Mittelstand reagiert auf Cyber-Gefahren

verstöße gegen DSGVO nicht selten _ Im deutschen Mittelstand regiert noch immer das Prinzip Hoffnung. Gleichzeitig steigt aber das Interesse an Cyber-Versicherungen. Insbesondere in Unternehmen mit mehr als zwei Mio. Euro Umsatz ist die noch relativ neue Absicherung bekannter und beliebter geworden.

Das hat jetzt eine aktuelle Umfrage des Versichererverbandes GDV ergeben. Waren Cyber-Policen noch vor zwei Jahren in weiten Teilen des Mittelstands unbekannt, ist in mittleren Unternehmen die Cyberdeckung mittlerweile drei von vier Entscheidern bekannt. Während 2018 nur 22% eine Cyberversicherung hatten oder abschließen wollten, waren es 2020 mit 43% schon fast doppelt so viele.

Unterm Strich gehen viele Unternehmen aber weiterhin blauäugig mit dem Thema um. „Einfache Empfehlungen werden nicht umgesetzt“, weiß IT-Berater Jonas Schwabe, der für den GDV die IT-Systeme von über 1 000 Mittelständlern analysiert hat. Überrascht ist er etwa über die teilweise nicht mehr zeitgemäße Verwendung von Verschlüsselungen im Mailverkehr. Obwohl es vom Bundesamt für Sicherheit in der Informationstechnik klare Empfehlungen gibt, welche Verschlüsselungen aktuell sind und welche veraltet, sieht er noch sehr viele Unternehmen, die diesen Empfehlungen nicht nachkommen. Zudem legen zahlreiche Firmen mehr Wert darauf Daten zu sammeln, als diese zu schützen.

Auch vom Datenschutz droht Ungemach. Wer etwa IP-Adressen nicht anonymisiert speichert, verstößt im Zweifel gegen die DSGVO. Viele Unternehmen haben aber auch selbst ein großes Interesse zu erfahren, wer sich wann, wie oft und wo genau auf ihren Webseiten tummelt. Um das herauszufinden, setzt jedes vierte Unternehmen sog. Tracker ein. Mindestens 5% der untersuchten Unternehmen haben ihren Tracker so eingestellt, dass die IP-Adressen der Benutzer nicht anonymisiert werden. Das kann zulässig sein, muss aber in der Datenschutzerklärung klar und korrekt benannt sein.

Die Realität sieht in den meisten Fällen anders aus. Die meisten dieser Tracker wurden vor Inkrafttreten der DSGVO installiert und dann nicht mehr angepasst. In der Regel fehlt in solchen Fällen auch eine korrekte Datenschutzerklärung. Wird ein solcher Verstoß gegen die DSGVO festgestellt, können empfindliche Strafen drohen.