Laut einer TÜV-Cybersecurity-Studie (VdTÜV) ist mehr als jedes zehnte Unternehmen in Deutschland in den letzten zwölf Monaten Opfer eines Cyberangriffs geworden. Bei rund zwei Prozent der Befragten war dies sogar mehrmals der Fall.
Foto: arda savasciogullari - shutterstock.com
Mehr als drei Viertel (77 Prozent) der befragten Unternehmen gab an, dass das Thema IT-Sicherheit für sie in den letzten fünf Jahren an Bedeutung gewonnen hat. Die Gründe dafür sind vielschichtig. So nannten 78 Prozent der Befragten die fortschreitende Digitalisierung. 41 Prozent berichteten von neuen Cyberangriffen und 29 Prozent von einem IT-Sicherheitsvorfall im eigenen Unternehmen, der zu einem Umdenken geführt hätte.
"Sehr viele Unternehmen nehmen Cyberangriffe nicht mehr als abstrakte Gefahr wahr, sondern sind direkt betroffen", sagt Dr. Michael Fübi, Verbandspräsident des TÜV. Erstaunlicherweise ruft die Wirtschaft den Gesetzgeber auf den Plan und wünscht sich einen stärkeren Rahmen. So stimmen 59 Prozent der Befragten zu, dass Regulierung durch den Gesetzgeber wichtig ist und zur Verbesserung der IT-Sicherheit von Unternehmen beiträgt. "Die Unternehmen geben ein überraschend starkes Votum für eine stärkere gesetzliche Regulierung der IT-Sicherheit in der Wirtschaft ab", kommentiert Fübi.
Finanzielle Schäden und Reputationsverlust sind die Folge
Gemäß der Studienergebnisse hatte jedes achte Unternehmen (13 Prozent) in den letzten 12 Monaten vor der Umfrage einen IT-Sicherheitsvorfall. So beklagte jedes vierte Unternehmen (26 Prozent) Opfer einer Phishing-Attacke geworden zu sein, bei der - zumeist per E-Mail - Malware in das Unternehmen eingeschleust wurde. Weitere 19 Prozent der betroffenen Unternehmen erlitten Angriffe mittels Ransomware, bei denen Computersysteme lahmgelegt und Lösegeld erpresst wurde.
Weitere Angriffsszenarien sind Man-in-the-middle-, Passwort- und Distributed-Denial-of-Service-Angriffe (DDoS). "Die Folgen sind Systemausfälle, eine geringere Produktivität und nicht zugängliche Dienste für Kunden - der Worst Case für jedes Unternehmen", sagte Fübi. Die Vorfälle führten zu finanziellen Schäden, aber häufig auch zu einem Reputationsverlust des Unternehmens oder zu anderen Wettbewerbsnachteilen. "Die Angriffslage bei den großen Unternehmen ist noch signifikant größer als bei den kleinen", fügt Fübi hinzu.
Erst kürzlich hat eine DDoS-Attacke den Forschungs- und Lehrbetrieb der Christian-Albrechts-Universität zu Kiel über mehrere Wochen erheblich gestört. So seien unter anderem der Zugriff auf Internet, E-Mails und Datenbanken nur noch eingeschränkt möglich gewesen, ebenso der Abruf von Studienunterlagen. "Solche Angriffe sind zwar nichts Neues für uns, aber die Heftigkeit und Länge dieser Aktion waren doch sehr ungewöhnlich", erklärte Universitätssprecher Boris Pawlowski gegenüber dem Spiegel.
Hohe Risikobereitschaft
Erstaunlicherweise sind viele Unternehmen trotz steigender Gefahren gewillt, Risiken bewusst in Kauf zu nehmen. Dies sei im produzierenden Gewerbe besonders ausgeprägt. Obgleich gerade dort aufgrund zunehmender Vernetzung und der Verzahnung von Wertschöpfungsketten (Industrie 4.0) die Abhängigkeiten hinsichtlich der Verfügbarkeit von IT-Systemen exponentiell steigen und sich Ausfälle unmittelbar auf den Betriebsablauf auswirken können. Dem gegenüber sei das Sicherheitsbewusstsein in anderen Branchen, beispielsweise im Gesundheitssektor, dem Bauwesen oder den Bereichen Energie und Verkehr, höher. Auch hier hat rund ein Viertel der Unternehmen berichtet, sich Risiken bewusst auszusetzen.
