„Uns trifft das nicht“ : Falsches Sicherheitsgefühl: Warum KMUs ein attraktives Ziel für Angreifer sind
Eine aktuelle Studie von G DATA CyberDefense, Statista und brand eins zeigt: Viele Beschäftigte in deutschen Unternehmen unterschätzen das Risiko von Cyberangriffen – besonders in kleinen und mittleren Unternehmen.
In vielen Unternehmen herrscht weiterhin die Vorstellung, man sei „kein lohnendes Ziel“ für Angreifer. Laut der neuen Ausgabe der Studienreihe „Cybersicherheit in Zahlen“ halten 43 Prozent der befragten Arbeitnehmerinnen und Arbeitnehmer ihr Unternehmen nicht für attraktiv genug, um Opfer eines Cyberangriffs zu werden. Besonders ausgeprägt ist diese Einschätzung in KMU mit 100 bis 249 Mitarbeitern – hier sind es mehr als die Hälfte, so G Data.
Warum wird das Risiko unterschätzt?
Für diese Fehleinschätzung gibt es mehrere Ursachen. So setzen viele Menschen Cyberangriffe mit gezielten Attacken auf Konzerne oder Behörden gleich. Dass Cyberkriminelle längst automatisiert nach Schwachstellen suchen und dabei wahllos vorgehen, ist in der Breite kaum bekannt. Und wer keine sensiblen Daten verarbeitet, fühlt sich sicher – ein Trugschluss. Denn auch ungesicherte Zugangsdaten, kompromittierte E-Mail-Konten oder einfache Ransomware-Angriffe bieten Angreifern genügend Anreize.
Zudem fehlt es in vielen Unternehmen an aktiver Sicherheitskommunikation. Wenn keine Awareness-Trainings stattfinden, keine Phishing-Tests laufen und von der Geschäftsführung kein klares Signal kommt, entsteht schnell der Eindruck: „Das betrifft uns nicht.“ Auch kognitive Verzerrungen spielen eine Rolle. Wer nie einen Vorfall erlebt hat, glaubt sich oft in falscher Sicherheit. Und nicht zuletzt verlassen sich viele auf die Technik – ohne die eigene Verantwortung zu sehen.
Angreifer orientieren sich an Schwachstellen – nicht an der Unternehmensgröße
„Angreifer wählen ihre Ziele nicht nach Branche oder Größe, sondern nach Schwachstellen aus“, sagt Andreas Lüning, Gründer und Vorstand bei der G DATA CyberDefense AG. „Dazu zählen verwundbare Strukturen, mangelhaft gesicherte Systeme und unaufmerksame Mitarbeiter. In jedem Unternehmen ist eine Sicherheitsstrategie sinnvoll, die nicht nur auf Technik setzt, sondern auch das Risikobewusstsein des gesamten Teams stärkt.“
Für Sicherheitsverantwortliche in KMU ergibt sich daraus ein klares Handlungsfeld, schlussfolgert G Data: Die Sensibilisierung der Belegschaft sei ein ebenso wichtiger Bestandteil der Sicherheitsstrategie wie technische Schutzmaßnahmen. Besonders in Organisationen ohne eigene IT-Sicherheitsabteilung sollte Informationssicherheit als Querschnittsaufgabe etabliert werden.
Awareness steigt mit Unternehmensgröße – aber reicht oft nicht aus
Die Studie zeigt auch, dass das Sicherheitsbewusstsein mit wachsender Unternehmensgröße zunimmt: In Unternehmen mit 250 bis 999 Beschäftigten stuft etwa die Hälfte der Befragten ihren Arbeitgeber als potenzielles Angriffsziel ein. In Großunternehmen mit über 1.000 Mitarbeitern liegt dieser Wert bei fast 70 Prozent. Dennoch bleibt auch hier ein erhebliches Restrisiko, denn rund ein Drittel der Beschäftigten unterschätzt die Bedrohungslage weiterhin.
Mehr Informationen finden Sie unter: www.gdata.de/cybersicherheit-in-zahlen