Alles im Lot: KMU sind mit ihrer Cybersicherheit zufrieden
Wie gut sind klein- und mittelständische Unternehmen weltweit in ihrer Cybersicherheit aufgestellt? Die Selbsteinschätzung von rund 1.700 Unternehmen weltweit ist erstaunlich positiv: 61 Prozent der befragten Unternehmen weltweit attestieren sich eine verbesserte Cybersicherheit. Ressourcenmangel ist nach wie vor ein großes Thema – aber nicht unbedingt das Wichtigste.
Sicherheitsverantwortliche sehen die steigende Gefahr durch Cyberkriminelle und wissen, dass ihre IT-Sicherheit mehr leisten muss. Deswegen wollen immer mehr der in einer Bitdefender-Studie (Cybersecurity Posture Survey 2023) befragten Unternehmen weg von der herkömmlichen Abwehr und zu ganzheitlichen Ansätzen mit Prävention, Erkennung und Abwehr übergehen. 53 Prozent der befragten Unternehmen und Organisationen in über 100 Ländern sind bereits diesen Weg gegangen, zwölf Prozent testen eine proaktivere Sicherheitsstrategie, 32 Prozent ziehen eine proaktivere Defensivstrategie für die nähere Zukunft in Betracht. Dennoch stellen 61 Prozent der Befragten im Rückblick auf die vergangenen zwölf Monate zufrieden fest, ihre Sicherheitslage habe sich verbessert. Das sind sechs Prozent mehr als bei der Vorgängerumfrage aus dem Jahr 2021. Ganze vier Prozent der Studienteilnehmer gehen davon aus, dass ihre IT-Sicherheit schlechter aufgestellt sei.
Bitdefender hat im Herbst 2022 weltweit 1.693 überwiegend kleine und mittelständische Unternehmen dazu befragt, wie sie ihre Cyberabwehr aufgestellt sehen. Ressourcenmangel ist trotz langsam wachsender Teams ein wichtiges Thema – aber nicht das zentrale. Menschliches Fehlverhalten von Mitarbeitern scheint für viele das größere Problem zu sein. Die Studie belegt die dünne Personaldecke in der IT-Abwehr kleiner und mittlerer Unternehmen. Diese verfügen in ihrem eigenen Urteil über hinreichende Tools, verlangen aber zunehmend auch die Prävention und das frühzeitige Erkennen von Gefahren. Wer dies und die Abwehr der Folgen von menschlichen Fehlern leisten will, muss angesichts dünner Personalressourcen eigentlich nach externer Hilfe suchen. Hier mag aber ein Problem liegen: Denn ein Auslagern von IT-Sicherheit ziehen die meisten der Befragten nicht in Betracht. Menschliche Fehler von Angestellten kann eine IT-Abwehr aber alleine kaum ausschließen oder dessen Folgen eindämmen.
Weitere zentrale Ergebnisse der Studie
- Nur 51 Prozent der Unternehmen glaubten 2022, NIEMALS Ziel einer fortgeschrittenen Attacke gewesen zu sein:
Das heißt im Umkehrschluss: fast jedes zweite Unternehmen durchaus. 21 Prozent sehen eine hohe Wahrscheinlichkeit dafür, dass ein solcher Angriff in naher Zukunft stattfinden wird. Bedenklich ist, dass trotzdem nur 39 Prozent einen Cyberabwehrplan vorbereitet haben.
