- Jedes dritte Unternehmen ist trotzdem laut eigener Einschätzung nicht ausreichend geschützt
- Größte Gefahr geht von organisierter Kriminalität aus, auch Attacken durch so genannte „Hacktivisten“ nehmen zu
- Unternehmen fürchten vor allem Angriffe aus Russland
- Verstärkte Arbeit im Homeoffice erhöht Anfälligkeit für Cyberangriffe
Cyberattacken können mit einer einzigen E-Mail beginnen und die darin verborgene Malware ganze Abteilungen oder sogar komplette Konzerne lahmlegen. Besorgniserregend: Nie schätzten mit dem Thema betraute Führungskräfte in Deutschland das Risiko digitaler Angriffe auf ihr eigenes Unternehmen so hoch ein wie aktuell. Mehr als zwei von drei Managerinnen und Managern (68 Prozent) bewerten die Gefahr, Opfer einer Cyberattacke zu werden als „eher hoch“ bis „sehr hoch“ – letztere Kategorie macht fast ein Fünftel aller von EY befragten Führungskräfte (18 Prozent) aus.
Im Vergleich zur vorangegangenen Befragung im Jahr 2021 ist der Anteil derer, die die Gefährdung als „eher hoch“ oder „sehr hoch“ bezeichnen, um fünf Prozentpunkte gestiegen. Aktuell besonders alarmiert sind Unternehmen der Technologie-, Medien- und Telekommunikationsbranche (77 Prozent), der Pharma- und Gesundheitsindustrie sowie Automobilhersteller (beide 75 Prozent).
Die Frage, ob das Risiko, Opfer einer Cyberattacke zu werden, in den vergangenen zwei Jahren zugenommen hat, beantworten fast drei Viertel der Befragten (72 Prozent) mit „Ja“. Kleiner wird das Problem nach Einschätzung der Befragten nicht werden, im Gegenteil: Alle befragten Führungskräfte gehen davon aus, dass die Zahl der Cyberattacken und die Bedeutung des Themas Datenklau – beziehungsweise dessen Vermeidung – steigen wird.
Das sind Ergebnisse der Datenklaustudie der Prüfungs- und Beratungsgesellschaft EY, für die Geschäftsführerinnen und Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von mehr als 500 deutschen Unternehmen befragt wurden. Die Studie wird seit 2011 alle zwei Jahre von EY, Fachbereich Forensic & Integrity Services, durchgeführt.
Bodo Meseke, Partner und Leiter Cyber Response Services bei EY: „Kriminelle attackieren täglich die IT-Infrastruktur von Unternehmen und Institutionen in Deutschland, suchen nach Schwächen und Lücken. Viel zu häufig finden die Verbrecher diese dann auch im virtuellen Raum – mit dramatischen Folgen für die Firma, die Mitarbeitenden sowie Kundinnen und Kunden. Allein hierzulande sprechen wir über einen dreistelligen Milliardenschaden durch Cyberkriminalität – und das jedes Jahr. Folgekosten, wie durch den Imageverlust nach einer erfolgreichen Attacke, sind dabei noch nicht einmal einbezogen. Wir haben es dadurch ganz klar mit einem fortwährenden digitalen Wettrüsten mit Kriminellen, Hacktivisten und sogar ausländischen Geheimdiensten zu tun. Und diese Gruppen verfügen häufig über ganz erhebliche technische und finanzielle Ressourcen.“
Gefahr erkannt – Gefahr gebannt? Trotz des offensichtlich vorhandenen Risikobewusstseins sagt jeder dritte Befragte (33 Prozent), dass das eigene Unternehmen nicht ausreichend vor digitalen Attacken geschützt ist. Im Vergleich zu den Vorjahren ist der Anteil stetig gestiegen, von 19 Prozent im Jahr 2019 auf 27 Prozent im Jahr 2021.
Fast jedes dritte Unternehmen (30 Prozent) hat zudem entweder keinen Krisenplan als Reaktion auf Hackattacken in der Schublade oder den mit dem Thema Cybersicherheit beauftragten Führungskräften ist ein solcher Plan nicht bekannt. Eine Versicherung gegen digitale Risiken wie Angriffe von Hackern hat weniger als die Hälfte der Unternehmen (46 Prozent).
Thomas Koch, Partner bei Forensic & Integrity Services und Leiter des Fachbereichs Digitale Forensik & Incident Response (DFIR) bei EY in Deutschland: „Absolute Sicherheit kann es in keinem Bereich eines Unternehmens geben, auch digital nicht. Trotzdem müssen die eigenen Geschäftsgeheimnisse und das erarbeitete Know-how bestmöglich vor fremden Zugriffen geschützt werden. Dass sich inzwischen nahezu alle Unternehmen, unabhängig von der Branche, der Gefahr durch Cyberangriffe bewusst sind, ist ein sehr gutes Zeichen. Dass trotzdem ein Drittel aller Firmen sagt, nicht ausreichend gegen Phishing-Mails, Malware und andere Angriffsmöglichkeiten geschützt zu sein, sollte dagegen durchaus Sorge bereiten.“ Meseke ergänzt: „Möglichst genaue Krisenpläne, die regelmäßig eingeübt werden, können helfen, den Schaden im Ernstfall zu begrenzen. Primär bleibt aber die Reaktionsschnelligkeit der wichtigste Faktor bei der erfolgreichen Abwehr von Cyberangriffen.“
Unternehmen fürchten am meisten das organisierte Verbrechen – und Angriffe aus Russland
Insbesondere das organisierte Verbrechen stellt aus Sicht der befragten Führungskräfte eine große Gefahr dar: Fast drei Viertel der Managerinnen und Manager (73 Prozent) geht von einem hohen Risiko durch mafiöse oder zumindest mafiaähnliche Strukturen und Organisationen oder auch Clankriminalität aus. Gegenüber den früheren Befragungen ist der Anteil dieser Gruppen damit noch einmal gestiegen: 2019 gaben 50 Prozent diese Tätergruppe als Risikofaktor an, vor zwei Jahren waren es 68 Prozent. Weitere Bedrohungsfaktoren sind aus Expertensicht darüber hinaus sogenannte „Hacktivisten“ – wie beispielsweise das Hackerkollektiv „Anonymous“. Fast jeder zweite Befragte (47 Prozent) sagt dies inzwischen. Auch ausländische Geheimdienste (36 Prozent) stellen aus Sicht der Führungskräfte ein deutlich größeres Risiko als noch vor zwei Jahren (30 Prozent) dar.
Der Großteil der Befragten nennt vor allem zwei Weltregionen, wenn es um mögliche Angriffe auf die eigene IT-Infrastruktur geht: Russland und China. Das Gefährdungspotential Russlands ist dabei aus Sicht der IT-Verantwortlichen im Vergleich zur Erhebung vor zwei Jahren stark gestiegen – von 56 auf 74 Prozent. Die mögliche Bedrohungslage durch Angriffe aus China bewerten die IT-Verantwortlichen in den Unternehmen mit 59 Prozent genauso groß wie 2021. Sicherlich sind diese Antworten auch geprägt durch die aktuelle weltpolitische Lage und die so auch manchmal subjektive Wahrnehmung der Bedrohung; ein Trend lässt sich aber dennoch anhand konkreter Zwischenfälle ablesen.
Meseke: „In den vergangenen Jahren haben Cyberattacken, die staatlich geduldet oder sogar von Ländern gestützt wurden, deutlich zugenommen. Das ist auch auf gestiegene geopolitische Spannungen zurückzuführen. Ein ganzer Staat gegen die Sicherheitsabteilung einer einzigen Firma – dem haben viele Unternehmen allein wenig entgegenzusetzen.“ Dass externe Experten hier zusätzliche Sicherheit bieten können, hat mehr als die Hälfte der befragten Unternehmen erkannt: Bei 55 Prozent der Firmen kümmern sich Dienstleister von außen entweder zusätzlich oder allein um den Schutz sensitiver Informationen und Daten. Dies biete oftmals neue Blickwinkel, die vorhandene Schwachstellen aufdecken können, sagt Meseke und ergänzt: „Auch die eigenen Mitarbeitenden sollten regelmäßig zum Thema Datensicherheit geschult werden. Denn jeder von ihnen kann Opfer einer Cyberattacke werden.“ Dabei ist laut Befragung unerheblich, ob die Arbeit aus dem Büro oder dem Homeoffice stattfindet: Nur jeder sechste Befragte (16 Prozent) sagt, dass sich die Anzahl der Angriffe auf ihr Unternehmen durch die großflächige Nutzung von Heimarbeit erhöht habe.
Die Ziele der Hacker: Über IT-Systeme an Finanz- und Rechnungswesen
Fragt man die mit IT-Sicherheit betrauten Führungskräfte, gibt nur ein kleiner Teil konkrete Cyberangriffe auf das eigene Unternehmen zu: 37 Prozent der Befragten gaben an, bereits mindestens einmal digital attackiert worden zu sein. Ziel der Angreifer ist am häufigsten das Finanz- und Rechnungswesen: 42 Prozent der mit dem Thema vertrauten Führungskräfte gaben an, dass hier konkrete kriminelle Handlungen stattfanden. Dahinter folgen Angriffe auf Vertrieb (37 Prozent) und das Management (32 Prozent). Am häufigsten nutzten die Kriminellen hierbei die IT-Systeme direkt (53 Prozent) oder störten diese (25 Prozent).
Koch: „Bei umsatzstarken Konzern erhoffen sich Kriminelle eine hohe finanzielle Beute oder zumindest maximale Aufmerksamkeit, bei kleineren Unternehmen sind die Sicherheitsmechanismen oft auf einem niedrigen Level – und werden von Angreifern als leichtes Ziel gesehen. Schließlich hat jede Firma etwas Wichtiges zu verlieren: Neben Geld und Geschäftsgeheimnissen können das auch die Daten der Kunden oder die Reputation sein.“
Die Studie können Sie hier heunterladen.
