Report: Sicherheitslücken in Software und Datendiebstahl sind die größten Cyberrisiken

Cyber Secu­ri­ty Report 2024 von Horizon3.ai für Deutsch­land, Öster­re­ich und die Schweiz: „Es ist ein Trugschluss zu glauben, dass Soft­ware unan­greif­bar gemacht wer­den kann oder dass defen­sive Cyber-Abwehrmeth­o­d­en aus­re­ichen – jede Soft­ware ist angreif­bar“, warnt Cyber-Sicher­heit­sex­perte Rain­er M. Richter. „Unternehmen set­zen in der Regel Dutzende bis Hun­derte von Soft­warelö­sun­gen ein, was eine enorme Angriffs­fläche bietet. Eine Schwach­stelle bleibt nur so lange harm­los, bis ein Hack­er her­aus­find­et, wie er sie aus­nutzen kann. Dieses sehr reale Risiko birgt eine Vielzahl poten­zieller Gefahren, gegen die sich Unternehmen frühzeit­ig rüsten müssen.“

Hack­er nutzen eine Vielzahl von Meth­o­d­en, um gezielt nach Sicher­heit­slück­en in Soft­ware zu suchen. Vom Phish­ing über Daten­lecks bei Drit­ten bis hin zum Auss­pi­onieren von Open Source Infor­ma­tio­nen (OSINT), sind sicher­heit­skri­tis­che Zugangs­dat­en meist das Hauptziel. Das ist ein Schlüs­sel­ergeb­nis des „Cyber Secu­ri­ty Report DACH 2024“ der Sicher­heits­fir­ma Horizon3.ai, der auf ein­er Umfrage unter 300 Unternehmen in Deutsch­land, Öster­re­ich und der Schweiz basiert. Dem­nach stufen weit über die Hälfte der Fir­men (54 Prozent) gestoh­lene Benutzer- und Admin-Zugangs­dat­en als eines der größten Bedro­hungspoten­ziale auf der Cyber-Risikoskala ein.

Weit­ere Erken­nt­nis: Mehr als ein Drit­tel (37 Prozent) der Angreifer dringt über N‑Day-Schwach­stellen in Unternehmen­snet­zw­erke ein. Dabei han­delt es sich um bere­its bekan­nte, aus­nutzbare Soft­ware-Schwach­stellen, die von den Unternehmen, die die Soft­ware ver­wen­den, noch nicht gepatcht (behoben) wur­den. Ein weit­eres Vier­tel ver­schafft sich Zugang über so genan­nte Zero-Day-Schwach­stellen, die vom Soft­ware­hersteller noch nicht ent­deckt wur­den, den Cyberkrim­inellen aber bekan­nt sind und für die es daher noch keinen Patch des Soft­ware­herstellers gibt. „Das ist natür­lich ein gefun­denes Fressen für alle Krim­inellen“, bringt es Rain­er M. Richter auf den Punkt.

Penetrationstests als Lösung gegen Cyberbedrohungen

„Angesichts von teil­weise Hun­derten von Pro­gram­men im Ein­satz kom­men die meis­ten Unternehmen gar nicht mehr hin­ter­her, die beina­he täglich neu aufk­om­menden Soft­wareschwach­stellen und andere Sicher­heit­slück­en zu beheben“, sagt der Europa- und Asienchef von Horizon3.ai. Als Abhil­fe emp­fiehlt er Pen­e­tra­tionstests, also Selb­stan­griffe auf die eigene Infra­struk­tur zur Aufdeck­ung von Schwach­stellen im Vor­feld. Laut Umfrage führen fast ein Drit­tel der Unternehmen (32 Prozent) keine Pen­e­tra­tionstests durch. Dabei sind autonome Pen­e­tra­tionstests für jede Unternehmensgröße unaufwändig, kostengün­stig und vor allem proak­tiv – genau das, was angesichts der ras­ant steigen­den Cyberkrim­i­nal­ität notwendig ist, argu­men­tiert Rain­er M. Richter.

Wie ernst die Cyberbedro­hun­gen zu nehmen sind, zeigt der „Cyber Secu­ri­ty Report“: Rund 60 Prozent der befragten Unternehmen in der DACH-Region wur­den eige­nen Anfra­gen zufolge in den let­zten zwei Jahren min­destens ein­mal Opfer ein­er Cyber­at­tacke. Das Spek­trum der 300 befragten Führungskräfte und IT-Ver­ant­wortlichen erstreckt sich quer über zahlre­iche Branchen und kri­tis­che Infra­struk­turen, darunter Telekom­mu­nika­tion, Maschi­nen­bau, Auto­mo­bilin­dus­trie, Gesund­heitswe­sen, Bil­dung und Forschung.


Rain­er M. Richter,
Vice Pres­i­dent EMEA & APAC bei Horizon3.ai

Sammelsurium von Risikofaktoren

Als weit­ere Bedro­hungspoten­ziale (Zweifach­nen­nung war erwün­scht) stufen die befragten Führungskräfte ein: falsch kon­fig­uri­erte Soft­ware oder Hard­ware (16 Prozent), zu wenig Aufmerk­samkeit für Sicher­heit in der Fir­ma (15 Prozent), Schat­ten-IT, also die Ver­wen­dung von Soft­ware oder Hard­ware abseits der Fir­men-IT (13 Prozent), schwache und/oder nicht durch­set­zbare Sicher­heit­srichtlin­ien (9 Prozent), man­gel­ndes Bud­get für Sicher­heit (9 Prozent), unzure­ichend gesicherte Dat­en (8 Prozent) und schlechte oder unzure­ichende Sicher­heit­skon­trollen (7 Prozent).

