Das Cybersicherheitsunternehmen ESET hat mehr als 700 KMU-Unternehmen nach Branche auf ihre Fähigkeit untersucht, Cyber-Bedrohungen zu erkennen und darauf zu reagieren. Einige Branchen verlassen sich stark auf ihre internen Cybersicherheitskompetenzen, während andere es vorziehen, einen Experten einzustellen, der externe Cybersicherheit bereitstellt.
Die Bedrohungswahrnehmung nimmt von Tag zu Tag zu. Die Tatsache, dass Unternehmen keine ausreichende Geschwindigkeit erreichen können, um Cybersicherheitsmaßnahmen zu ergreifen, erhöht die Gefahr. Das wachsende Cyber-Sicherheitsrisiko stellt ein häufiges Problem dar, mit dem KMU konfrontiert sind, die ihre Ausgaben aufgrund des aktuellen wirtschaftlichen Umfelds auf der ganzen Welt reduzieren müssen. Die Forschung von ESET beleuchtet die Cybersicherheitsansätze von KMU auf sektoraler Basis.
Unternehmen und professionelle Dienstleistungen
Forschungsdaten zeigen, dass mehr als ein Viertel (26 Prozent) der KMU im Unternehmens- und professionellen Dienstleistungssektor wenig oder kein Vertrauen in ihre interne Cybersicherheitsexpertise haben. Weniger als ein Drittel (31 Prozent) haben wenig Vertrauen, dass ihr Team die neuesten Bedrohungen erkennen wird. Ein Drittel (33 Prozent) glaubt, dass sie Schwierigkeiten haben werden, die eigentliche Ursache eines Cyberangriffs zu identifizieren. Fast 10 von 4 (38 Prozent) KMU im Bereich Business und Professional Services verwalten ihre Sicherheit intern, was über dem Durchschnitt der KMU liegt (34 Prozent). Mehr als die Hälfte (54 Prozent) ziehen stattdessen Outsourcing vor. Weitere 8 Prozent erwägen jedoch, ihre Cybersicherheit in den nächsten 12 Monaten auszulagern. Nur 24 Prozent der KMU im Bereich Business und Professional Services entscheiden sich dafür, das Sicherheitsmanagement intern zu betreiben. Dies ist die niedrigste Quote aller untersuchten Branchen. Mehr als ein Viertel (26 Prozent) entscheidet sich für die Auslagerung an einen einzelnen Sicherheitsanbieter und 40 Prozent entscheiden sich für die Auslagerung an mehrere Anbieter.
Finanzdienstleistungen
Fast 10 von 3 (29 Prozent) der KMU in der Finanzdienstleistungsbranche haben wenig oder kein Vertrauen in ihre interne Cybersicherheitsexpertise. 36 Prozent haben wenig oder kein Vertrauen, dass ihre Mitarbeiter Cybersicherheitsbedrohungen verstehen. Nur 26 Prozent der KMU in der Finanzdienstleistungsbranche glauben, dass sie Schwierigkeiten haben werden, die Ursache eines Cyberangriffs zu identifizieren. Diese Quote liegt unter dem Durchschnitt der KMU (29 Prozent). Nur 28 Prozent der KMU in der Finanzdienstleistungsbranche führen ihr Sicherheitsgeschäft intern; dies ist die niedrigste Quote aller untersuchten Branchen. Fast zwei Drittel (65 %) lagern stattdessen aus. Diese Quote liegt deutlich über dem Durchschnitt der KMU (59 Prozent). Mehr als ein Viertel (26 Prozent) der KMU in der Finanzdienstleistungsbranche ziehen es vor, das Sicherheitsmanagement im eigenen Haus zu behalten. Während der gleiche Prozentsatz der KMU es vorzieht, an einen einzigen Anbieter auszulagern, ziehen es 39 % vor, ihre Sicherheit an mehr als einen Anbieter auszulagern.
Produktion und Industrie
Ein Drittel (33 Prozent) der KMU in Fertigung und Industrie haben wenig oder kein Vertrauen in ihre eigene Cybersicherheitsexpertise. Diese Quote liegt über dem Durchschnitt der KMU (25 Prozent). Vier von zehn Unternehmen (10 Prozent) haben weniger oder kein Vertrauen in die Wahrnehmung von Sicherheitsbedrohungen durch ihre Mitarbeiter als andere Branchen. Nur 40 Prozent glauben, dass sie im schlimmsten Fall Probleme haben würden, die Ursache eines Cyberangriffs zu identifizieren. Nur 29 von 10 (3 Prozent) KMU in Fertigung und Industrie verwalten ihre Sicherheit intern. Mehr als die Hälfte (30 Prozent) entscheiden sich stattdessen dafür, ihre Sicherheit auszulagern, die zweithöchste aller Branchen. Ein Drittel (63 Prozent) der KMU in Fertigung und Industrie ziehen es vor, das Cybersicherheitsmanagement intern zu halten; dies ist die höchste Rate unter den Sektoren. Nur 33 Prozent entscheiden sich für die Auslagerung an einen einzigen Sicherheitsanbieter und 24 Prozent für die Auslagerung an mehrere Anbieter.
