Gut jedes achte Unternehmen (13 Prozent) hatte in den vergangenen zwölf Monaten vor der Befragung einen IT-Sicherheitsvorfall. Bei rund zwei Prozent der Befragten war das in dem Zeitraum sogar mehrfach der Fall, wie aus einer in Berlin vorgestellten Untersuchung des TÜV-Verbands (VdTÜV) hervorgeht. "Die Angriffslage bei den großen Unternehmen ist noch signifikant größer als bei den kleinen", sagte Verbandspräsident Michael Fübi.
Hitliste der Angriffe
Jedes vierte betroffene Unternehmen (26 Prozent) berichtet von Phishing-Angriffen, bei denen – in der Regel per E-Mail – Schadsoftware in die Organisation eingeschleust wird. An zweiter Stelle steht Ransomware (19 Prozent), mit deren Hilfe Cyberkriminelle die IT-Systeme einer Organisation lahmlegen und die Unternehmen dann erpressen. Ein weiteres weit verbreitetes Phänomen mit neun Prozent ist Social Engineering. Mitarbeiter werden gezielt manipuliert, um sich Zugang zu den IT-Systemen des Unternehmens zu verschaffen.
Weitere Angriffsszenarien sind Man-in-the-middle-, Passwort- und DDoS-Angriffe. "Die Folgen sind Systemausfälle, eine geringere Produktivität und nicht zugängliche Dienste für Kunden – der Worstcase für jedes Unternehmen", sagte Fübi. Die Vorfälle führten zu finanziellen Schäden, aber häufig auch zu einem Schaden für die Reputation des Unternehmens oder zu anderen Wettbewerbsnachteilen. Mehr als jedes zehnte Unternehmen in Deutschland war einer Umfrage zufolge in den vergangenen zwölf Monaten Opfer eines Cyber-Angriffs.
Qualität der Bedrohung nimmt zu
"Ransomware wie zum Beispiel Emotet ist eine der großen Bedrohungen für die Wirtschaft in unserem Land", sagte der Präsident des Bundesamts für Sicherheit in der Informationstechnologie (BSI), Arne Schönbohm, bei der Präsentation. Angriffe auf Regierungsnetze habe seine Behörde erfolgreich abwehren können. Viele Betriebe und Unternehmen müssen sich jedoch mit der Verschlüsselung ihrer Daten und einer anschließenden Lösegelderpressung auseinandersetzen.
Und weiter: "Es geht darum, dass die Qualität der Cyberbedrohungen zugenommen hat", so Schönbohm. Er erinnerte an die Cyber-Attacke auf Krankenhäuser in Rheinland-Pfalz und im Saarland im Sommer, bei der das komplette Netzwerk des Krankenhausverbundes von Schadsoftware befallen wurde. Schönbohm erwähnte auch vorinstallierte Schadsoftware auf mehreren Smartphones, die das Unternehmen im Sommer nachgewiesen hatte.
Fast die Hälfte will höhere gesetzliche Anforderungen
Für die Umfrage wurden IT- und Führungsleute aus 503 Unternehmen befragt. Davon beschäftigten rund 80 Prozent zwischen zehn und 49 Mitarbeiter. Gefragt wurde nach dem Stand der IT-Sicherheit, der Relevanz des Themas für die Unternehmen sowie unter anderem zu den geltenden Normen und Standards.
So würde fast jedes zweite Unternehmen in Deutschland (47 Prozent) höhere gesetzliche Anforderungen an die IT-Sicherheit in der Wirtschaft fordern. Die wichtigsten Gründe für den Wunsch nach strengeren staatlichen Vorgaben seien eigene Erfahrungen mit Cyberkriminalität und die digitale Transformation. Drei von vier Unternehmen (77 Prozent) gaben dabei an, dass die Bedeutung der IT-Sicherheit in den vergangenen fünf Jahren für sie gestiegen sei.
Direkte Betroffenheit sorgt für Umdenken
Als Gründe für das Umdenken nennen 78 Prozent der Befragten die zunehmende Digitalisierung, 41 Prozent Berichte über immer neue Cyberangriffe und 29 Prozent einen IT-Sicherheitsvorfall im eigenen Unternehmen. "Sehr viele Unternehmen nehmen Cyberangriffe nicht mehr als abstrakte Gefahr wahr, sondern sind direkt betroffen", kommentierte Fübi die Ergebnisse. "Mit dem geplanten IT-Sicherheitsgesetz 2.0 in Deutschland und dem Cybersecurity Act in der EU stehen Instrumente zur Verfügung, mit denen die Politik den Schutz vor Cyberangriffen in der Wirtschaft wirksam verbessern kann."
