Jedes zweite Unternehmen in Deutschland ist in den vergangenen zwei Jahren Ziel eines Cyber-Angriffs gewesen. Dennoch bleibt bei mehr als der Hälfte der Unternehmen eine vollumfängliche Risikobetrachtung aus. Auch die Unterstützung durch Behörden wird nicht in vollem Ausmaß genutzt. Zu diesen Ergebnissen kommt der Cyber-Security-Risk-Report 2021, den die Management- und IT-Beratung MHP in Kooperation mit dem Landeskriminalamt Baden-Württemberg nun veröffentlicht hat. Hierzu wurden mithilfe qualitativer Experteninterviews und einer quantitativen Befragung von 314 Teilnehmenden aus unterschiedlichsten Unternehmen und Wirtschaftsbereichen Erkenntnisse zu den etablierten Cyber-Security-Maßnahmen gewonnen. Daraus haben die Studienautoren Optimierungspotenziale abgeleitet, die in acht Handlungsempfehlungen münden.
Andreas Henkel, Associated Partner und Focus Topic Lead Cyber Security bei MHP: „Wir haben den Report in die drei Cluster Bedrohungsszenarien, reaktive Vorfallsbehandlung und präventive Risikobehandlung unterteilt, um einen guten strukturierten Überblick zur aktuellen Lage der Cyber-Security zu erhalten. Mithilfe dieser umfassenden Betrachtung und den Handlungsempfehlungen sollen das Risikobewusstsein gesteigert und gleichzeitig praktische Impulse für eine bessere Prävention gegeben werden.“
Bedrohungslage: Jedes dritte Unternehmen hat Schaden in Millionenhöhe
Die Auswirkungen eines Cyber-Angriffs auf Unternehmen sind enorm: Bei 40 Prozent aller Vorfälle, die einen Schaden nach sich zogen, handelte es sich um den Diebstahl von Betriebs-, Lieferanten- oder Kundendaten. Jedes dritte betroffene Unternehmen hatte einen Schaden in Millionenhöhe zu beklagen.
Hacker nutzten Schwachstellen aus, um an begehrte Daten zu gelangen. Kommunikationsdaten waren dabei in mehr als der Hälfte der Vorfälle (54 %) Ziel eines Angriffs. Unternehmensspezifische Finanzkennzahlen wurden in 39 Prozent der Vorfälle, Verwaltungs- und Personaldaten in 34 Prozent der Vorfälle attackiert. Diese drei Datenkategorien werden vielleicht gerade deshalb von den Unternehmen priorisiert geschützt. Weniger im Fokus von IT-sicherheitsrelevanten Vorfällen sind Daten zur Unternehmensstrategie (33 %) sowie Produktions-, Logistik- und Produktdaten (29 %), die knapp bei jedem dritten Angriff ein Ziel darstellten: Sie zählten zugleich zu den weniger schützenswerten Daten – laut der Befragung kommen sie erst an sechster und siebter Stelle der Priorität in den Unternehmen. Hier besteht demnach Optimierungsbedarf.
Jedes zweite Unternehmen in Deutschland war in den vergangenen zwei Jahren von einem Cyber-Angriff betroffen. Dabei wurden vor allem Betriebs-, Lieferanten- oder Kundendaten gestohlen.
Andreas Stenger, Präsident des Landeskriminalamts Baden-Württemberg: „Ganz wichtig ist, dass Unternehmen ein Gefahrenbewusstsein entwickeln und eine umfassende Risikobewertung vornehmen, entsprechende Maßnahmen umsetzen und sich außerdem gedanklich auf Cyber-Angriffe und IT-Sicherheitsvorfälle vorbereiten. Das Credo muss lauten: Keine Digitalisierung ohne Cyber-Security. Und dazu kommt immer auch eine umfassende Incident-Response-Planung für den Fall der Fälle.“
Die Studie macht deutlich, dass das Thema Cyber-Security vor dem Hintergrund steigender Angriffe in den kommenden Jahren immer wichtiger wird. Auch weil erwartet werden kann, dass zukünftig verschiedene Angriffsarten wie Phishing, Hacking und dem Einsatz von Ransomware zunehmend kombiniert werden. Andreas Henkel: „Aus präventiver Sicht ist eine hohe Awareness bei Mitarbeitenden wichtig, da sie nach wie vor häufig das Einfallstor für mögliche Angriffe darstellen. Außerdem sollten neben einer sinnvollen Passwort- und Back-up-Strategie, Polizeibehörden aktiv mit eingebunden werden, um präventive und repressive Maßnahmen umfassend zu ermöglichen.“
Der vollständige Report steht kostenfrei zum Download zur Verfügung:
https://www.mhp.com/de/unternehmen/studien/cyber-security-risk-report
Anmerkung der Redaktion:
„Nun ja. so ganz kostenfrei ist es nicht. Exmplar gegen Daten!“