„Die Man­ag­er erken­nen ein Sam­mel­suri­um von Cyber­risiken in ihren Organ­i­sa­tio­nen, das kaum beherrschbar ist“, sagt Sicher­heits-Experte Rain­er M. Richter. Einzige Abhil­fe sein­er Mei­n­ung nach: „Die Fir­men müssen durch selb­stin­sze­nierte Angriffe regelmäßig testen, wie sich­er ihre IT-Infra­struk­turen tat­säch­lich sind.“ 

Wenn Daten in falsche Hände geraten

„Es ist kein Wun­der, dass die Allianz in ihrem Risk Barom­e­ter 2024 Cyber­at­tack­en als das Top-Risiko für Unternehmen in Deutsch­land und weltweit ein­stuft*“, erk­lärt Rain­er M. Richter. „Die zunehmende Häu­figkeit und Kom­plex­ität dieser Angriffe verdeut­licht, dass es für Unternehmen drin­gend notwendig ist, ihre Maß­nah­men zur Cyber-Sicher­heit zu ver­stärken, um sich vor wirtschaftlichen Schä­den und Rep­u­ta­tionsver­lust zu schützen.“

Gelan­gen sicher­heit­skri­tis­che Dat­en in die Hände von Krim­inellen, kann dies zu erhe­blichen finanziellen Schä­den führen. Dies äußert sich unter anderem in Lösegeld­forderun­gen, mit denen 29 Prozent der befragten Unternehmen bere­its kon­fron­tiert waren. Darüber hin­aus entste­hen Kosten für die aufwändi­ge Wieder­her­stel­lung der Dat­en, ganz zu schweigen von den Aus­fal­lzeit­en und möglichen rechtlichen Kon­se­quen­zen für das Unternehmen. Für kri­tis­che Infra­struk­turen sind Daten­ver­let­zun­gen beson­ders prob­lema­tisch, da sie die Funk­tions­fähigkeit essen­zieller Sys­teme beein­trächti­gen können.

Hälfte der Unternehmen fühlt sich unzureichend vor Cyberangriffen geschützt

Die Hälfte der befragten Unternehmen räumte ein, dass kaum oder kein aus­re­ichen­der Schutz gegen Cyberan­griffe beste­ht, während weit­ere 32 Prozent zwar Maß­nah­men ergrif­f­en haben, diese jedoch für unzure­ichend hal­ten. Lediglich 12 Prozent waren sich sich­er, dass ihr Schutz vor Cyber­at­tack­en voll­ständig ist.

„Diese Ergeb­nisse zeigen, dass das Bewusst­sein für die Wichtigkeit eines robusten Schutzes vor Cyber­at­tack­en steigt, aber allzu oft die Ressourcen fehlen, um der Her­aus­forderung zu begeg­nen. Cyber­sicher­heit wird seit Jahren von defen­siv­en und reak­tiv­en Maß­nah­men bes­timmt, die in einem aggres­siv­en und zunehmend von KI-Tools unter­stützten Umfeld von Cyberan­grif­f­en ein­fach zu langsam sind“, sagt Rain­er M. Richter. Stattdessen fordert der Sicher­heit­sex­perte Organ­i­sa­tio­nen auf, einen offen­siv­eren Ansatz zu wählen, um Cyberan­greifern zuvorzukom­men. Nur so kön­nen Unternehmen die Sicher­heit ihrer Sys­teme effek­tiv schützen und den ständig wach­senden Bedro­hun­gen im Cyber­space begegnen.

* https://commercial.allianz.com/news-and-insights/news/allianz-risk-barometer-2024-press-de.html

Horizon3.ai bietet unter der Beze­ich­nung NodeZe­ro eine Cloud-basierte Plat­tform an, mit der Unternehmen und Behör­den einen Selb­stan­griff auf ihre IT-Infra­struk­tur durch­führen kön­nen, um ihre Cyber­re­silienz zu über­prüfen (sog. Pen­e­tra­tion Tests oder Pen­tests). Die Kosten sind auf­grund des Cloud-Konzepts niedrig, so dass regelmäßiges Pen­test­ing auch für mit­tel­ständis­che Fir­men erschwinglich ist. Horizon3.ai analysiert die Cyber­crime-Szene per­ma­nent, um neu aufk­om­mende Schwach­stellen über die Cloud sofort berück­sichti­gen zu kön­nen. NodeZe­ro deckt die Sicher­heit­slück­en nicht nur auf, son­dern gibt zugle­ich konkrete Hin­weise zur Behe­bung. Mit der Plat­tform hil­ft Horizon3.ai Unternehmen und Behör­den, den steigen­den reg­u­la­torischen Anforderun­gen an Cyber­re­silienz nachzukom­men, die nahele­gen, min­destens ein­mal wöchentlich inhouse einen Selb­stan­griff durchzuführen. Kosten­lose Testver­sion: www.horizon3.ai.

Waren­ze­ichen­hin­weis: NodeZe­ro ist ein Trade­mark von Horizon3.ai