Maßnahmen für verbesserte IT-Sicherheit
In den vergangenen 24 Monaten haben die Unternehmen laut Umfrage zahlreiche Maßnahmen ergriffen, um ihre IT-Sicherheit zu verbessern. 71 Prozent lassen sich von externen Sicherheitsspezialisten beraten. Zwei von drei Unternehmen (64 Prozent) haben neue Software für IT-Sicherheit eingeführt und 60 Prozent Schulungen für die Belegschaft durchgeführt. Immerhin fast jedes dritte Unternehmen (32 Prozent) hat sein Budget für IT-Sicherheit in den vergangenen zwei Jahren erhöht und 17 Prozent zusätzliche IT-Mitarbeiter für diesen Zweck eingestellt.
Nur jedes vierte Unternehmen hat Notfallübungen durchgeführt. Das ist aus Sicht des TÜV-Verbands viel zu wenig. "Wir wissen heute, dass selbst die besten Schutzmaßnahmen nicht ausreichen, um Cyberangriffe zu verhindern", sagte Fübi. "Organisationen müssen sich auch darauf konzentrieren, erfolgreiche Cyberangriffe möglichst schnell zu erkennen und in den Griff zu bekommen." Dabei helfen Notfallübungen sowie Penetrationstests und spezielle Software für die Erkennung von Angriffen, so seine Empfehlung.
Schon jeder Achte nutzt KI zu seinem Schutz
Bei Systemen für die Angriffserkennung komme häufig künstliche Intelligenz (KI) zum Einsatz. Laut Umfrage nutzt bereits jedes achte Unternehmen (zwölf Prozent) künstliche Intelligenz für seinen eigenen Schutz. Unter den großen Unternehmen ab 250 Mitarbeitern sind es sogar 38 Prozent. Die Unternehmen nutzen KI derzeit vor allem, um Schad-Software (90 Prozent) oder Anomalien in Datenströmen (70 Prozent) zu erkennen.
Eine weitere Anwendung sind moderne Authentifizierungsverfahren, zum Beispiel Gesichts- oder Spracherkennung, die 37 Prozent der KI-Nutzer einsetzen. Allerdings sind sich nur relativ wenige Unternehmen dieser Möglichkeiten bewusst. Nur 29 Prozent stimmen der Aussage zu, dass sich ihr Unternehmen mit Hilfe von künstlicher Intelligenz besser schützen könne. Dagegen sagen fast zwei Drittel (63 Prozent), dass KI in den Händen von Cyberkriminellen eine steigende Gefahr für die IT-Sicherheit ihres Unternehmens darstellt. Mit KI lassen sich Cyberangriffe zum Beispiel automatisieren und personalisieren.
Normen und Standards sind wichtig
Auch Normen und Standards wie DIN-ISO 27001 oder der IT-Grundschutz des BSI spielen bei den Befragten eine wichtige Rolle für die IT-Sicherheit. "Normen und Standards geben Regeln und Verfahren vor, wie eine Organisation digitale Sicherheit in der Praxis gewährleisten kann", sagte Fübi. Unternehmen könnten sich dann von einer unabhängigen Stelle mit einem Zertifikat bestätigen lassen, ob sie eine bestimmte Norm einhalten. Damit dokumentieren sie – zum Beispiel gegenüber Kunden oder Zulieferern – dass ihre IT-Systeme bestmöglich gesichert sind. Zwei von drei Unternehmen orientieren sich bereits an Normen und Standards oder erfüllen diese sogar vollständig (64 Prozent).
Trotz der wachsenden Gefahren gaben dennoch auch rund ein Drittel der Unternehmen an, bei der IT-Sicherheit bewusst Risiken in Kauf zu nehmen. Am höchsten sei diese Bereitschaft im produzierenden Gewerbe. Im Gesundheitswesen sowie den Branchen Bau, Energie und Verkehr liege die Quote etwas geringer, jedoch gab auch hier jedes vierte Unternehmen an, Risiken in Kauf zu nehmen, so ein weiteres Ergebnis der Umfrage. (sg)
