Ernstfall jeder, wie und in welcher Reihenfolge gehandelt werden muss.“

Zur Auswertung: Die VdS Quick-Checks

Mit dem Angebot des kostenlosen VdS Quick-Checks haben Sicherheitsverantwortliche die Möglichkeit, eine Selbstbewertung ihrer Cybersicherheit anhand von 39 Fragen durchzuführen. Die Befragung und Auswertung wird in vier Schwerpunkte mit je 3-4 Kriterien-Gruppen differenziert. Im Ergebnis erhalten Unternehmen sowohl einen allgemeinen Status Quo ihres Schutzniveaus als auch einen differenzierten Überblick über die besonderen Schwachstellen mit ersten Maßnahmenempfehlungen.

Die anonymisierten Angaben von über 1.700 teilnehmenden Firmen (in den letzten 12 Monaten) bilden die Basis der diesjährigen VdS-Untersuchung zur Informationssicherheit im Mittelstand. Mit der Teilnahme und Auswertung von insgesamt über 5.000 Unternehmen in den letzten 5 Jahren, ergibt sich mittlerweile ein valides Bild über das Niveau und die Entwicklung der IT-Sicherheit von Mittelständlern. Damit ist die Quick-Check-Studie deutschlandweit die umfangreichste Analyse dieser Art zum Thema Cyber-Sicherheit.

(ID:46277667)