PwC-Studie: Mittelstand unterschätzt Cyber-Risiken

Ein Fünftel aller mittelständischen Unternehmen war bereits von Cyber-Attacken betroffen – so das Ergebnis einer aktuellen Befragung von PricewaterhouseCoopers. Doch nur eine knappe Mehrheit plant weitere Investitionen in Datensicherheit.

Nur unzureichend, heißt es in einer Pressemeldung von PwC zu den Studienergebnissen, sei der Mittelstand auf Hackerangriffe, Datenklau und andere cyberkriminelle Bedrohungen vorbereitet. Geeignete Sicherheitsvorkehrungen seien häufig lückenhaft oder gar nicht erst implementiert. Zudem habe rund jedes fünfte der befragten 405 Unternehmen keine Prozesse zur Informationssicherheit definiert oder könne hierzu keine näheren Angaben machen. Die Risiken würden deutlich unterschätzt, wird PwC-Experte für IT-Sicherheit, Derk Fischer, zitiert: Es sei davon auszugehen, dass Attacken von den Unternehmen oft auch gar nicht bemerkt werden, weil angemessene Kontrollverfahren fehlen.

Gefragt nach ihrer Einschätzung, was die derzeit wichtigsten sicherheitsrelevanten IT-Trends sein dürften, sei von den Befragten an erster Stelle das Cloud Computing (47 Prozent) genannt worden. Rund jeder vierte nenne auch die zunehmende betriebliche Nutzung privater Endgeräte bzw. Sicherheitsrisiken durch den externen Zugriff auf die Unternehmens-IT via Smartphone und Tablet. Datenspionage hingegen spielte  bei den Erwägungen – trotz der jüngsten Aufdeckungen und Skandale – eine eher untergeordnete Rolle.

Zu wenige IT-Schulungsangebote im Mittelstand

Die Aufklärung der Beschäftigten über potenzielle Datenrisiken und den Umgang mit Gefahrenquellen sei laut PwC das zentrale Element einer IT-Sicherheitsstrategie. Auch das sicherste Netzwerk schützte nicht vor Datenverlust, wenn Mitarbeiter sensible Daten unverschlüsselt auf USB-Sticks abspeichern oder ihre Benutzerpasswörter nie ändern würden. Kontinuierliche Schulungen zur IT-Sicherheit allerdings seien in den Betrieben meist nicht vorgesehen. Bei 11 Prozent der Unternehmen gebe es sogar überhaupt keine Sicherheitsschulung.

Die Weiterbildungsdefizite, spekuliert PwC weiter, seien möglicherweise auch darauf zurückzuführen, dass sich laut Studie nur gut die Hälfte der Unternehmen an Standards zur Informationssicherheit wie beispielsweise dem ISO 27001 orientiere. Bei den übrigen werde Informationssicherheit nicht nach einem durchgehend prozessorientierten Ansatz verfolgt. 

Weitere Informationen und Statements zu den Studienergebnissen und die begleitende Pressemeldung im Wortlaut finden Sie auf der PwC-Website.