KfW Research zur Digitalisierung

Daueraufgabe: Schaden abwenden

Das KfW-Mittelstandpanel wird seit 2003 als Wiederholungsbefragung der KMU in Deutschland durchgeführt. Das Ergebnis zur IT-Sicherheit dieses Jahres zeigt, dass Maßnahmen geboten sind. So war jedes dritte KMU der Studie zufolge zwischen 2013 und 2015 von einem konkreten Sicherheitsvorfall betroffen.

Parallel zu neun Chancen durch die Digitalisierung steigen auch die Herausforderungen für Unternehmen. So wird die Angriffsfläche immer größer und Ressourcen müssen noch besser geschützt werden. Die mittelständischen Unternehmen in Deutschland wissen das. Die Bedeutung von IT-Sicherhit und Datenschutz in der Unternehmenspraxis des Mittelstands ist hoch. Das ergab eine Sondererhebung des KfW-Mittelstandpanels 2015.

Die Ergebnisse

Demnach investierten zwischen 2013 bis 2015 85 Prozent der kleinen und mittelständischen Unternehmen in die Datenschutz und IT-Sicherheit. Bei den größeren KMU (über zehn Mitarbeiter) haben über 95 Prozent spezifische Maßnahmen umgesetzt. So geben neun von zehn der Befragten an, Standard-Software-Konzepte wie Virenschutz, Firewalls, Spamfilter oder Patch-Management implementiert zu haben. Backup-Konzepte (49 Prozent), Verschlüsselungstechniken (44 Prozent) und Berechtigungskonzepte (43 Prozent) spielen dagegen bereits eine geringere Rolle.

Umfangreiche und kostspieligere Schritte wie Mitarbeiter zu schulen, einen IT-Sicherheits-Dienstleister zu beauftragen oder bauliche Maßnahmen umzusetzen, werden erheblich häufiger von größeren KMU ergriffen. Dies resultiert wohl auch aus den gesetzlichen Vorgaben. So regelt das Bundesdatenschutzgesetzt (BDSG), dass Unternehmen mit über 10 Beschäftigten einen betrieblichen Datenschutzbeauftragen einstellen oder aus den Mitarbeitern rekrutieren müssen.

Schutzempfinden

Bereits jetzt sehen sich 55 Prozent der befragten Unternehmen beim Datenschutz gut aufgestellt und attestieren sich ausreichenden Schutz. Bei der anderen Hälfte herrscht Skepsis, hinsichtlich eines angemessenen Sicherheitsniveaus.

Sicherheitsprobleme

Dagegen zeigt die Studie, dass seit 2013 mehr als eine Million der deutschen KMU von Cyberkriminalität betroffen waren. Das entspricht jedem dritten Mittelständer. Die Statistik berücksichtigt nur einen Zeitraum von drei Jahren. Daher gehen die Forscher bei der KfW davon aus, dass die überwiegende Mehrheit der Firmen bereits konkrete Erfahrungen mit Angriffen auf die Datenbestände gemacht hat.

Im Visier

Die Gefahr eines Angriffs ist für kleine KMU (31 Prozent konkrete Vorfälle) größer als für größere (25 Prozent). Sichtbar ist der Studie zufolge auch eine unterschiedliche Bedrohungslage der Branchen. Demnach haben Unternehmen des verarbeitenden Gewerbes vergleichsweise öfter mit Angriffen auf Ihre IT-Sicherheit zu kämpfen als Mittelständler aus dem Baugewerbe. Speziell die KMU aus dem Baugewerbe erkennen auch keinen Handlungsbedarf. Eines von drei sieht für das eigene Unternehmen keine Relevanz der IT-Sicherheit (30 Prozent).

Hardware im Fokus

An erster Stelle der Angriffsfolgen auf Unternehmen rangiert der notwenige Austausch von Hardwarekomponenten (17 Prozent). Elf Prozent berichten von einem beeinträchtigten Geschäftsablauf. Die Überwachung von Unternehmenskommunikation hat 9 Prozent getroffen. Weitere 16 Prozent hegen einen entsprechenden Schadensverdacht. Sieben Prozent vermelden sogar den vollständigen Verlust wichtiger Daten.

