"Gerade der Mittelstand als Rückgrat unserer Wirtschaft und vielfacher Innovationstreiber ist im Visier von Cyber-Angreifern", erklärte BSI-Präsident Arne Schönbohm in Berlin. "Das kann Krankenhäuser genauso treffen wie Handwerksbetriebe, Autozulieferer oder Juweliere." Viele kleine und mittlere Unternehmen benötigten Unterstützung bei der Planung und Umsetzung von Maßnahmen etwa der Prävention und Reaktion.
Das Bundesamt wolle mit der IT-Notfallkarte Orientierung bieten. Diese werde ergänzt durch einen Maßnahmenkatalog "Notfallmanagement". Die Notfallkarte enthält effektive Handlungsanweisungen im Falle eines IT-Notfalls. So sollte die Arbeit am IT-System eingestellt und Beobachtungen dokumentiert werden.
Betroffene Systeme sollten vom Netzwerk getrennt und Behörden benachrichtigt werden. Firmen sollten außerdem Beauftragte für Informationssicherheit und Notfallmanagement bestimmen. Darüber hinaus sollten Dienstleister identifiziert werden, die bei IT-Notfällen unterstützen könnten.
Wie realistisch die Gefahr ist und wie schlecht viele Betriebe für den Ernstfall gerüstet sind, das stellt die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC mit den Ergebnissen einer Befragung unter 3000 Unternehmen unter Beweis.
Aus dieser geht hervor, dass nur jedes dritte Unternehmen weltweit (34 Prozent) seine Fähigkeiten in der Cyber-Prävention, -Detektion und -Reaktion im Durchschnitt für weit oder sehr weit entwickelt hält. Den im Durchschnitt höchsten Reifegrad der Cybersicherheit im eigenen Unternehmen gaben 13 Prozent der Befragten an. Dabei schätzen die Befragten ihre Fähigkeiten in der Prävention und Detektion besser ein als in der Reaktion auf eine Cyberattacke.
Die von PwC befragten Unternehmen bekamen in der Untersuchung die Gelegenheit, eine Eigeneinschätzung auf Basis von sechs Reifegradstufen abzugeben. Die beiden höchsten Reifegradstufen haben sich jeweils 36 Prozent der Unternehmen in der Prävention und Detektion zugesprochen, bei der Reaktion auf Angriffe waren es 29 Prozent. Für sehr weit entwickelt halten 14 Prozent ihre Fähigkeiten in der Detektion, 13 Prozent in der Prävention und 11,5 Prozent in der Reaktion.
Jörg Asma, Partner im Bereich Cyber Security bei PwC Deutschland, zeigt sich von einem Teil der Ergebnisse überrascht. Die Eigeneinschätzung der Prävention halte er zwar für relativ realistisch - schließlich beschäftigen sich Unternehmen schon seit langer Zeit mit Präventivmaßnahmen wie Firewalls, Virenscannern und geschlossenen Netzwerken. Dass sie ihre Reaktionsfähigkeit als ein stückweit schlechter einschätzen, erscheint auf Basis seiner Beobachtungen ebenfalls plausibel. "Bei der Detektion von Gefahren überschätzen sich dagegen die Unternehmen eindeutig. Gerade hier haben viele heute große Probleme", beobachtet Asma.
Aufgrund der vielfältigen Angriffsmöglichkeiten sei es heute nur eine Frage der Zeit, wann eine Attacke auf IT-Systeme erfolgreich sei, so der Cybersecurity-Experte. "Darum ist es von entscheidender Bedeutung, wie schnell ein Angreifer erkannt und ein Sicherheitsleck gestopft wird", betont er.
Die Geschwindigkeit des Erkennens entscheide automatisch über die Höhe des möglichen Schadens. "Darum müssen Unternehmen ihre Detektionsfähigkeiten deutlich weiter zu entwickeln. Denn im Umkehrschluss bedeuten die erhobenen Zahlen auch: 64 Prozent geben sich ein ‚Befriedigend‘ oder schlechter, was ihre Detektionsfähigkeiten angeht. Sie sind damit ein optimales Opfer für Cyberangreifer und Hacker", warnt Asma.
75 Prozent der Befragten schätzen ihre Fähigkeiten im Schadensmanagement (Mitigation) höchstens mit einem solchen ‚Befriedigend‘ ein. Im Bereich Awareness und Training sind es 70 Prozent, im Zugangsmanagement (Identity- & Access-Management. IAM) 65 Prozent, in der Präventionstechnologie 63 Prozent und in der Reaktionsplanung 62 Prozent.
(Mit Material von dpa-afx)
Lesen Sie auch: