Ondanks toenemende cyberdreigingen verwaarlozen veel middelgrote bedrijven fundamentele beschermingsmaatregelen. Dat blijkt uit een recente Forsa-enquête in opdracht van de Gesamtverband der Deutschen Versicherungswirtschaft (GDV): Hoewel 77% van de ondervraagden vindt dat ze voldoende gewapend zijn tegen cyberaanvallen, voldoet meer dan twee derde in werkelijkheid niet eens aan alle basiscriteria voor IT-beveiliging, zoals sterke wachtwoorden of regelmatige updates. “De meerderheid van de bedrijven (52%) schat hun IT-beveiligingssituatie beter in dan deze in werkelijkheid is”, zegt Jörg Asmussen, algemeen directeur van de GDV.
Uit de enquête blijkt dat veel bedrijven technische en organisatorische beschermingsmaatregelen verwaarlozen. Sommige bedrijven zijn te laks met gegevensbeveiliging, andere voeren noodzakelijke software-updates niet tijdig uit. Hierdoor ontstaan vermijdbare veiligheidslekken. Opvallend is dat 64% afziet van trainingen om hun personeel bewust te maken, hoewel 68% van de succesvolle cyberaanvallen begon met een phishing-mail of een e-mail met schadelijke software.
Ook op een succesvolle aanval zijn velen niet voorbereid. “De helft van de bedrijven (48%) heeft geen noodplan voor noodgevallen”, zegt Jörg Asmussen. Daardoor kunnen de aanvallers aanzienlijke schade aanrichten.
Bedrijven vrezen een cyberramp en rekenen op de staat als redder
Tegelijkertijd blijkt uit de enquête dat er een wijdverbreide bezorgdheid bestaat over een grootschalige cyberaanval: 89% van de ondervraagde bedrijven acht het waarschijnlijk dat een gerichte aanval op sleutelbedrijven van de Duitse economie tot enorme economische schade zou kunnen leiden, bijvoorbeeld door het uitvallen van kritieke infrastructuur of centrale toeleveringsketens. Slechts een minderheid gelooft dat het bedrijfsleven (31%) of de overheid (29%) op een dergelijke aanval voorbereid is.
Toch zijn de verwachtingen ten aanzien van de overheid hooggespannen: naast strafrechtelijke vervolging en opsporing vindt 73% van de ondervraagden dat het de taak van de overheid is om technische hulp te bieden bij een cyberramp. 57% vindt zelfs dat de overheid de plicht heeft om getroffen bedrijven financieel te helpen. “De hoge verwachtingen van de overheid staan in schril contrast met de gebrekkige cyberbeveiliging van veel bedrijven”, zegt Asmussen.
De risicobeoordeling van veel bedrijven is gebaseerd op misvattingen
Op het eerste gezicht lijkt de perceptie van de dreiging bij het midden- en kleinbedrijf redelijk: 78% van de ondervraagden acht het risico van een cyberaanval op het MKB vrij hoog of zeer hoog. Voor hun eigen bedrijf beoordelen dezelfde ondervraagden hetzelfde gevaar heel anders: nu ziet niet langer 78% een vrij hoog of zeer hoog risico, maar slechts 38%.
Deze bedrieglijke zekerheid vloeit vaak voort uit de overtuiging dat het eigen bedrijf te klein of niet interessant genoeg is om in het vizier van hackers te komen. Maar liefst 78%t van de bedrijven die hun risico als laag inschatten, beschouwt hun bedrijf als volledig beschermd.