Verursacher

In der Öffentlichkeit spielen meist nur Angriffe durch Externe eine Rolle. Doch laut den Forschern deutet einiges darauf hin, dass der Großteil der Schäden von eigenen oder ehemaligen Mitarbeitern verursacht wird. Sei es durch irrtümliches Fehlverhalten oder – deutlich weniger häufig – vorsätzlich.

Dunkelziffer

Nicht in jedem Fall haben Unternehmen stichhaltige Nachweise für Sicherheitsvorfälle. So haben 35 Prozent der Mittelständler einen Verdacht, aber keine konkreten Hinweise vorliegend. Dazu kommen unentdeckte Angriffe aufs Unternehmen. Daher liegt laut dem KfW-Mittelstandspanel die Dunkelziffer deutlich höher. Dazu passt, dass dem Bundeskriminalamt zufolge betroffene Unternehmen häufig keine Anzeige erstatten. So seien 87 Prozent der Cyberangriffe nicht angezeigt worden. Gründe dafür gibt es viele: Die Sorge vor Reputationseinbußen, eine fehlende Sensibilisierung, abgewehrte Angriffe ohne erkennbare Schäden, unentdeckte Cyberkriminalität oder eine firmeninterne Regelung bei Verschulden eines eigenen Mitarbeiters.

Kein sichtbarer Umsatzbeitrag

Datenschutz verursacht Aufwand und Kosten. Diese spiegeln sich nicht in den Einnahmen des Unternehmens ab. Fast ein Drittel (28 Prozent) der KMU hält dies davon ab, in die Sicherheit zu investieren. Vor allem KMU aus den Dienstleistungsbranchen sehen hier eine Hürde. Diese Einstellung verkennt allerdings den Handlungsdruck. So können sich Cyberangriffe negativ auf die Finanzen auswirken. Auch ein unzureichendes Budget spielt bei 16 Prozent der befragten Unternehmen eine Rolle. Von den größeren, ressourcenstärkeren KMU sehen dies nur 9 Prozent als Hindernis. Vor allem betreffen Budgetrestriktionen das verarbeitende Gewerbe. Die Experten bei KfW führen dies darauf zurück, dass die Produktionsanlagen häufig teurere Maßnahmen erfordern, um dem BDSG gerecht zu werden. Nötige Investitionen stehen dann in Konkurrenz zu anderen kostspieligen Maßnahmen.

Die Zeit fehlt

Jedes fünfte Unternehmen (22 Prozent) findet nicht die Zeit, sich gezielt mit dem Datenschutz auseinanderzusetzen. Dies kann jedoch dazu führen, dass gesetzliche Neuerung oder Gefahrenlagen übersehen werden. So etwa die neuen Regelungen durch das gekippte Safe-Habor-Abkommen oder der Datenschutzgrundverordnung (DGSVO), die am 1. Januar 2018 in Kraft tritt. Die Zeit bis dahin sollten die KMU nutzen, so die Forscher bei KfW, um sich mit den Gesetzen vertraut zu machen. Denn: Auch die Strafen für Missachtung der Regelungen werden stark ansteigen.

Zur Studie

Das KfW-Mittelstandspanel wird seit dem Jahr 2003 als Wiederholungsbefragung der kleinen und mittleren Unternehmen in Deutschland durchgeführt. Darunter fallen alle privaten Unternehmen sämtlicher Wirtschaftszweige, deren Umsatz 500 Millionen Euro pro Jahr nicht übersteigt. Der Sonderbefragung zur IT-Sicherheit fand vom 8. bis zum 18. September statt. Insgesamt flossen Antworten von 2.200 Unternehmen in die Studie ein. In Anbindung an das KfW-Mittelstandspanel gibt die Sonderauswertung ein repräsentatives Ergebnis ab.

Autor: Marisa-Solvejg Metzger

(c)2016 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.