Mittelständische Wirtschaftsunternehmen sind oft aufgrund ihres technologischen Vorsprungs und wegen ihrer umfangreichen Auslandsaktivitäten lohnende Ziele für Cyber-Spionage, Betrug bei Zahlungsvorgängen oder Erpressung. Dabei sind die Unternehmen aus IT-Sicherheitssicht oft den gleichen Gefahren ausgesetzt wie private Anwender und Internetsurfer. Dazu kommen spezifische Bedrohungen wie der CEO-Betrug (auch als “Fake President Fraud” bekannt), der Diebstahl von Betriebsgeheimnissen, die Betriebsunterbrechung und die informationstechnische Sabotage der Produktion. Hinzu kommen Lösegelder, die bei Datendiebstählen oder über Malware verschlüsselte Dateien erpresst werden. Diese Lösegelder sind bei Unternehmen deutlich höher als bei Privatpersonen.
Insbesondere die sogenannte Cyber-Spionage und Betriebsunterbrechungen in produzierenden Niederlassungen bleiben eine ständige Bedrohung, gegen die sich Unternehmen nur in unzureichender Weise wehren können. Da erfolgreiche Angriffsaktivitäten meist in den weniger abgesicherten Infrastrukturen von Produktionsstandorten oder zugekauften in- und ausländischen Tochterunternehmen beginnen, stellt sich in der Praxis meist ein uneinheitliches IT-Sicherheitsniveau in Konzernen heraus.
Die Bewertung der Sicherheitsrisiken stellt eine Herausforderung für die betroffenen Unternehmen dar, da sie eine Grundlage für Entscheidungen bildet: Welche Maßnahmen sind trotz der Kosten für IT-Sicherheit gerechtfertigt? Welche Risiken kann man transferieren, d. h. auf eine Versicherung übertragen? Sollte ein Mittelständer Zertifikate zum Nachweis des Sicherheitsniveaus anstreben?
Bewertungsmethodiken für IT-Sicherheitsrisiken, die sich an mittelständische Unternehmen richten, wurden von Prof. Greveler von der Hochschule Rhein-Waal mitentwickelt. Einen Einblick in die betrachtete Risikosituation der deutschen Wirtschaft wird in einem aktuellen Zeitschriftenbeitrag (VP 3/2018, Link zum Editorial) gegeben.