Die Ergebnisse einer Umfrage zeigen: Die Warnung des BSI ist in weiten Teilen des Mittelstands verhallt. Das könnte in zahlreichen Unternehmen noch zu unerwarteten Konsequenzen führen.

 


Bei der Log4J-Schwachstelle handelt es sich um eine seit Dezember 2021 bekannt gewordene Sicherheitslücke, die das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) dazu bewegte, die höchste Alarmstufe auszurufen. Über die Softwareschwachstellen kann Code aus der Ferne ausgeführt werden, wodurch die Kontrolle über die dahinterstehenden Systeme übernommen wird. Dieser Zugang kann dann zum Ausspähen genutzt werden, um so zusätzlich Daten zu kopieren oder Malware zu installieren.    

Für Unternehmen, die sich mit dem Angriffsvektor nicht ausreichend schnell, auseinandergesetzt haben, besteht weiterhin eine latente Gefahr, dass ihr System von Cyberkriminellen kompromittiert ist und diese Hintertür plötzlich genutzt wird um beispielsweise massenhaft Daten im System zu verschlüsseln.

Genau das, so GDV-Hauptgeschäftsführer Jörg Asmussen, könnte vielen Unternehmen weiterhin bevorstehen, denn: „Nur 40 Prozent der mittelständischen Unternehmen haben nach dem Bekanntwerden der Sicherheitslücke ihre Software überprüft“. 

 

Was Verantwortliche in vielen Firmen bislang ebenso außer Acht gelassen haben ist, dass Cyberkriminelle die Schwachstelle bereits vor einem Sicherheitsupdate für eine Erstinfektion mit Schadsoftware genutzt haben können. In diesem Fall hätten Angreifer auch nach den notwendigen Sicherheitspatch die Möglichkeit in die IT-Systeme zu gelangen und dort – oder damit – Schaden anzurichten. 

 

Der Gesamtverband der deutschen Versicherungswirtschaft sieht hier bei einem großen Teil der mittelständischen Unternehmen Nachholbedarf. Die von ihnen beauftragte repräsentative Forsa-Umfrage zeigt, dass nur 28% der befragten die eigenen Systeme zusätzlich auf bereits eingedrungene Schadsoftware untersucht haben.

 

 

Das knapp die Hälfte der 300 befragten kleinen und mittleren Unternehmen weder Software noch IT-System geprüft haben ist kritisch: „Wer darauf nicht reagiert, ist beim Thema IT-Sicherheit zu sorglos – oder hat zu wenig Know-how“, fasst Asmussen zusammen.

 

Das deckt sich mit den Erkenntnissen aus der repräsentativen Studie „CyberDirekt Risikolage 2022“. Laut der Umfrage haben 42,5% der befragten Entscheider verspätet ausgeführte System-Updates als größte Cyber-Gefahr im Arbeitsumfeld identifiziert und landet damit unter den Top 3. Wenn es wiederum um die umgesetzten Schutzmaßnahmen geht liegt Patchmanagement mit 35,8% nur auf Platz 9.

„IT-Sicherheit ist ein fortwährender Prozess und kein Zustand, der erreicht werden kann. Die Abwehr von Cyber-Angriffen und der aktive Umgang mit möglichen Kompromittierungen gehört auf jede Vorstandsagenda. Cyberversicherungen können ein wichtiger Baustein einer ganzheitlichen IT-Sicherheitsstrategie sein“ kommentiert Ole Sieverding, Geschäftsführer von CyberDirekt die aktuelle Bedrohungslage

 

Sie haben Fragen zu diesem oder anderen Themen rund um IT-Sicherheit und Cyberversicherungen? Sprechen Sie uns an!