IT-Experten sind sicher: Gefahr von Cyberattacken auf Unternehmen ist so groß wie noch nie

• Fast sieben von zehn Befragten (69 Prozent) schätzen Gefahr von Hackerattacken als hoch ein 
• Nahezu alle Führungskräfte aus den Bereichen IT und Datenschutz (99 Prozent) befürchten Zunahme von Cyberattacken
• Russland und China mit dem größten Gefährdungspotenzial
• Große Hoffnungen auf Künstliche Intelligenz im Kampf gegen digitale Bedrohungen

IT-Verantwortliche bewerten das Risiko, dass ihr Unternehmen Opfer einer Cyberattacke wird, so hoch wie nie zuvor: Fast sieben von zehn Befragten (69 Prozent) befürchten laut einer aktuellen EY-Studie Hackerangriffe und bewerten die Gefahr dabei als „eher hoch“ bis „sehr hoch“. Besonders große Sorgen machen sich die Befragten in den Bereichen Technologie, Medien und Telekommunikation (82 Prozent), Energie und Metallverarbeitung (80 Prozent), Pharma und Gesundheit sowie Bau und Immobilien (jeweils 71 Prozent).

Je größer das Unternehmen, desto höher wird auch das Risiko durch Cyberattacken bewertet: Am höchsten ist es laut Einschätzung der Führungskräfte bei Konzernen mit Jahresumsätzen von mehr als 50 Millionen Euro (74 Prozent). Aber auch bei Firmen mit einem Jahresumsatz von weniger als zehn Millionen Euro sieht mehr als die Hälfte der Befragten (59 Prozent) ein „eher hohes“ bis „sehr hohes“ Gefährdungspotenzial.

Die Frage, ob das Risiko, Opfer einer Cyberattacke zu werden, in den vergangenen zwei Jahren zugenommen hat, beantworten fast drei Viertel der Befragten (71 Prozent) mit „Ja“. Noch deutlicher fällt die Antwort aus, wenn es darum geht, wie sich die Bedeutung von Cybersicherheit entwickeln wird: 99 Prozent der befragten Führungskräfte gehen davon aus, dass die Zahl der Cyberattacken und die Bedeutung des Themas Datenklau – beziehungsweise dessen Vermeidung – steigen werden.

Das sind Ergebnisse der Datenklaustudie der Prüfungs- und Beratungsgesellschaft EY, für die 501 Geschäftsführerinnen und Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz in deutschen Unternehmen befragt wurden. Die Studie wird seit 2011 alle zwei Jahre von EY durchgeführt.

Bodo Meseke, Partner und Leiter Cyber Response Services bei EY: „Deutsch-lands Unternehmen kämpfen aktuell mit zahlreichen wirtschaftlichen und geopolitischen Herausforderungen. Der Schutz vor Cyberangriffen kann dabei leicht aus dem Blickfeld geraten – ein Fehler, der jede Firma sehr teuer zu stehen kommen kann. Dies liegt auch daran, dass nahezu alle Unternehmen in den vergangenen Jahren deutlich digitaler geworden sind. Ihre Systeme und Maschinen sind vernetzter, und interne Abläufe wurden durch verschiedenste Programme optimiert. Mit den Entwicklungen rund um Künstliche Intelligenz steht die nächste digitale Mammutaufgabe bereits bevor. Cyberkriminelle wittern hier ihre Chance und schlagen leider immer wieder erfolgreich zu. Dabei haben Unternehmen im Schadensfall viel zu verlieren: Gehen Geschäftsgeheimnisse und zu schützende Kontaktdaten verloren, ist auch das Vertrauen der Kundinnen, Kunden und Geschäftspartner weg. Deswegen sollte kein Unternehmen das Risiko unterschätzen – egal ob Weltkonzern oder Mittelständler. Alle können Opfer von Cyberkriminellen werden.“

Russland und China mit größtem Gefährdungspotenzial

Aktuell besonders gefürchtet sind Angriffe des organisierten Verbrechens (76 Prozent), von sogenannten „Hacktivisten“ (46 Prozent) – wie beispielsweise dem Hackerkollektiv „Anonymous“ – und ausländischen Geheimdiensten (38 Prozent). Geht es um die Herkunft der Angriffe, sprechen die Befragten zwei Ländern das mit Abstand größte Gefährdungspotenzial zu: Russland (76 Prozent, plus zwei Prozentpunkte im Vergleich zum Jahr 2023) und China (62 Prozent, plus drei Prozentpunkte im Vergleich zum Jahr 2023) werden als die risikoreichsten Länder eingestuft.

Tobias Schumacher, Partner und Leiter der Forensic & Integrity Services bei EY in Deutschland, rät allerdings: „Die geopolitischen Spannungen bleiben nicht nur wegen des weiterhin andauernden russischen Angriffskriegs in der Ukraine hoch. Europäische Unternehmen müssen sich den neuen sicherheitspolitischen Realitäten stellen und sich dabei gegen Gefahren aus allen Richtungen absichern.“ Laut Schumacher wäre es falsch, nur eine oder zwei Regionen als Ausgangspunkt von Cyberattacken zu identifizieren: „Auch in zahlreichen anderen Ländern, wie beispielsweise Nordkorea, sind Gruppen aktiv, die es auf sensible Unternehmensdaten abgesehen haben.“

