Schutz vor Hackern: Neue Studie deckt „Sicherheitschaos“ auf
Rund 60 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz (DACH-Region) sind in den letzten zwei Jahren mindestens einmal Opfer eines Cyberangriffs geworden. Dies geht aus dem „Cyber Security Report DACH 2024“ der Sicherheitsfirma Horizon3.ai hervor.
Für den Report wurde eine Stichprobe von 300 Firmen untersucht. Demnach meldete weit mehr als ein Drittel (37 Prozent) der Unternehmen einen konkreten Schadensfall. Ein knappes Viertel (23 Prozent) hat zwar einen Hackerangriff aus dem Internet festgestellt, konnte diesen jedoch eigenem Bekunden zufolge vollständig abwehren. 28 Prozent der von Horizon3.ai kontaktierten Unternehmen wissen laut Angaben gar nicht, ob sie in den letzten 24 Monaten einem Cyberangriff zum Opfer gefallen sind oder nicht. Lediglich 12 Prozent der Firmen sagen „Wir sind sicher, dass wir nicht angegriffen wurden.“
Beinahe ein Viertel wurde dreimal oder mehr angegriffen
Beinahe ein Viertel der Unternehmen (23 Prozent) sah sich in den untersuchten zwei Jahren dreimal und weitere 12 Prozent sogar noch häufiger einer Hackerattacke ausgesetzt, heißt es im „Cyber Security Report DACH 2024“. Weitere 18 Prozent wurden in diesem Zeitraum „nur“ zweimal, elf Prozent einmal aus dem Internet angegriffen.
„Die Dunkelziffer dürfte um ein Vielfaches höher liegen“, vermutet Rainer M. Richter, Europa- und Asienchef des Sicherheitsunternehmens Horizon3.ai, das die Studie herausgegeben hat. Er befürchtet:
„Angesichts von rund 70 neuen Schwachstellen in Softwareprogrammen, die jeden Tag entdeckt werden, und der wachsenden Komplexität von Computer- und Netzwerkumgebungen haben viele Unternehmen längst den Überblick verloren, wie verletzlich sie wirklich sind und wie häufig sie tatsächlich angegriffen werden. Fälle, in denen sich Angreifer über Monate hinweg in Firmennetzwerken herumtreiben und vertrauliche Daten abgreifen, ohne dass dies bemerkt wird, sind bekannt. Nur wenn unmittelbare Auswirkungen auf den laufenden Betrieb auftreten oder eine Lösegeldforderung auf dem Bildschirm erscheint, fallen viele Attacken überhaupt erst auf.“
Rainer M. Richter,
Vice President EMEA & APAC bei Horizon3.ai
Ausfallzeiten, finanzielle Schäden, Rechtsfolgen und Datendiebstahl
Laut „Cyber Security Report DACH 2024“ hatten 63 Prozent der befragten Firmen in den untersuchten zwei Jahren eine Ausfallzeit durch einen Cyberangriff zu beklagen. 42 Prozent (Mehrfachnennungen waren erwünscht) erlitten dadurch einen finanziellen Schaden. 36 Prozent mussten rechtliche Konsequenzen hinnehmen. In 34 Prozent aller Fälle wurden Daten gestohlen. 29 Prozent der Firmen erhielten eine Lösegeldforderung, um von Hackern verschlüsselte Daten wieder frei zu bekommen.
Sicherheitsexperte Rainer M. Richter wundert sich:
„Vielen Vorständen, Geschäftsführern und IT-Verantwortlichen scheint gar nicht klar zu sein, dass neben den Konsequenzen für ihr Unternehmen auch eine persönliche Haftung auf sie zukommen kann, wenn es bei einem Cyberangriff zu ernsthaften Schäden kommt. In diesen Fällen liegt es an ihnen nachzuweisen, dass sie alles Menschenmögliche getan bzw. angeordnet haben, um beispielsweise zu verhindern, dass sensible Kundendaten gestohlen werden.“
Weit verbreitete Blauäugigkeit auf der Führungsebene
Die für die Umfrage ausgesuchten Teilnehmer bekleiden überwiegend eine verantwortliche Position in ihrem Unternehmen: Chief Information Security Officer (23 Prozent), Teamleiter IT (21 Prozent), Chief Information Officer (18 Prozent), Chief Technology Officer (13 Prozent) und System¬administrator (7 Prozent). „Die Hälfte der im Fall der Fälle persönlich Betroffenen geht laut Umfrage nicht davon aus, für mögliche Schäden haftbar gemacht zu werden“, wundert sich Rainer M. Richter über die weit verbreitete Blauäugigkeit der Führungskräfte beim Thema Cyberrisiken.
Der Cyber-Sicherheitsexperte mahnt: „Die Wirtschaft ist dringend aufgefordert, ihre Hausaufgaben in Sachen Cybersecurity zu machen. Die Angriffswellen werden durch Künstliche Intelligenz zunehmend schneller und aggressiver, während gleichzeitig durch Home Office und das Internet der Dinge immer mehr Geräte Anschluss ans Firmennetz finden und damit die Einfallstore für Hacker zusehends größer werden. Die Schere zwischen Gefahren- und Schutzniveau klafft somit immer weiter auseinander.“
Rainer M. Richter rät den Unternehmen, „mit großer Häufigkeit Penetrationstests durchzuführen, um ihre Cyberresilienz fortlaufend zu überprüfen.“ Bei einem solchen Test wird ein firmenbeauftragter Angriff auf das eigene Unternehmen durchgeführt, um Sicherheitslücken aufzuspüren. Auf dem Finanzsektor führt die europäische Bankenaufsicht unter dem Begriff „Stresstest“ turnusmäßig Penetrationstests durch, um die Abwehrfähigkeit der Finanzinstitute gegenüber Hackerangriffen zu überprüfen. „Ich rate jedem Vorstand, Geschäftsführer, Prokuristen und IT-Verantwortlichen aus allen anderen Branchen, das eigene Unternehmen regelmäßig einer solchen Nagelprobe zu unterziehen“, sagt der Europa- und Asienchef von Horizon3.ai sicherlich nicht ganz uneigennützig, denn sein Arbeitgeber betreibt unter dem Namen NodeZero eine Plattform, die solche Penetrationstests für die mittelständische Wirtschaft erschwinglich machen soll.