Vier von zehn VDE-Mitgliedsunternehmen und Hochschulen waren einer aktuellen Umfrage zufolge bereits vor der Ransomware Ryuk von Cyber-Attacken betroffen. Weitere 40 % wissen noch nicht einmal, ob sie angegriffen worden sind.
Seit Beginn dieses Jahres ist der 2018 in Umlauf gebrachte Erpressungstrojaner Ryuk wieder in den Schlagzeilen vertreten. Die Software, die sich zweier älterer Trojaner bedient, ermöglicht maßgeschneiderte Erpressungsversuche und ist deshalb besonders effektiv. Daher warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich vor dem Schädling und geht davon aus, dass die Verschlüsselungssoftware bereits mehrere deutsche Unternehmen infiziert hat.
Viele Mitarbeiter sind nicht für das Risiko von Cyber-Attacken sensibilisiert
„Wir gehen davon aus, dass die Dunkelziffer weitaus höher ist“, sagte Ansgar Hinz, Chef des Technologieverbands VDE. Grund dafür: 75 % der Befragten sagten, dass es den Mitarbeitern an Sensibilität für das Risiko von Cyber-Attacken fehlt. Weitere 45 % geben zu, dass ihre IT-Systeme nicht ausreichend geschützt sind und den Angriffen nicht standhalten können.
Mittelstand am meisten von Ransomware wie Ryuk betroffen
Als größtes Problem beschreiben die Befragten die Ressourcen-Frage: 79 % der Unternehmen sind davon überzeugt, dass viele Firmen aufgrund der wachsenden Anforderungen an die IT-Sicherheit finanziell und personell überfordert sind. „Vor allem der Mittelstand tut sich schwer, genügend IT-Experten zu finden. Viele verfügen nicht über die Ressourcen und Fähigkeiten für eigene Computer Emergency Response Teams (CERTs)“, erklärte Hinz.
Aus diesem Grund hatte der VDE bereits 2017 mit CERT@VDE die erste anonyme Plattform zur Koordination von IT-Security-Problemen im Bereich Industrieautomation geschaffen, der mittlerweile maßgebliche Mittelständler der Elektroindustrie angehören.
VDE gründet Kompetenzzentrum für IT-Sicherheit speziell für deutschen Mittelstand
„Auf ausdrücklichen Wunsch des Mittelstands hat der VDE nun sein Portfolio im Bereich IT-Security erweitert und das ‚Competence Center for Information and Corporate Security‘ gegründet. Neben dem CERT unterstützt der VDE mit seinem neuen Kompetenzzentrum Unternehmen bei der Analyse, Verbesserung und Umsetzung ihrer Cyber Security Strategie und bei der Einhaltung gesetzlicher und regulatorischer Anforderungen“, betonte der VDE-Chef.
Gesetzliche Anforderungen belasten Mittelstand zusätzlich
Neben der Abwehr von Cyber-Angriffen müssen die Unternehmen die Anforderungen der EU-Datenschutzverordnung (DSGVO), des IT-Sicherheitsgesetzes und der Governance-Risk-Compliance einhalten, was ihnen zusätzliches Budget abverlangt und personelle Aufstockung aus einem bereits fast leergefegten Expertenmarkt bedeutet. „Viele unserer Unternehmen sind schlichtweg überfordert. Einerseits bedrohen Cyber-Kriminelle ihre Existenz, auf der anderen Seite schwebt das Damoklesschwert der DSGVO über ihnen. Für beides sind oftmals keine Ressourcen verfügbar“, fasst Hinz das Dilemma zusammen.
Der Verband unterstützt daher den Mittelstand dabei, die Informationssicherheit auf allen Ebenen zu erfüllen. „Unsere Experten führen eine GAP-Analyse auf Grundlage des BSI Basis Cyber Security Check und des ISO 27001 Security Check und optional weiter darüber hinaus durch und bewerten so das bestehende Sicherheitsniveau nach international anerkannten Rahmenwerken und Standards. Aufgrund unseres gesamtheitlichen Ansatzes bieten wir maßgeschneiderte, finanzierbare und praktikable Lösungen an, um bestehende Cyber-Risiken gezielt anzugehen und die Unternehmen bei der Einhaltung der Compliance Anforderungen zu unterstützen. Das spart Geld und gibt Sicherheit“, erklärt Hinz.
