PwC-Studie: Mittelstand überschätzt eigene Cyberabwehr

Zwischen Selbstbild und Wirklichkeit klafft beim Thema IT-Sicherheit eine erhebliche Lücke. Eine Erhebung der Beratungsgesellschaft offenbart, dass viele mittelständische Unternehmen ihre Schutzmaßnahmen deutlich besser einschätzen, als objektive Analysen es hergeben.

Zwischen Wunschdenken und Wirklichkeit

Wer hierzulande den Eindruck hat, in Sachen Cybersicherheit gut gerüstet zu sein, irrt häufig. Genau diese Beobachtung zieht sich durch die jüngste PwC-Untersuchung. Bei systematischen Reifegradanalysen rutscht das tatsächlich gemessene Schutzniveau in vielen Fällen um eine oder zwei Stufen unter das, was Geschäftsführer angeben. Eine Fehlwahrnehmung mit Konsequenzen, denn parallel mehren sich Vorfälle rund um Datendiebstahl und Erpressungssoftware.

Wenn ein einzelner Zulieferer alle reinzieht

Eine besondere Gefahr lauert in den Geschäftsverbindungen selbst. Beinahe die Hälfte der Befragten erlebt bereits Angriffe, die ihren Anfang nicht im eigenen Haus nahmen, sondern bei Partnern oder Lieferanten. Aus krimineller Sicht hat diese Methode enormen Charme, weil ein einziger Treffer ganze Netzwerke öffnet. Dem stehen jedoch lückenhafte Frühwarnsysteme gegenüber: Nur rund jeder Zweite traut sich zu, derartige Risiken rechtzeitig zu erkennen.

Maschinen gegen Maschinen

In der Bedrohungslandschaft hat sich eine neue Dimension etabliert. Künstliche Intelligenz hilft Angreifern dabei, Schwachstellen in rasendem Tempo aufzuspüren, ihre Kampagnen massenhaft auszurollen und Phishing-Nachrichten so täuschend echt zu gestalten, dass selbst aufmerksame Mitarbeiter darauf hereinfallen. Die Verteidigerseite kontert mit ähnlichen Werkzeugen. Mustererkennung in Datenströmen oder die automatisierte Reaktion auf Vorfälle gehören mittlerweile zum Werkzeugkasten moderner Sicherheitsteams.

Sparsame Budgets als Bumerang

Was bei den Investitionen passiert, lässt manchen Fachmann den Kopf schütteln. Selbst größere Unternehmen begnügen sich teilweise mit weniger als 50.000 Euro jährlich für ihre Cyberabwehr. Wer komplexe IT-Strukturen mit dieser Summe schützen will, kommt an seine Grenzen. Professionelle Überwachungsplattformen oder erprobte Notfallpläne sind so kaum zu finanzieren. Im Ernstfall kostet ein erfolgreicher Angriff allerdings ein Vielfaches dessen, was sich eingespart wurde.

Personalmangel zwingt zur Auslagerung

Eng damit verbunden ist eine personelle Knappheit. Drei Vollzeitkräfte für Informationssicherheit, mehr leistet sich der typische Mittelständler im Median nicht. Diese Größe reicht für anspruchsvolle Bedrohungsszenarien nicht aus. Folgerichtig setzen rund 78 Prozent der Häuser auf externe Anbieter, die sogenannte Managed Security Services bereitstellen. Diese übernehmen Überwachung, Schwachstellenanalyse und die Reaktion auf Vorfälle als Dauerleistung.

Cybersicherheit gehört in die Chefetage

Aus all dem ergibt sich eine klare Botschaft an die Führungsspitzen. Wer die Stabilität seines Unternehmens absichern möchte, darf das Thema nicht länger in den Serverraum delegieren. Realistische Bestandsaufnahmen, gezielte Investitionen und ein konsequenter Ausbau technischer wie organisatorischer Schutzmaßnahmen sind keine Kür, sondern Pflicht.