Bei kleineren und mittleren Unternehmen (KMU) ist es hierzulande um die IT-Security nach wie vor schlecht bestellt. Schon bei Standardschutzmaßnahmen sind die Defizite bei ihnen groß, geht aus dem „Praxisreport Mittelstand“ 2021/22 hervor, den der Verein „Deutschland sicher im Netz“ (DsiN) am Dienstag vorgestellt hat. Demnach verfügen 64 Prozent der KMU über keine Maßnahmen der Angriffserkennung, mehr als ein Drittel verzichtet auf IT-Notfallpläne (34 Prozent). Der vom Bundeswirtschaftsministerium unterstützte Bericht beruht auf einer repräsentativen Erhebung von 1339 abgeschlossenen Umfragen des DsiN-Sicherheitschecks im Zeitraum von Mai 2020 bis Januar 2022. 43 Prozent der Mittelständler sind demnach nachlässig im Umgang mit Software- und Sicherheitsupdates. Von Schutzvorkehrungen in der E-Mailkommunikation sieht die Hälfte der KMU ab, verschlüsselt also nicht. Ein Viertel der Firmen verzichtet vollständig darauf, das IT-Sicherheitswissen bei Mitarbeitern zu fördern. Zwar hat sich das Bewusstsein für die digitale Verletzbarkeit des eigenen Unternehmens während der Pandemie bei 86 Prozent der Mittelständler auf hohem Niveau verstetigt. 32 Prozent bewerten eine unzureichende Absicherung der IT als grundlegendes Risiko: 21 Prozent sehen die eigene Wettbewerbsfähigkeit, elf Prozent sogar die Unternehmensexistenz gefährdet. In der Praxis wirkt sich dies aber kaum aus. Die Ergebnisse ähneln weitgehend den im vorigen Jahr präsentierten für 2020. Damals gaben etwa 48 Prozent an, E-Mails nicht zu verschlüsseln. 32 Prozent erklärten, nicht angegriffen worden zu sein oder Attacken nicht aktiv zu identifizieren. Bei einem weiteren Drittel sind dafür die Mitarbeiter zuständig. Zwar ist der Anteil der Mittelständler, die bei IT-Sicherheit auf externe Experten setzten, mit 27 Prozent um 7 Prozentpunkte angestiegen. Gerade bei kleineren Firmen bleiben die Beschäftigten in Sicherheitsfragen aber auf sich alleine gestellt. Die stagnierenden Schutzvorkehrungen im Mittelstand stehen einer stärkeren Nutzung digitaler Techniken aufgrund der Corona-Pandemie gegenüber. Der Einsatz von Clouds im Mittelstand überspringt erstmals die 50-Prozent-Marke und liegt nun bei 53 Prozent. Das ist ein Plus von sechs Prozentpunkten gegenüber den Resultaten vom Vorjahr. Rund 43 Prozent der Nutzer der Clouds verlassen sich aber alleine auf potenziell vorhandene Schutzmaßnahmen des Anbieters. 48 Prozent treffen fürs Homeoffice keine gesonderten Vorgaben. Nur 52 Prozent regeln das private Arbeitsumfeld zumindest allgemein. Letztlich meldeten dieses Mal 42 Prozent der KMU, bereits ein oder mehrere Male Opfer eines Cyberangriffs geworden zu sein. Laut dem vorigen Report waren es noch 46 Prozent der Befragten. Der Anteil folgenreicher IT-Attacken ist aber gestiegen. So führten 76 Prozent davon zu „spürbaren Auswirkungen“, bei jedem achten Unternehmen wurden sie als erheblich, bei vier Prozent sogar als existenzgefährdend angegeben. Im Vorjahr hatten 74 Prozent Schäden durch Angriffe gemeldet, 60 Prozent hatten aber nur „einigen Aufwand“ ohne stärkere Folgen.