Den kleinen und mittleren Unternehmen (KMU) in Deutschland ist das bewusst: Zwischen 2013 und 2015 hat der Großteil der Mittelständler (85 %) Maßnahmen für mehr IT-Sicherheit und Datenschutz getroffen, wie eine Sondererhebung des repräsentativen KfW-Mittelstandspanels zeigt.
„Die Digitalisierung von Geschäftsprozessen wird weiter rasch zunehmen, neue Technologien werden stetig hinzukommen. IT-Sicherheit und Datenschutz sind daher unternehmerische Daueraufgaben. Investitionen in den Schutz des eigenen Unternehmens sind unerlässlich für die Wettbewerbsposition“, so Dr. Jörg Zeuner, Chefvolkswirt der KfW Bankengruppe.
Mit Abstand am häufigsten wird in relativ kostengünstig und einfach umsetzbare Maßnahmen wie Softwarekonzepte investiert (z. B. Virenschutzsoftware, Firewalls). Eine bereits deutlich geringere Rolle spielen dagegen aufwändigere Sicherheitsvorkehrungen wie Backupkonzepte oder Verschlüsselungstechniken. Umfangreiche und kapitalintensive Maßnahmen wie Mitarbeiterschulungen oder bauliche Veränderungen (z. B. Zugangskontrollen, Alarmanlagen) kommen vor allem für die größeren Mittelständler mit mehr als 10 Beschäftigten in Frage. Vor der dauerhaften Einstellung von Fachkräften mit IT-Fachkenntnissen scheuen die Mittelständler zurück, nur 7 % haben ihr Personal entsprechend aufgestockt.
Die hohen Kosten sind der häufigste Grund, weshalb der Mittelstand sich nicht besser schützt. Hier spiegelt sich die Ansicht wider, dass Datenschutz Aufwand verursacht, aber keinen Beitrag zum Umsatz liefert. Doch auch mangelnde Zeit, sich gezielt mit IT-Sicherheit und Datenschutz auseinanderzusetzen, spielt eine Rolle. Im Ergebnis halten daher laut KfW-Analyse 55 % der Mittelständler ihr Unternehmen für ausreichend geschützt. Das heißt auch: Fast jedes zweite Unternehmen sieht aktuell keinen ausreichenden Schutz.
Das KfW-Mittelstandspanel zeigt außerdem: Die von den Unternehmen getroffenen Maßnahmen sind notwendig. Zwischen 2013 und 2015 war jeder dritte Mittelständler in Deutschland konkret von Angriffen auf seine IT-Sicherheit oder Datenbestände betroffen. Weitere 35 % hegen den Verdacht, dass eine Cyberattacke stattgefunden hat, können jedoch keine stichhaltigen Nachweise finden. Die „Dunkelziffer“ der Sicherheitsvorfälle könnte demnach entsprechend höher liegen. Die Beschädigung von Festplatten und anderer PC-Hardware rangiert bei den festgestellten Angriffen an erster Stelle; 17 % der mittelständischen Unternehmen sind betroffen. Die Überwachung der Unternehmenskommunikation (z. B. E-Mail-Verkehr) beklagen 9 % der Firmen, weitere 16 % haben zumindest einen entsprechenden Schadensverdacht. Den vollständigen Verlust wichtiger Daten vermelden 7 % der Mittelständler. Manipulation von Zahlungsströmen sowie das Ausspähen von Kundendaten, Lieferverträgen oder Produktgeheimnissen kommen laut der aktuellen Analyse von KfW Research seltener vor, sind allerdings auch keine Ausnahmeerscheinung. Dabei sind kleinere KMU insgesamt sogar häufiger im Visier von Angreifern (31 %) als größere Mittelständler (25 %).
„Datenklau oder Hackerangriffe betreffen keineswegs nur Großkonzerne. Der wachsende Digitalisierungsgrad lässt auch im Mittelstand die Angriffsflächen für Cyberangriffe breiter werden“, so KfW-Chefvolkswirt Zeuner. „Unsere Analyse zeigt: Die Gefährdungslage auch für kleine Unternehmen sollte nicht unterschätzt werden. Immerhin war binnen drei Jahren jeder dritte deutsche Mittelständler von Sicherheitsvorfällen betroffen – das ist mehr als eine Million Unternehmen.“ Notwendig sei etwa das Erkennen und Beheben von Sicherheitslücken, das Monitoring der rechtlichen Vorgaben und die Umsetzung neuer Gesetze sowie die Übernahme neuer Standards. „Fachkenntnisse auf Ebene der Mitarbeiter werden hierbei eine entscheidende Rolle spielen. Genau hier hat der Mittelstand Nachholbedarf!“
KfW Research hat im Rahmen des repräsentativen KfW-Mittelstandspanels kleine und mittlere Unternehmen in Deutschland zu ihren Erfahrungen mit IT-Sicherheitsvorfällen befragt.