- Mangel an Sicherheitspersonal und -fähigkeiten ist nur für jedes dritte Unternehmen das Hauptproblem:
Allen Diskussionen rund um den ohne Zweifel vorhandenen Personalmangel zum Trotz: Befragt nach den wichtigsten Herausforderungen an die IT-Sicherheit liegt der Faktor Personal- und Kompetenzmangel mit 34 Prozent nur auf Rang vier. Die Lage scheint sich aber zu verschärfen. Denn das sind fünf Prozentpunkte mehr als 2021. Für die meisten der Befragten stellen begrenzte Budgets (48 Prozent) das größte Problem dar. Sicherheit scheint in ihren Augen kaufbar zu sein. Ebenso gefährlich sind für die Studienteilnehmer unsicheres Verhalten der Angestellten (47 Prozent) und menschliche Fehler (43 Prozent). An Tools zur Sicherheit mangelt es ihnen wohl nicht: Nur 15 Prozent sehen das größte Problem im Fehlen von einschlägigen Sicherheitstools.
- IT-Sicherheit ist nur eine Aufgabe von vielen:
Ganze 18 Prozent der Unternehmen können einen Mitarbeiter ausschließlich für die Belange der IT-Sicherheit abstellen, in 82 Prozent ist IT-Defensive eine Aufgabe von vielen für die IT-Administration. Dass IT-Teams ohnehin sehr klein sind, verschärft die Lage noch: In 30 Prozent der Fälle sind die Administratoren Einzelkämpfer für alles, in 41 Prozent bestehen die Teams aus zwei bis vier Personen. Wenn ein eigenes Cybersicherheitsteam existiert, besteht es bei 50 Prozent der Unternehmen aus einer Person, zu 38 Prozent aus zwei bis vier Personen. Viele Unternehmen wollen aber Abhilfe schaffen: 21 Prozent planen konkret, Cybersicherheitspersonal einzustellen. 2020 lag dieser Anteil noch bei 15 Prozent. Das Bewusstsein für die Mangelsituation steigt also, ist aber niedriger als die Diskussion vermuten lässt.
- IT-Sicherheit bleibt im Hause:
Trotzdem lagert nur knapp jedes vierte befragte Unternehmen seine Sicherheit an einen MSP, einen MSSP oder einen MDR-Dienstleister aus. Aber 13 Prozent der anderen überlegen, dies zu tun. 61 Prozent glauben dagegen, eine solche Hilfe nicht nötig zu haben.
„IT-Administrationen müssen viel leisten – und sie tun es auch: Die Studienergebnisse zeigen, dass sich Unternehmen auch nicht hinter Personalmangel oder einer unzulänglichen Technologieausstattung verstecken. Selbst nach automatisierten Set-and-Forget-Lösungen sucht nicht einmal jeder vierte schwerpunktmäßig. Dass Sicherheit eine wichtige und große Aufgabe ist, dessen ist man sich offenbar bewusst“, kommentiert Jörg von der Heydt, Regional Director DACH bei Bitdefender die diesjährigen Ergebnisse der in den vergangenen drei Jahren wiederholt durchgeführten Studie. „Das positive Selbsturteil der Befragten zu ihrem Sicherheitsstatus sollte aber auf keinen Fall dazu führen, sich in Sicherheit zu wiegen.
Genauso gefährlich ist vor allem bei kleineren Unternehmen der Rückschluss, eine vollständig selbstverwaltete IT-Sicherheit sei hinreichend. Zumal diese viel Arbeit macht: Wenn einfache Bedienbarkeit und Support für 33 beziehungsweise 27 Prozent der Befragten Top-Kriterien für die Auswahl einer Sicherheitslösung sind, ist dies vielleicht ein kleiner Ruf nach Entlastung. Ebenso die Tatsache, dass drei von vier der Befragten eine einheitliche Sicherheitsplattform für Endpunkt, Netzwerk und Cloud wünschen. Dass es für zwei Drittel der Befragten kein Thema ist, IT-Sicherheit auszulagern, mag aus Sorge um das intellektuelle Eigentum der Daten und um die Compliance verständlich sein. Aber es erstaunt, denn niemand kann für seine IT-Sicherheit allein sorgen. Nur Plattformsicherheit und Hilfe von außen sorgen für hinreichende IT-Sicherheit.“
Die vollständige Studie gibt es hier.
Stefan Mutschler