In diesem Kontext spielt auch die NIS2-Richtlinie eine wichtige Rolle, so Lutz Naake, Partner Technology Risk bei EY: „Sie legt Sicherheitsanforderungen für Unternehmen fest, um ihre kritischen IT- und OT-Systeme zu schützen und soll noch in diesem Kalenderjahr in deutsches Gesetz überführt werden. Trotzdem ist aktuell nur jedes siebte Unternehmen laut eigener Aussage vollständig auf die Anforderungen vorbereitet. Positiv ist jedoch, dass über die Hälfte der Unternehmen (53 Prozent) bereits Schulungen und Sensibilisierungsmaßnahmen für ihre Mitarbeiter umgesetzt hat. Die ersten Schritte sind gemacht, aber der Weg ist noch lang.“

Wettrüsten zwischen Kriminellen und Konzernsicherheit

Auf den ersten Blick überraschend: Nur jede und jeder Dritte (33 Prozent) gibt an, in den vergangenen beiden Jahren konkrete Hinweise auf Cyberattacken im eigenen Unternehmen erhalten zu haben. Damit ist der Anteil so niedrig wie seit 2015 nicht mehr. Meseke: „Zum einen müssen wir konstatieren: Nur wenige Unternehmen geben zu, Opfer von Hacker-Attacken geworden zu sein. Oft werden die Kundinnen und Kunden bzw. die Öffentlichkeit erst dann informiert, wenn es sich gar nicht mehr vermeiden lässt. Zum anderen: Viele Unternehmen sind in den vergangenen Jahren in puncto Sicherheitsmaßnahmen deutlich sensibilisiert worden, haben mehr in den digitalen Schutz investiert und sich sowie ihre Angestellten besser auf mögliche Angriffe vorbereitet.“ Meseke vergleicht das Vorgehen von Cyberkriminellen auf der einen und der Konzernsicherheit auf der anderen Seite aber mit einem dauerhaften Wettrüsten: „Wird die eine der beiden Seiten stärker, zieht die andere nach.“

Hier müsse, so Meseke, bei den Unternehmen – neben einer fähigen Sicherheitsabteilung an sich – vor allem die Aus- und Weiterbildung der eigenen Mitarbeiterschaft im Fokus stehen: „Krisenpläne, die regelmäßig eingeübt werden und den Angestellten bekannt sind, können helfen, den Schaden im Ernstfall zu be-grenzen. Primär bleibt aber die Reaktionsschnelligkeit der wichtigste Faktor bei der erfolgreichen Abwehr von Cyberangriffen.“ Am häufigsten betroffener Be-reich von Cyberattacken war in den vergangenen zwei Jahren das Management beziehungsweise die Geschäftsleitung: Vier von zehn Betroffenen (41 Prozent) geben dies an, was einem Anstieg von neun Prozentpunkten im Vergleich zum Jahr 2023 entspricht. Zurückgegangen sind laut Umfrageergebnis dagegen die Angriffe auf die Finanzabteilungen. Marco Beck, Senior Manager Forensic & Integrity Services bei EY: Die zunehmende Fokussierung auf die Unternehmensleitung in der Cybersicherheit ist ein deutliches Zeichen dafür, dass Angreifer strategisch vorgehen und die Entscheidungsträger ins Visier nehmen, um maximalen Einfluss auf die Organisation zu gewinnen.

Große Hoffnungen auf KI im Kampf gegen Cybercrime

Wie in vielen anderen Bereichen sind auch bei der Datensicherheit große Hoffnungen mit Künstlicher Intelligenz (KI) verknüpft. Fast die Hälfte der Befragten (49 Prozent) sieht hohes oder sogar sehr hohes Potenzial für die Technologie, wenn es um den digitalen Schutz des eigenen Unternehmens geht. Allerdings schätzen 34 Prozent der Befragten das Risiko, dass KI-basierte Sicherheitssysteme durch Cyberkriminelle manipuliert werden könnten, als hoch ein. Knapp jedes dritte Unternehmen (31 Prozent) nutzt bereits KI-basierte Lösungen zur Erkennung von Cyberangriffen. Fast ebenso viele Befragte (29 Prozent) geben an, dass die größte Herausforderung bei der Implementierung die Kosten sind. Schumacher: „Auch mit noch besseren Verteidigungsmöglichkeiten unterstützt durch Künstliche Intelligenz kann es keine absolute Sicherheit vor einem digitalen Angriff auf das eigene Unternehmen, dessen Geschäftsgeheimnisse und das vorhandene Know-how geben. Durch individuelle Sicherheitslösungen und einen regelmäßigen Austausch mit IT-Sicherheitsexperten können sich Unternehmen up to date halten und den Hackern einen Schritt voraus sein. Aufgrund der rasanten technischen Entwicklungen bedeutet es de facto einen Rückschritt und damit ein erhöhtes Risiko, wenn man die Sicherheitsmaßnahmen nicht ständig weiterentwickelt und auf den neusten Stand bringt.“

Hier können Sie die Studie kostenlos bestellen.

- Ende -

EY im Überblick

EY* ist eine der großen deutschen Prüfungs- und Beratungsorganisationen. In der Steuerberatung ist EY deutscher Marktführer. EY beschäftigt mehr als 11.100 Mitarbeitende an 18 Standorten. Gemeinsam mit den rund 395.000 Mitarbeitenden der internationalen EY-Organisation betreut EY Mandanten überall auf der Welt.

EY bietet sowohl großen als auch mittelständischen Unternehmen ein umfangreiches Portfolio von Dienstleistungen an: Wirtschaftsprüfung, Steuerberatung, Rechtsberatung, Strategy and Transactions, Consulting und Immobilienberatung.

*Der Name EY bezieht sich in diesem Profil auf alle deutschen Mitgliedsunternehmen von Ernst & Young Global Limited (EYG), einer Gesellschaft mit beschränkter Haftung nach englischem Recht. Jedes EYG Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen.