Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor dem neuen Schädling „Ryuk“. Das BSI geht davon aus, dass die Verschlüsselungssoftware bereits mehrere deutsche Unternehmen infiziert hat. Ryuk, der sich zweier älterer Trojaner bedient, ermöglicht maßgeschneiderte Erpressungsversuche und ist deshalb besonders effektiv. „Vier von zehn VDE-Mitgliedsunternehmen und Hochschulen waren nach einer Umfrage bereits vor Ryuk von Cyber-Attacken betroffen. Weitere 40 Prozent wissen noch nicht einmal, ob sie angegriffen worden sind. Der VDE geht daher davon aus, dass die Dunkelziffer weitaus höher ist“, kommentiert Ansgar Hinz, Chef des Technologieverbandes VDE, die Mitgliederumfrage. Sicherheitsdefizite in der eigenen Organisation machten es den Angreifern leicht: 75 Prozent sagen, dass es den Mitarbeitern an Sensibilität für das Risiko von Cyber-Attacken fehlt. 45 Prozent geben zu, dass ihre IT-Systeme nicht ausreichend geschützt sind und den Angriffen nicht standhalten können.

Mittelstand besonders hart getroffen

Das größte Problem sind die Ressourcen. 79 Prozent der Befragten sind davon überzeugt, dass viele Unternehmen aufgrund der wachsenden Anforderungen an die IT-Sicherheit finanziell und personell überfordert sind. „Vor allem der Mittelstand tut sich schwer, genügend IT-Experten zu finden. Viele verfügen nicht über die Ressourcen und Fähigkeiten für eigene Computer Emergency Response Teams (CERTs)“, erklärt Ansgar Hinz. Aus diesem Grund hatte der VDE bereits 2017 mit CERT@VDE die erste anonyme Plattform zur Koordination von IT-Security-Problemen im Bereich Industrieautomation geschaffen, der mittlerweile maßgebliche Mittelständler der Elektroindustrie angehören. „Auf ausdrücklichen Wunsch des Mittelstands hat der VDE nun sein Portfolio im Bereich IT-Security erweitert und das „Competence Center for Information and Corporate Security“ gegründet. Neben dem CERT unterstützt der VDE mit seinem neuen Kompetenzzentrum Unternehmen bei der Analyse, Verbesserung und Umsetzung ihrer Cyber Security Strategie und bei der Einhaltung gesetzlicher und regulatorischer Anforderungen“, so der VDE-Chef.

Gesetzliche Anforderungen belasten Mittelstand zusätzlich

Neben der Abwehr von Cyber-Angriffen müssen die Unternehmen die Anforderungen der EU-Datenschutzverordnung (DSGVO), des IT-Sicherheitsgesetzes und der Governance-Risk-Compliance einhalten, was den Unternehmen zusätzliches Budget abverlangt und personelle Aufstockung aus einem bereits fast leergefegten Expertenmarkt bedeutet. „Viele unserer Unternehmen sind schlichtweg überfordert. Einerseits bedrohen Cyber-Kriminelle ihre Existenz, auf der anderen Seite schwebt das Damoklesschwert der DSGVO über ihnen. Für beides sind oftmals keine Ressourcen verfügbar“, fasst Hinz das Dilemma zusammen. Gemäß seiner Satzung sei der VDE der Sicherheit verpflichtet und unterstützt daher den Mittelstand dabei, die Informationssicherheit auf allen Ebenen zu erfüllen. „Unsere Experten führen eine GAP-Analyse auf Grundlage des BSI Basis Cyber Security Check und des ISO27001 Security Check und optional weiter darüber hinaus durch und bewerten so das bestehende Sicherheitsniveau nach international anerkannten Rahmenwerken und Standards. Aufgrund unseres gesamtheitlichen Ansatzes bieten wir maßgeschneiderte, finanzierbare und praktikable Lösungen an, um bestehende Cyber-Risiken gezielt anzugehen und die Unternehmen bei der Einhaltung der Compliance Anforderungen zu unterstützen. Das spart Geld und gibt Sicherheit“, erklärt Ansgar Hinz. Das Thema Informationssicherheit endet längst nicht mehr bei der Implementierung technischer Maßnahmen. Eine mindestens ebenso wichtige Rolle spielen hierbei die Aspekte Governance, Risk und Compliance, fasst der VDE-Chef zusammen.