EY Global Information Security Survey 2017: Jeweils 64 Prozent sehen Malware und Phishing-Attacken als größte Bedrohung. Nur vier Prozent haben volles Vertrauen in ihre eigene IT-Sicherheitsstrategie. [...]
Der Kampf gegen Cyberkriminalität ist kostspielig. Häufig fehlen Unternehmen die nötigen Mittel, um Angriffe aus dem Netz abzuwehren. 87 Prozent der IT-Sicherheitsexperten von Unternehmen weltweit geben an, dass eine Steigerung ihrer Mittel für Cybersicherheit um 50 Prozent nötig sei, um Attacken erfolgreich zu verhindern. Allerdings rechnen gerade einmal zwölf Prozent der Sicherheitsexperten mit einer Budgeterhöhung von mehr als einem Viertel.
Gleichzeitig nimmt die Bedrohung aber immer stärker zu: Das größte Risiko geht den Befragten zufolge von Schadsoftware – sogenannter Malware – sowie von Phishingattacken aus. Jeweils 64 Prozent nehmen diese Bedrohungen als die größten Risiken wahr. Im Vorjahr wurden diese beiden Risikoquellen jeweils nur von etwas mehr als der Hälfte der Befragten (Malware: 52 Prozent; Phishing: 51 Prozent) als größte Bedrohung gesehen.
Doch Attacken kommen nicht immer nur von außen – auch die eigenen Mitarbeiter können zum Sicherheitsrisiko werden. Unvorsichtige oder uninformierte Mitarbeiter werden von mehr als drei Viertel der Befragten als wichtigstes Einfalltor für Cyberattacken gesehen, gefolgt von kriminellen Organisationen (56 Prozent) oder auch Mitarbeitern, die dem Unternehmen aus voller Absicht schaden wollen (47 Prozent).
Das sind die Ergebnisse des Global Information Security Survey 2017 der Prüfungs- und Beratungsorganisation EY. Dafür wurden 1.200 IT-Verantwortliche von Unternehmen weltweit befragt.
„Malware-Attacken wie wir sie zuletzt durch Petya oder Wannacry erlebt haben, sind Bedrohungen auf globaler Ebene, die leicht ein ganzes Unternehmen außer Gefecht setzen können“, kommentiert Drazen Lukac, Partner und Geschäftsführer IT Advisory bei EY Österreich, die Zahlen. „Jedes Unternehmen muss auf das Schlimmste vorbereitet sein – nach den öffentlichkeitswirksamen Attacken der Vergangenheit gibt es keine Entschuldigung mehr für Untätigkeit. Sicherheitslücken können kostspielige Schäden zur Folge haben. Wer zu wenig in die Cybersicherheit investiert, läuft Gefahr am Ende draufzuzahlen.“
Mehr Geld gibt es häufig erst, wenn es zu spät ist
Häufig werde aber erst in die Cybersicherheit investiert, wenn der Schaden schon entstanden ist. So geben 76 Prozent der Sicherheitsexperten an, dass sie wahrscheinlich mehr Geld bekommen würden, wenn eine Cyberattacke Schaden anrichten würde. Erfolgreich abgewehrte Attacken oder solche, die zunächst keinen offensichtlichen Schaden hinterlassen, würden nach Ansicht von 64 Prozent der Befragten jedoch zu keiner Budgeterhöhung führen.
„Das ist ein Fehler“, stellt Gottfried Tonweber, Senior Manager IT Advisory und Leiter des Bereichs Cyber Security bei EY Österreich, fest. „Firmen müssen annehmen, dass grundsätzlich jede Attacke einen Schaden darstellt, selbst, wenn er auf den ersten Blick nicht offensichtlich ist. Es könnte sich beispielsweise um einen Testangriff handeln, um Sicherheitslücken auszuspähen oder eine Ablenkung, um an anderer Stelle anzugreifen.“
Nur vier Prozent vertrauen in eigene Sicherheitsstrategie
Wie verunsichert Firmen durch die zunehmende Bedrohung durch Cyberangriffe sind, zeigt sich auch daran, dass sich gerade einmal vier Prozent zuversichtlich zeigen, durch ihre derzeitige Sicherheitsstrategie alle relevanten Bedrohungen und Risiken berücksichtigt zu haben. Gleichzeitig haben nach wie vor 38 Prozent kein Identitäts- und Zugangsmanagement, das den Zugriff auf IT-Systeme regelt. 35 Prozent haben keine festgelegten Maßnahmen zum Datenschutz und zwölf Prozent verfügen nicht über ein Programm, um Sicherheitslücken zu entdecken.
„Einige Unternehmen spielen mit dem Feuer, wenn sie die Cybersicherheit nicht ernst nehmen“, warnt Lukac. Er rät dazu, das Thema im Unternehmen möglichst weit oben anzusiedeln. Nur 24 Prozent haben das Thema Cybersicherheit direkt in der Geschäftsführung platziert. „In vielen Unternehmen fehlt es auf oberster Ebene noch an Verständnis und der Erkenntnis, welche Relevanz das Thema besitzt“, ergänzt Tonweber. Er empfiehlt solchen Unternehmen, die nicht über das nötige Personal oder die nötigen Mittel verfügen, sich das nötige Know-how von externen Experten ins Unternehmen zu holen. „Das Outsourcing bestimmter Sicherheitsaufgaben an Spezialisten kann insbesondere kleineren Unternehmen helfen. Aber auch Open-Source-Lösungen sind eine Alternative. Dadurch können mehrere Unternehmen zusammen an Sicherheitslösungen arbeiten.“
Be the first to comment