Der „Cyber Security Report DACH 2025“ des Sicherheitsunternehmens Horizon3.ai hat aufgedeckt, dass die Abwehr von Cyberkriminalität in mittelständischen Unternehmen unzureichend organisiert ist. Die Frage, wer für die firmeninterne IT-Sicherheit zuständig ist, ist oft nicht geklärt.
Bei knapp 22 Prozent der 300 befragten Führungskräfte mittelständischer Firmen liegt die Verantwortung beim Teamleiter-IT. Bei 16 Prozent ist der Chief Technology Officer (CTO) dafür verantwortlich und bei 14 Prozent der Chief Information Officer (CIO), so ein zentrales Ergebnis der Umfrage. Lediglich 13 Prozent der Unternehmen verfügen über einen Chief Information Security Officer (CISO), der sich hauptverantwortlich um die betriebliche Informationssicherheit kümmert. Bei einem Viertel der befragten Firmen liegt die Zuständigkeit für die Abwehr von Cyberkriminellen bei untergeordneten Positionen wie IT-Manager, Administrator oder Systemarchitekt. Bei 21 Prozent wird die Gesamtverantwortung für die IT-Sicherheit vom IT-Einkaufsleiter getragen.
Widerspruch zwischen Bedrohungslage und Abwehrchaos
„Der Widerspruch zwischen der sich verschärfenden Bedrohungslage durch Hackerangriffe und dem Verantwortungschaos bei der Abwehr auf Unternehmensseite ist unübersehbar“, sagt Dennis Weyel, International Technical Director bei Horizon3.ai. Er erklärt: „Angesichts der potenziell fatalen Folgen eines Cyberangriffs bis hin zum Betriebsstillstand und letztlich der Insolvenz wären alle Unternehmen gut beraten, einen Chief Information Security Officer als zentrale Sicherheitsinstanz zu etablieren.“ Die unübersichtlich geregelten Verantwortlichkeiten seien vermutlich auch der Grund dafür, dass beinahe ein Drittel (30 Prozent) der im Rahmen der Umfrage kontaktierten Unternehmen keine Cyberangriffe auf sich in den letzten 24 Monaten feststellen konnten, meint Dennis Weyel.
Aktive versus passive Sicherheit
„Passive Sicherheitssysteme (Firewalls etc.) sind wie eine vielschichtige Alarmanlage rund um ein Haus, von der niemand weiß, ob sie im Falle eines Einbruchs tatsächlich funktioniert, weil sie niemals getestet wird. Aktive Sicherheit (Pentesting) hingegen bedeutet, dass jede Nacht über alle denkbaren Wege ein Einbruchsversuch unternommen wird, um eventuelle Sicherheitslücken aufzudecken, die am nächsten Tag behoben werden können“, erklärt Dennis Weyel. Dennoch führt laut Studie nur gut die Hälfte (51 Prozent) der 300 befragten Unternehmen Pentests durch. Lediglich 13 Prozent verwendet hierzu automatisierte Systeme, was die Voraussetzung ist, um eine der Bedrohungslage angemessene Regelmäßigkeit zu erhalten. 38 Prozent setzen auf manuelles Pentesting, davon 21 Prozent auf externe Sicherheitsdienstleister.