Rund 60 Prozent der Unternehmen in Deutsch­land, Öster­re­ich und der Schweiz (DACH-Region) sind in den let­zten zwei Jahren min­destens ein­mal Opfer eines Cyberan­griffs gewor­den. Dies geht aus dem „Cyber Secu­ri­ty Report DACH 2024“ der Sicher­heits­fir­ma Horizon3.ai hervor.

Für den Report wurde eine Stich­probe von 300 Fir­men unter­sucht. Dem­nach meldete weit mehr als ein Drit­tel (37 Prozent) der Unternehmen einen konkreten Schadens­fall. Ein knappes Vier­tel (23 Prozent) hat zwar einen Hack­eran­griff aus dem Inter­net fest­gestellt, kon­nte diesen jedoch eigen­em Bekun­den zufolge voll­ständig abwehren. 28 Prozent der von Horizon3.ai kon­tak­tierten Unternehmen wis­sen laut Angaben gar nicht, ob sie in den let­zten 24 Monat­en einem Cyberan­griff zum Opfer gefall­en sind oder nicht. Lediglich 12 Prozent der Fir­men sagen „Wir sind sich­er, dass wir nicht ange­grif­f­en wurden.“

Beinahe ein Viertel wurde dreimal oder mehr angegriffen

Beina­he ein Vier­tel der Unternehmen (23 Prozent) sah sich in den unter­sucht­en zwei Jahren dreimal und weit­ere 12 Prozent sog­ar noch häu­figer ein­er Hack­er­at­tacke aus­ge­set­zt, heißt es im „Cyber Secu­ri­ty Report DACH 2024“. Weit­ere 18 Prozent wur­den in diesem Zeitraum „nur“ zweimal, elf Prozent ein­mal aus dem Inter­net angegriffen.

„Die Dunkelz­if­fer dürfte um ein Vielfach­es höher liegen“, ver­mutet Rain­er M. Richter, Europa- und Asienchef des Sicher­heit­sun­ternehmens Horizon3.ai, das die Studie her­aus­gegeben hat. Er befürchtet:

„Angesichts von rund 70 neuen Schwach­stellen in Soft­ware­pro­gram­men, die jeden Tag ent­deckt wer­den, und der wach­senden Kom­plex­ität von Com­put­er- und Net­zw­erkumge­bun­gen haben viele Unternehmen längst den Überblick ver­loren, wie ver­let­zlich sie wirk­lich sind und wie häu­fig sie tat­säch­lich ange­grif­f­en wer­den. Fälle, in denen sich Angreifer über Monate hin­weg in Fir­men­net­zw­erken herumtreiben und ver­trauliche Dat­en abgreifen, ohne dass dies bemerkt wird, sind bekan­nt. Nur wenn unmit­tel­bare Auswirkun­gen auf den laufend­en Betrieb auftreten oder eine Lösegeld­forderung auf dem Bild­schirm erscheint, fall­en viele Attack­en über­haupt erst auf.“

Rain­er M. Richter,
Vice Pres­i­dent EMEA & APAC bei Horizon3.ai

Ausfallzeiten, finanzielle Schäden, Rechtsfolgen und Datendiebstahl

Laut „Cyber Secu­ri­ty Report DACH 2024“ hat­ten 63 Prozent der befragten Fir­men in den unter­sucht­en zwei Jahren eine Aus­fal­lzeit durch einen Cyberan­griff zu bekla­gen. 42 Prozent (Mehrfach­nen­nun­gen waren erwün­scht) erlit­ten dadurch einen finanziellen Schaden. 36 Prozent mussten rechtliche Kon­se­quen­zen hin­nehmen. In 34 Prozent aller Fälle wur­den Dat­en gestohlen. 29 Prozent der Fir­men erhiel­ten eine Lösegeld­forderung, um von Hack­ern ver­schlüs­selte Dat­en wieder frei zu bekommen.

Sicher­heit­sex­perte Rain­er M. Richter wun­dert sich:

„Vie­len Vorstän­den, Geschäfts­führern und IT-Ver­ant­wortlichen scheint gar nicht klar zu sein, dass neben den Kon­se­quen­zen für ihr Unternehmen auch eine per­sön­liche Haf­tung auf sie zukom­men kann, wenn es bei einem Cyberan­griff zu ern­sthaften Schä­den kommt. In diesen Fällen liegt es an ihnen nachzuweisen, dass sie alles Men­schen­mögliche getan bzw. ange­ord­net haben, um beispiel­sweise zu ver­hin­dern, dass sen­si­ble Kun­den­dat­en gestohlen werden.“

Weit verbreitete Blauäugigkeit auf der Führungsebene

Die für die Umfrage aus­ge­sucht­en Teil­nehmer bek­lei­den über­wiegend eine ver­ant­wortliche Posi­tion in ihrem Unternehmen: Chief Infor­ma­tion Secu­ri­ty Offi­cer (23 Prozent), Team­leit­er IT (21 Prozent), Chief Infor­ma­tion Offi­cer (18 Prozent), Chief Tech­nol­o­gy Offi­cer (13 Prozent) und System¬administrator (7 Prozent). „Die Hälfte der im Fall der Fälle per­sön­lich Betrof­fe­nen geht laut Umfrage nicht davon aus, für mögliche Schä­den haft­bar gemacht zu wer­den“, wun­dert sich Rain­er M. Richter über die weit ver­bre­it­ete Blauäugigkeit der Führungskräfte beim The­ma Cyberrisiken.

Der Cyber-Sicher­heit­sex­perte mah­nt: „Die Wirtschaft ist drin­gend aufge­fordert, ihre Hausauf­gaben in Sachen Cyber­se­cu­ri­ty zu machen. Die Angriff­swellen wer­den durch Kün­stliche Intel­li­genz zunehmend schneller und aggres­siv­er, während gle­ichzeit­ig durch Home Office und das Inter­net der Dinge immer mehr Geräte Anschluss ans Fir­men­netz find­en und damit die Ein­fall­store für Hack­er zuse­hends größer wer­den. Die Schere zwis­chen Gefahren- und Schutzniveau klafft somit immer weit­er auseinander.“

Rain­er M. Richter rät den Unternehmen, „mit großer Häu­figkeit Pen­e­tra­tionstests durchzuführen, um ihre Cyber­re­silienz fort­laufend zu über­prüfen.“ Bei einem solchen Test wird ein fir­men­beauf­tragter Angriff auf das eigene Unternehmen durchge­führt, um Sicher­heit­slück­en aufzus­püren. Auf dem Finanzsek­tor führt die europäis­che Banke­nauf­sicht unter dem Begriff „Stresstest“ tur­nus­mäßig Pen­e­tra­tionstests durch, um die Abwehrfähigkeit der Finanzin­sti­tute gegenüber Hack­eran­grif­f­en zu über­prüfen. „Ich rate jedem Vor­stand, Geschäfts­führer, Prokuris­ten und IT-Ver­ant­wortlichen aus allen anderen Branchen, das eigene Unternehmen regelmäßig ein­er solchen Nagel­probe zu unterziehen“, sagt der Europa- und Asienchef von Horizon3.ai sicher­lich nicht ganz uneigen­nützig, denn sein Arbeit­ge­ber betreibt unter dem Namen NodeZe­ro eine Plat­tform, die solche Pen­e­tra­tionstests für die mit­tel­ständis­che Wirtschaft erschwinglich machen soll.