Unser digitaler Stammtisch: Fehlanzeige Forschung – Wir wissen zu wenig über die praktische IT-Sicherheit im Mittelstand

Wer sich nach Zahlen, Daten und Fakten über Cyberkriminalität in Deutschland umsieht, wird schnell fündig. Allerdings bekommt man kaum ein einheitliches Bild: Sind in einem Jahr wirklich „nur” 18,1 Millionen Euro Schaden bei Unternehmen in NRW entstanden oder sind es doch 223 Milliarden bundesweit? Ist es wirklich so, dass über 95% der kleinen und kleinsten Unternehmen Backups und Firewalls nutzen? Und wie ist es dann möglich, dass 9 von 10 KMU schon einmal gehackt wurden? Bei unserem digitalen Stammtisch im Mai sind wir dem Thema auf den Grund gegangen.

Eröffnet wurde der Stammtisch mit einem Impulsvortrag von Julia Mierbach, Wissenschaftliche Mitarbeitern bei DIGITAL.SICHER.NRW. Vorgestellt hat Mierbach die wichtigsten Erkenntnisse aus deminternen Lagebericht 2021 von DIGITAL.SICHER.NRW, in dem der status quo der Cybersicherheit in kleinen und mittleren Unternehmen (KMU) erfasst wurde und die wichtigsten Zukunftsherausforderungen für KMU im Bereich der digitalen Sicherheit beschrieben wurden.

Mierbach zeigte, dass es derzeit noch sehr wenig Forschung gibt, die den status quo der digitalen Sicherheit in kleinen und mittleren Unternehmen misst. Und das, obwohl Risikoexpertinnen und -experten zunehmende digitale Abhängigkeiten und die Gefahr durch Cyberangriffe zu den größten Risiken für die Menschheit zählen – nach den heterogenen Gefahren, die durch den Klimawandel und durch globale Armut, Gesundheits- und Migrationskrisen drohen (nachzulesen in The Global Risks Report 2022, 17th Edition, herausgegeben vom Weltwirtschaftsforum). Anders als etwa zur Klima- und Sozialforschung gibt es zur angewandten Cybersicherheit in der Wirtschaft bislang aber nur wenige Studien, zumeist sind es einige wenige amtliche Statistiken oder Unternehmensbefragungen. Die tatsächliche Lage der Cybersicherheit in der deutschen Wirtschaft sei in großen Teilen noch ein blinder Fleck.

Wie hoch ist der Schaden durch Cyberangriffe wirklich?
Welche Effekte diese Forschungslücke auf die Praxis hat, hat Mierbach an zwei Beispielen deutlich gemacht. Zum einen werden, so Mierbach, in der öffentlichen Berichterstattung stets dieselben Zahlen und Daten wiederholt. Diese können die tatsächliche Situation aber kaum objektiv widerspiegeln. Beispielsweise gebe es im Bereich der Schadenshöhe durch Cyberangriffe in der Forschung zwar enorme Abweichungen bei der angenommenen Höhe des Schadens, in der medialen Berichterstattung werde aber – auch aus mediendramaturgischen Gründen – nur eine, und zwar die höchste der verfügbaren Zahlen genannt. Der Branchenverband Bitkom etwa geht auf der Grundlage von Schätzungen von Unternehmen von einem Schaden von 223 Milliarden Euro innerhalb eines Jahres für die deutsche Wirtschaft aus, die Kriminalämter dagegen können bislang nur sehr geringe Zahlen im Millionenbereich verzeichnen. 

Berichterstattungen seien vor allem dann problematisch, wenn eine kritische Einordnung solcher Zahlen ausbleibe, die erklärt, wie es zu diesen großen Schwankungen bei der Einschätzung des Schadens kommt. Im Fall der Schadenshöhe durch Cyberangriffe, so Mierbach, hängen die starken Abweichungen nämlich nicht nur mit der dünnen Studienlage, sondern auch mit unterschiedlichen Methodiken bei der Erhebung der Daten zusammen. Weil etwa nur sehr wenige Unternehmen einen entstandenen Schaden bei der Polizei melden, fällt die messbare Schadenshöhe hier erwartungsgemäß gering aus.

Demgegenüber können aber auch repräsentative Unternehmensbefragungen immer nur ein erstes, wenn auch wichtiges, Indiz für die tatsächliche Lage geben. Für sich genommen und im Einzelnen können sie aber keine ausreichende Evidenz bieten.
Um den wirklichen Schaden durch Cyberangriffe in Zukunft objektiv bemessen zu können, bräuchte es eine Bandbreite an Studien mit unterschiedlichen Methodiken. Erst ein Zusammenspiel solcher Untersuchungen könnte uns ein wissenschaftlich fundiertes, differenziertes Bild der tatsächlichen Situation geben. Dass wir ein solches Bild der Lage dringend benötigen, um unsere Wirtschaft für Cyberangriffen zu schützen – das zeigen die bisherigen Befragungen und Erhebungen aber in jedem Fall, so Mierbach.

Wo liegen die größten Herausforderungen bei der Umsetzung von mehr IT-Sicherheit im Mittelstand?
Die zweite Forschungslücke, die Mierbach beim Stammtisch herausgestellt hat, liegt im Bereich der qualitativen Erfassung von Herausforderungen, die sich dem Mittelstand auf dem Weg zu mehr Cybersicherheit in den Unternehmen stellen. Gemeint sind damit die besonderen Hürden, die kleine und mittlere Unternehmen in Sachen Cybersicherheit zu nehmen haben, wenn sie sich digital sicherer aufstellen wollen. Auch hier gebe es Nachholbedarf bei der wissenschaftlichen Darstellung.

Viele Expertinnen und Experten, die seit langem dafür arbeiten, die Cybersicherheit in kleinen und mittleren Unternehmen zu erhöhen, äußern sich Studien gegenüber skeptisch, die die Implementierung von Maßnahmen mithilfe von Unternehmensbefragungen messen wollen. Zu hoch erscheinen die Werte bei umgesetzten Maßnahmen – viele Studien kommen etwa zu dem Schluss, dass ein Großteil des Mittelstands bereits wichtige Sicherheitsmaßnahmen wie Firewalls oder Backups einsetzt (66,7%-98,8%) (MdI 2021/KFN 2020).

Über ein Drittel der Unternehmen führe sogar regelmäßige Sicherheitstests wie Vulnerability- oder Penetrationstests durch. Solche Ergebnisse stehen quer zu den Beobachtungen von Expertinnen und Experten, die die besondere Anfälligkeit von KMU für Cybergefahren täglich beobachten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in seinem Lagebericht 2021 dazu, dass KMU gerade deshalb so anfällig seien, weil sie zumeist weder einen eigenen IT-Betrieb haben und nur über eine „mangelnde Beurteilungskompetenz für IT-Sicherheitsgefährdungen“ (S. 63) verfügen. Das zeige sich laut BSI besonders am Vorfall der Kritischen Schwachstellen in Microsoft Exchange. Viele KMU waren noch lange verwundbar, weil die notwendigen Patches, mit denen die Sicherheitslücke geschlossen werden konnte, nicht eingespielt wurden. 

Laut Mierbach zeige dieser Fall besonders gut, dass die Herausforderungen für kleine und mittlere Unternehmen nicht im Bereich der verfügbaren Technologien liegen, sondern in der Frage, welche dieser Technologien wie einzusetzen ist. Digitale Sicherheit sei in kleinen und mittleren Unternehmen ein Problem der Umsetzung und des Wissens – liege also in der Praxis, nicht in der Theorie.

Und eben in diesem Bereich der qualitativen Erfassung von Herausforderungen gebe es weiteren wissenschaftlichen Nachholbedarf. Untersuchungen müssten in Zukunft ihre Beobachtungsraster weiter zuschärfen, um effektive von weniger effektiven Maßnahmen unterscheiden zu können: Nicht jedes gemachte Backup ist ein gutes und effektives Backup. Entscheidend für die Schutzwirkung sei, ob die Maßnahmen fachgerecht umgesetzt worden und an die Bedarfe des Unternehmens angepasst worden seien.

Diese qualitativen Faktoren lassen sich jedoch durch Unternehmensbefragungen aus methodischen Gründen nur schwer erfassen. Schließlich sei ein Unternehmen, das davon überzeugt ist, gut geschützt zu sein, dies nicht unbedingt auch in der Realität. Um dieser Falle zu entgehen, müsse eine Analyse des status quo vor allem durch unabhängige Expertinnen oder Experten durchgeführt werden, so Mierbach. Auch sollten Fragenkataloge an Unternehmen ausdifferenziert werden.

Wie möchte DIGITAL.SICHER.NRW weiter machen?
DIGITAL.SICHER.NRW wird sich in Zukunft noch stärker auf die qualitativen Herausforderungen für kleine und mittlere Unternehmen fokussieren und herausfinden, wo genau die Umsetzung von Maßnahmen für mehr Cybersicherheit zu einer Hürde für KMU wird. Ziel ist weiterhin eine zielgruppenorientierte und effektive Unterstützung der Unternehmen auf Grundlage dieser Erkenntnisse.

DIGITAL.SICHER.NRW wird deshalb die praxisnahen Angebote, die Unternehmen dort abholen, wo sie derzeit stehen, erweitern und intensivieren. Ende des Jahres 2022 wird das Kompetenzzentrum in Zusammenarbeit mit den Industrie- und Handelskammern Nordrhein-Westfalens beispielsweise den IT-Sicherheitstag NRWausrichten. Hier erhalten kleine und mittlere Unternehmen von Expertinnen und Experten Informationen, praktische Tipps und Hilfestellungen zum Thema digitale Sicherheit.

Darüber hinaus erarbeitet DIGITAL.SICHER.NRW in Zusammenarbeit mit auswärtiger Expertise aus Wirtschaft und Forschung derzeit objektive Kriterien und strategische Methoden, mit denen sich der tatsächliche Grad der Cybersicherheit in Unternehmen präziser erfassen lässt. Um das Thema im öffentlichen Bewusstsein zu verankern und eine differenzierte Berichterstattung zu fördern, wird DIGITAL.SICHER.NRW außerdem Schulungen für Journalistinnen und Journalisten anbieten.

Einen Überblick über die Veranstaltungen und Initiativen von DIGITAL.SICHER.NRW finden Sie hier.

Quellen:
Bericht zur Cybersicherheit in Nordrhein-Westfalen 2020. Hrsg. vom Ministerium des Innern des Landes Nordrhein-Westfalen. Dez. 2021. (MdI 2021)
Cyberangriffe gegen Unternehmen in Deutschland. Ergebnisse einer repräsentativen Unternehmensbefragung 2018/2019. Hrsg. v. Kriminologisches Forschungsinstitut Niedersachsen e.V. 2020. (KFN 2020)
Die Lage der IT-Sicherheit in Deutschland 2021. Hrsg. v. Bundesamt für Sicherheit in der Informationstechnik (BSI). 09/2021. (BSI 2021)
The Global Risks Report 2022, 17th Edition, is published by the World Economic Forum.
Newsletter

Bleiben Sie auf dem Laufenden und abonnieren Sie unseren Newsletter:

Jetzt abonnieren