Cyber-Angriffe: Deutsche Unternehmen unter Dauerbeschuss

(Geschätzte Lesezeit: 2 - 4 Minuten)
Deloitte2

Schaden pro Attacke bei etwa 700.000 Euro  -  Verdopplung der Angriffe seit 2013  -  Jeder Tag bringt einen neuen Angriff, den längst nicht jedes Unternehmen bemerkt 

Wie der zweite Teil des Cyber Security Reports von Deloitte aufdeckt, wird rund die Hälfte der mittleren und großen Unternehmen einmal pro Woche von Cyberkriminellen attackiert. Mehr als vier Fünftel der großen Konzerne berichten von monatlichen, die Hälfte davon sogar von täglichen Angriffen. Liegt der potenzielle finanzielle Schaden pro Attacke bei durchschnittlich 700.000 Euro, liegt der Gesamtschaden für die deutsche Wirtschaft nach Expertenschätzungen bei 50 Milliarden.

Wer würde gerade als gewinnorientiertes Unternehmen bei solchen Zuständen untätig bleiben? In immerhin jedem dritten mittleren und großen Unternehmen gibt es bis heute keine dezidierte Cyber-Security-Strategie und in jedem vierten Betrieb hat sich die Führung nur am Rande oder gar nicht mit dem Thema befasst. Zudem hat nur gut ein Drittel der Führungskräfte Kenntnis von der Existenz regulatorischer Vorgaben seitens des Gesetzgebers.

»Deutsche Unternehmen sind aufgrund ihres Know-hows beliebte Angriffsziele. Angreifer streben nach Informationen über Produkte und Geschäftsprozesse, um aus erbeuteten Informationen Profit zu schlagen. Ein angemessen hohes Niveau an Cyber Security ist der Schlüssel zur erfolgreichen Verteidigung. Schließlich geht es hier um die digitalen Kronjuwelen der Unternehmen. Umso erfreulicher ist es, dass in den Führungsetagen das allgemeine Risiko- und Haftungsbewusstsein kontinuierlich stärker wird«, erklärt Peter Wirnsperger von Deloitte.

Angriffe steigen exponentiell

Fast 50 Prozent der teilnehmenden Führungskräfte berichten von wöchentlichen, oft auch täglichen Cyberangriffen – bei den großen Unternehmen sind es sogar 83 Prozent. Damit hat sich die Zahl der täglichen bzw. wöchentlichen Attacken seit 2013 verdoppelt. Hinzu kommt eine beträchtliche Dunkelziffer, denn immerhin geht jeder Vierte davon aus, dass viele Angreifer weitgehend unbemerkt agieren. Dementsprechend wird dem Thema – zumindest theoretisch – ein hoher Stellenwert beigemessen, auch wenn noch viele Lücken in der Verteidigung bestehen.

Befürchtungen der Führungskräfte eher diffus

Führungskräfte fürchten vor allem um ihre Systeme und Server sowie eine mehr oder weniger ungezielte Destruktionslust der Angreifer. Jedoch hat knapp ein Fünftel der Befragten kaum eine Idee zur Motivation der Kriminellen. Sie wissen also nicht, ob etwa Wissen gestohlen oder Systeme lahmgelegt werden sollen. Insgesamt gehen die meisten Studienteilnehmer davon aus, dass die größte Gefahr für die deutsche Wirtschaft darin liegt, dass betriebliches Know-how gestohlen wird. Derartige Risiken können nicht ignoriert werden – was allerdings bei nur 46 Prozent der Unternehmen zu einem starken Gefahrenbewusstsein geführt hat. Bei großen Unternehmen ist das Gefahrenbewusstsein schon deutlich stärker ausgebildet.

Risikofaktor Mensch – und Cloud

Unternehmenslenker werten menschliches Fehlverhalten als größte Gefahr für die IT-Sicherheit: drei Viertel sehen hier große Gefahren. Knapp die Hälfte hat Bedenken hinsichtlich der Nutzung mobiler Endgeräte – gleichzeitig wird dem Schutz mobiler Endgeräte ein geringerer Stellenwert eingeräumt als noch im letzten Jahr. Ebenfalls rund die Hälfte hat Vorbehalte gegenüber Cloud Computing, wobei das Misstrauen hier langfristig schwächer wird. Generell werden externe Cloud-Dienste bevorzugt. Selbst in der Gruppe der Skeptiker nutzen 28 Prozent die Cloud.