Einzelhandel, Großhandel und Vertrieb
Vier Fünftel (80 Prozent) der Einzelhandels-, Großhandels- und Vertriebs-KMU haben mäßiges oder hohes Vertrauen in ihre interne Cybersicherheitsexpertise; dies ist die höchste Rate unter allen Sektoren. Dieses Verhältnis zeigt, dass das Vertrauen (67 Prozent) in die Expertise des IT-Teams im Bereich Cybersicherheit deutlich höher ist als in der Fertigungsbranche. Drei Viertel (74 Prozent) der KMU im Einzelhandel, Großhandel und Vertrieb haben mittleres oder hohes Vertrauen, dass ihre Mitarbeiter Sicherheitsbedrohungen verstehen, im Vergleich zu 64 Prozent der KMU im Finanzdienstleistungssektor. KMU (79 Prozent) sind zuversichtlicher als andere Branchen ihre Fähigkeit, die Ursache eines Angriffs zu identifizieren. Mehr als 10 von 4 (41 Prozent) der KMU im Einzelhandel, Großhandel und Vertrieb verwalten ihre Cybersicherheit intern. Nur 53 Prozent lagern ihre Sicherheit aus. 6 Prozent wollen dies jedoch im nächsten Jahr tun.
Etwa 10 von 3 (31 Prozent) KMU im Einzelhandel, Großhandel und Vertrieb ziehen es vor, das Sicherheitsmanagement im eigenen Haus zu behalten. Derselbe Prozentsatz der Unternehmen zieht es vor, an einen einzigen Sicherheitsanbieter auszulagern, und 28 % ziehen es vor, an mehrere Anbieter auszulagern.
Technik und Kommunikation
Ein Viertel (25 Prozent) der KMU in der Technologie- und Kommunikationsbranche hat wenig oder kein Vertrauen in ihre eigene Cybersicherheitsexpertise. Die meisten KMU in der Branche (78 Prozent) vertrauen jedoch mehr als anderen darauf, dass ihre Mitarbeiter Sicherheitsbedrohungen verstehen. Mehr als drei Viertel (77 Prozent) verlassen sich auf ihre Fähigkeit, im Falle eines Angriffs die Ursache zu identifizieren. Mehr KMU (34 Prozent) in der Technologie- und Kommunikationsbranche als der Durchschnitt der KMU (37 Prozent) verwalten ihre Cybersicherheit intern. Mehr als Unternehmen der Handelsbranche lagern ihre Sicherheit aus (53 gegenüber 58 Prozent). Drei von zehn KMU (10 Prozent) im Technologie- und Kommunikationssektor ziehen es vor, das Sicherheitsmanagement im eigenen Haus zu behalten. Im Gegensatz dazu ziehen es 31 Prozent vor, an einen einzigen Anbieter auszulagern und 23 Prozent an mehr als einen Sicherheitsanbieter.
Ein falsches Sicherheitsgefühl?
Während sich KMU in bestimmten Branchen für sicherer halten als andere und das Cybersicherheitsmanagement anders angehen, verwalten diese KMU ihre Cybersicherheit oft vollständig intern und haben daher ein höheres Sicherheitsgefühl. Wenn eine interne Verwaltung bevorzugt wird, wird empfohlen, neben regelmäßigen Sicherheitsprüfungen durch Dritte Sicherheitsrichtlinien festzulegen und regelmäßig zu aktualisieren.
Der 2022 ESET SME Digital Security Vulnerability Report erklärt deutlich die Ausrichtung von KMUs an diesen steigenden Anforderungen. 32 Prozent der befragten KMUs gaben an, Endpoint Detection and Response (EDR), XDR oder MDR zu verwenden, und 33 Prozent planen, diese Technologie in den nächsten 12 Monaten zu nutzen. Die Mehrheit der KMU in den Sektoren Technologie und Kommunikation (69 Prozent), Fertigung und Industrie (67 Prozent) sowie Finanzdienstleistungen (74 Prozent) ziehen es vor, ihre Sicherheitsanforderungen auszulagern.