Aus Sicht der Sicherheitsbehörden sei der Handlungsbedarf offenkundig. "Es geht darum, dass die Qualität der Cyberbedrohungen zugenommen hat", so Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnologie (BSI), bei der Präsentation der Studienergebnisse. "Ransomware wie zum Beispiel Emotet ist eine der großen Bedrohungen für die Wirtschaft in unserem Land. Angriffe auf Regierungsnetze konnten wir als BSI erfolgreich abwehren", fügte Schönbohm hinzu. Als Beispiele erfolgreicher Cyberangriffe verwies er auf Krankenhäuser in Rheinland-Pfalz und im Saarland an, bei denen sich kürzlich erst Schadsoftware im IT-Netz großflächig ausgebreitet hatte. Ebenso erwähnte Schönbohm vorinstallierten Schadcode auf diversen Smartphones, die das Unternehmen im Sommer hätte nachweisen können.
Künstliche Intelligenz im Einsatz gegen Cyberkriminalität
Immerhin hätte knapp ein Drittel (32 Prozent) der Unternehmen ihr Budget für IT-Sicherheit in den vergangenen zwei Jahren erhöht und 17 Prozent haben zusätzliche IT-Mitarbeiter für diesen Zweck eingestellt. Allerdings führt nur rund ein Viertel der Unternehmen Notfallübungen durch. Aus Sicht des TÜV-Verbandes sei dies unzureichend. "Wir wissen heute, dass selbst die besten Schutzmaßnahmen nicht ausreichen, um Cyberangriffe zu verhindern", sagte Fübi. "Organisationen müssen sich auch darauf konzentrieren, erfolgreiche Cyberangriffe möglichst schnell zu erkennen und in den Griff zu bekommen."
Für die Angriffserkennung findet künstliche Intelligenz (KI) langsam Einzug in den Unternehmen. Laut den Studienergebnissen setzt bislang jedes achte Unternehmen (12 Prozent) künstliche Intelligenz zum Schutz ein. Bei Unternehmen ab 250 Mitarbeitern sind es sogar 38 Prozent. Dabei geht es den Anwendern vor allem darum Schadsoftware (90 Prozent) oder Anomalien im Datenverkehr (70 Prozent) zu erkennen.
Allerdings sind sich nur relativ wenige Unternehmen dieser Möglichkeiten bewusst. Nur 29 Prozent stimmen der Aussage zu, dass sich ihr Unternehmen mit Hilfe von künstlicher Intelligenz besser schützen kann. Dagegen sehen rund zwei Drittel (63 Prozent) eine wachsende Bedrohung durch KI, wenn diese durch Kriminelle als Cyberwaffe missbraucht wird. Mittels KI lassen sich Attacken beispielsweise automatisieren, personalisieren und stetig selbstlernend verbessern. Doch richtig eingesetzt, lässt sich durch KI auch der Schutz erheblich verbessern. Menschliches Versagen in der Erkennung und der Abwehr von Bedrohungen soll damit ausgeschlossen und Prozesse automatisiert werden, um die Geschwindigkeit zu erhöhen
Fazit
Das Verhältnis zwischen Unternehmen und dem Thema IT-Sicherheit bleibt laut der Studie derweil zwiegespalten. Zwar gibt die Mehrheit der Befragten an, dass das Thema eine große Rolle spiele und eine ernstzunehmende Gefahr für die Wirtschaft und Gesellschaft sei. Gleichzeitig nimmt ein Drittel (32 Prozent) der befragten Unternehmen bestimmte Risiken wissentlich in Kauf. Mitunter hoffen die Unternehmen, dass der Kelch an ihnen vorbei ginge. Handlungsdruck entsteht vielerorts erst dann, wenn es einen konkreten Sicherheitsvorfall gab. Gleichwohl ist das Kind dann zu meist schon in den Brunnen gefallen und Schaden entstanden.
Laut VdTÜV sehen die Unternehmen vor allem die Politik in der Pflicht. Die Studie empfiehlt daher auch, "in kritischen Bereichen der Wirtschaft durch gesetzliche Regelungen Mindeststandards für die IT-Sicherheit vorzugeben, an denen sich alle Unternehmen orientieren können". (jd)