Klare Abwehrstrategien häufig nicht vorhanden

Wie können Unternehmen ihre sensiblen Bereiche schützen? Nur die Hälfte der Befragten sieht sich so gut wie möglich vorbereitet. Und auch bei den Vorbereiteten gibt es Anlass zur Skepsis: In jedem fünften Fall beschäftigt sich die Geschäftsleitung nur anlassbezogen oder gar nicht mit dem Thema. Zudem gibt es in jedem vierten Fall keinen Notfallplan für ein Angriffsszenario. »Jedes dritte Unternehmen hat keine klare Strategie, darunter auch solche, die sich gut vorbereitet wähnen. Obwohl die Ausgaben für die Sicherheit insgesamt gestiegen sind, ist der Status der Abwehrmaßnahmen eher ernüchternd«, bestätigt Prof. Dr. Renate Köcher vom Institut für Demoskopie Allensbach.

Handlungs- und Abstimmungsbedarf bei regulatorischen Vorgaben

Das seit 2015 geltende IT-Sicherheitsgesetz der Bundesregierung sowie der Deutsche Corporate Governance Kodex enthalten zahlreiche Vorgaben für Unternehmen. Diese umzusetzen, gehört über die IT-Abteilungen hinaus vor allem zu den Aufgaben der Unternehmensführung – einschließlich der Implementierung eines Risikomanagement-Systems. In rund einem Viertel der Betriebe jedoch befasst sich die Leitung sporadisch oder gar nicht mit dem Thema Cyber-Security, bei größeren Unternehmen immer noch ein Fünftel. Zudem halten nur 42 Prozent die Geschäftsleitung insgesamt für kompetent. Bei den vorgeblich »vorbereiteten« Unternehmen weiß nur die Hälfte überhaupt von regulatorischen Vorgaben, die sie betreffen. Unter allen Befragten sind es sogar gerade einmal 37 Prozent.

»Wer sich heute nicht schützt, sieht sich vielleicht morgen schon mit einem Hackerangriff mit ungeahnten Ausmaßen gegenüber. Es reicht nicht das Unternehmen nur durch technische Maßnahmen vor Cyber-Bedrohungen zu schützen. Vorschriften und Verhaltensrichtlinien müssen nicht nur erlassen, sondern auch gelebt werden. Dazu gehören die Entwicklung und Implementierung eines Risikomanagementsystems ebenso wie die Schulung von Mitarbeitern – und auch des Aufsichtsrats«, ergänzt Katrin Rohmann von Deloitte.

 

 

IT-Sicherheit: Was Unternehmen jetzt dringend tun sollten
Unternehmen sollten Schutzmaßnahmen nachziehen, klare Verantwortlichkeiten festlegen und die Mitarbeitenden sensibilisieren Die russische Offensive begann im digitalen Raum bereits einige Zeit vor dem Einmarsch in die Ukraine. »Während...
IT-Sicherheitslage in der Bundesrepublik Deutschland
»Die Lage der IT-Sicherheit in Deutschland 2021« ist Thema einer Unterrichtung durch die Bundesregierung. Danach war die IT-Sicherheitslage in Deutschland insgesamt im Berichtszeitraum von Juni 2020 bis Mai 2021 »angespannt bis kritisch«. Dies sei...
IKT-Sicherheit in Unternehmen
Jedes achte Unternehmen von IKT-Sicherheitsvorfällen betroffen  Im Jahr 2019 nutzten 93% der EU-Unternehmen mit 10 oder mehr Beschäftigten mindestens eine IKT-Sicherheitsmaßnahme, -Kontrolle oder ein IKT-Verfahren, um die Integrität,...

 

 

Die fünf meistgelesenen Artikel der letzten 30 Tage in dieser Kategorie.

 

.