Im Zeitraum von Ende August bis Ende September 2017 wurden branchenübergreifend Mitarbeiter aus IT-affinen Bereichen von 200 mittelständischen, deutschen Unternehmen für das G DATA Business IT-Security Barometer dazu befragt, wie es ihrer Meinung nach um die IT-Sicherheit im deutschen Mittelstand steht.

87,5 Prozent der Befragten schauen entspannt auf das Thema Cyberkriminalität. Sie fühlen sich sicher bis sehr sicher, was Cyberangriffe und andere Gefahren angeht. Dies gilt besonders für Unternehmen mit eher weniger Mitarbeitern. Je mehr Mitarbeiter, desto größer die Unsicherheit. Dies zeigt, dass der Faktor Mensch beim Thema IT-Sicherheit nie vernachlässigt werden darf.

Die Größe eines Unternehmens spielt auch eine Rolle bei der Eigeneinschätzung, ob das Unternehmen ein interessantes Ziel für Cyberkriminelle wäre. 69 Prozent der Unternehmen mit 250 bis 500 Beschäftigten befürchten dies, gleiches gilt für Unternehmen mit hohen Umsätzen. Glauben bei einem Jahresumsatz bis 500.000 € nur 25 Prozent, dass sie ein lohnenswertes Ziel wären, sind es bei einem Jahresumsatz von 25-50 Millionen 74,1 Prozent.

Auf die offene Frage, warum die Unternehmen sich als lohnenswertes Ziel sähen, gaben die meisten Befragten an, dass ihr Unternehmen über interessante Daten verfüge.

Ransomware
67,5 Prozent geben an, noch nie Opfer von Ransomware geworden zu sein. 22,5 hat es einmal, zehn Prozent bereits mehrmals erwischt. 47,7 Prozent tauschten daraufhin Software aus und 46,2 Prozent verschärften ihr bereits bestehendes IT-Sicherheitskonzept. Der Faktor Mensch landet auf dem dritten Platz. So schulten 40 Prozent der Unternehmen ihre Mitarbeiter bezüglich Ransomware und anderen Gefahren.

Schutzmaßnahmen
Um sich gegen Angriffe zu schützen, setzen 56,5 Prozent der befragten Mittelständler Virenschutzlösungen bzw. Sicherheitssoftware ein. Auf dem zweiten Rang mit 51,5 Prozent landet die regelmäßige Datensicherung bzw. die Erstellung von Systemabbildern, auf Platz drei mit 50 Prozent liegen IT-Sicherheitsschulungen für Mitarbeiter. Es ist deutlich zu erkennen, dass den befragten Unternehmen bewusst ist, wie wichtig es ist, Mitarbeiter zu sensibilisieren und zu schulen.

Die Hälfte der Befragten gibt an, über ein IT-Sicherheitskonzept zu verfügen. In 41,5 Prozent der Unternehmen gibt es sowohl ein IT-Sicherheitskonzept als auch einen Notfallplan. Informationsverarbeitende Anlagen müssen in einem Unternehmen unbedingt geschützt werden, denn ohne Unterstützung durch die Informationstechnologie (IT) können heute kaum noch Produkte erzeugt und Dienstleistungen erbracht werden. Somit ist es für Unternehmen überlebenswichtig, dass sämtliche IT-Systeme gegen die zunehmenden Gefahren geschützt werden, die intern und extern lauern. Informationen und Daten müssen verfügbar sein und wo nötig, vertraulich gehandhabt werden. Dies ist auch für kleinere Unternehmen wichtig, denn während 50,7 Prozent der Mittelständler mit 250 bis 500 Angestellten sowohl ein IT-Konzept als auch einen Notfallplan parat haben, sind es nur 31,4 Prozent bei Firmen mit 50 bis 99 Mitarbeitern.

Auch der »Lagerort« der Daten wird immer wichtiger. 90 Prozent der Unternehmen geben an, dass es ihnen wichtig bis sehr wichtig ist, dass ihr IT-Sicherheitsanbieter Daten in Deutschland verarbeitet.

Europäische Datenschutzgrundverordnung
Noch bis zum 25. Mai 2018 haben Unternehmen Zeit, das neue Regelwerk in ihren Arbeitsalltag zu integrieren. 25,5 Prozent der Befragten geben an, bereits mit der EU-DSG-VO konform zu sein, 51 Prozent befinden sich in der Umsetzungs-, 16,5 Prozent noch in der Startphase. Auch hier liegen Unternehmen mit 250-500 Mitarbeitern (29,6 Prozent) und jene mit einem Jahresumsatz von 25-50 Millionen € klar vorne (29,7 Prozent). Am wenigsten weit bei der Einführung der EU-DSG-VO sind Mittelständler mit 50-99 Mitarbeitern (11,8 Prozent) und Unternehmen mit mehr als 100 Millionen € Jahresumsatz (20 Prozent), die angeben, sich mit dem Thema noch nicht beschäftigt zu haben.

Praxistipp: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einen Fragebogen entwickelt, aus dem Unternehmen ersehen können, wie Prüfungen in Zukunft ablaufen könnten und der auch als Instrument zur Vorbereitung auf die DS-GVO genutzt werden kann. Der Fragebogen richtet sich natürlich in erster Linie an Unternehmen in Bayern, jedoch können auch Unternehmen aus anderen Bundesländern von den Fragestellungen profitieren. Den Fragebogen finden Sie hier.

Die komplette Studie mit weiterführenden Informationen finden Sie hier.