Wie Umfragen des GDV Gesamtverbands der Deutschen Versicherungswirtschaft e.V. zeigen, werden mittelständische Unternehmen vieler Industrien Opfer von Cyberattacken. Das Problem: Trotz der hohen Risiken nehmen die Unternehmen die Gefahr durch Cyberkriminelle nicht ernst genug.

Ob Chemie, Lebensmittel oder jede andere Branche: Die Cyberrisiken für mittelständische Unternehmen in Deutschland wachsen exponentiell. Das zeigen aktuelle Daten des GDV Gesamtverbands der Deutschen Versicherungswirtschaft e.V. Fast jedes vierte mittelständische Unternehmen (23 Prozent) der Lebensmittelindustrie hat bereits eine erfolgreiche Cyberattacke erlebt, sechs Prozent waren schon mehrfach betroffen. Das belegt eine repräsentative Umfrage des Forsa-Instituts bei für die Internetsicherheit zuständigen Mitarbeitern in 100 kleinen und mittleren Lebensmittelherstellern. Und fast jedes dritte mittelständische Unternehmen (30 Prozent) der Chemiebranche ist bereits Opfer einer Cyberattacke geworden, acht Prozent sogar mehrfach, zeigt eine ähnliche Umfrage.

Wie die Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft weiter zeigt, stand nach einem erfolgreichen Angriff fast die Hälfte der Betriebe sogar zeitweise still. Weitere finanzielle Schäden entstanden durch den hohen Aufwand, mit dem Angriffe analysiert und entwendete oder gesperrte Daten wiederhergestellt werden mussten. Das Problem: Trotz der hohen Risiken nehmen die Unternehmen die Gefahr durch Cyberkriminelle nicht ernst genug. Mehr als die Hälfte der Befragten gehen für das eigene Unternehmen von einem geringen Risiko aus. Ihre Argumente: Die eigene Firma sei zu klein, die Daten für Kriminelle nicht interessant. Viele machen auch geltend, dass ihnen bisher nichts passiert sei, zudem sei das Unternehmen umfassend geschützt.

IT-Vorfall kann im Ernstfall gravierende Folgen haben

Um das am Beispiel der Lebensmittelindustrie deutlich zu machen: Laut GDV hat die IT-Sicherheit für viele Mittelständler nur eine geringe Priorität. Gerade einmal die Hälfte von ihnen will in den kommenden zwei Jahren in weitere Schutzmaßnahmen investieren. In jedem dritten Unternehmen (33 Prozent) ist niemand explizit für die Informationssicherheit verantwortlich, ebenfalls ein Drittel (35 Prozent) hat für einen Cyberangriff weder ein Notfallkonzept noch eine Vereinbarung mit ihrem IT-Dienstleister. Das kann im Ernstfall gravierende Folgen haben, denn die Abhängigkeit von einer funktionierenden IT ist in vielen Industrien hoch: Zwei von drei befragten Unternehmen (66 Prozent) könnten bei einem Ausfall ihrer IT-Systeme kaum noch arbeiten.

Daten vieler Firmen kursieren im Darknet

Ein weiteres Ergebnis: Dienstliche E-Mail-Adressen und Passwörter finden sich zuhauf in der Schmuddelecke des Internets, zeigt eine aktuelle Untersuchung im Auftrag der Versicherer. Dass sie dort gelandet sind, liegt auch am unbedarften Verhalten der Mitarbeiter. Bei einer vom GDV beauftragten Untersuchung von 1.019 kleinen und mittleren Unternehmen fanden sich Daten von 543 Firmen (53 Prozent) im Darknet. Darunter waren rund 6.500 E-Mail-Adressen von Mitarbeitern mit den dazugehörigen Passwörtern. Wie die Untersuchung weiter zeigt, stammen diese Daten teilweise von gehackten Seiten, auf denen sich die Mitarbeiter nicht zu dienstlichen, sondern zu privaten Zwecken angemeldet hatten. Werden die entsprechenden Seiten gehackt, landen die Mail-Adressen und Passwörter der Nutzer schnell im Darknet, heißt es beim GDV. "Dann können sich Cyberkriminelle leicht Zugang zum beruflichen E-Mail-Postfach oder zu anderen Diensten verschaffen. Die privaten und dienstlichen E-Mail-Adressen sollten deshalb immer strikt voneinander getrennt werden und auch nicht dasselbe Passwort haben", rät GDV-Cyberexperte Peter Graß.

Eine Cyberversicherung ist daher eine sinnvolle Zusatzversicherung für Unternehmen, die Schäden im Zusammenhang mit Hacker-Angriffen oder sonstigen Akten von Cyberkriminalität absichert. Denn die Auswirkungen auf Unternehmen können erheblich sein - aber die typischen Betriebsversicherungen wie Betriebshaftpflicht oder Vermögensschadenhaftpflicht decken diese Risiken nur unzureichend ab.