Blauäugiger Umgang mit Cybersecurity

Laut einer Umfrage von Horizon3.ai wurde mehr als ein Drittel der Firmen in der DACH-Region in den letzten zwei Jahren mindestens dreimal von Hackern angegriffen. Gut ein weiteres Viertel weiß nicht einmal, ob ein Angriff stattgefunden hat. [...]

Rainer M. Richter, Europa- und Asienchef von Horizon3.ai: "Vielen Vorständen, Geschäftsführern und IT-Verantwortlichen scheint gar nicht klar zu sein, dass neben den Konsequenzen für ihr Unternehmen auch eine persönliche Haftung auf sie zukommen kann, wenn es bei einem Cyberangriff zu ernsthaften Schäden kommt." (c) Horizon3.ai

Rund 60 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz (DACH-Region) sind in den letzten zwei Jahren mindestens einmal Opfer eines Cyberangriffs geworden. Dies geht aus dem „Cyber Security Report DACH 2024“ der Sicherheitsfirma Horizon3.ai hervor.

Für den Report wurde eine Stichprobe von 300 Firmen untersucht. Demnach meldete weit mehr als ein Drittel (37 Prozent) der Unternehmen einen konkreten Schadensfall. Ein knappes Viertel (23 Prozent) hat zwar einen Hackerangriff aus dem Internet festgestellt, konnte diesen jedoch eigenem Bekunden zufolge vollständig abwehren. 28 Prozent der von Horizon3.ai kontaktierten Unternehmen wissen laut Angaben gar nicht, ob sie in den letzten 24 Monaten einem Cyberangriff zum Opfer gefallen sind oder nicht. Lediglich 12 Prozent der Firmen sagen „Wir sind sicher, dass wir nicht angegriffen wurden.“

Beinahe ein Viertel wurde dreimal oder mehr angegriffen

Beinahe ein Viertel der Unternehmen (23 Prozent) sah sich in den untersuchten zwei Jahren dreimal und weitere 12 Prozent sogar noch häufiger einer Hackerattacke ausgesetzt, heißt es im „Cyber Security Report DACH 2024“. Weitere 18 Prozent wurden in diesem Zeitraum „nur“ zweimal, elf Prozent einmal aus dem Internet angegriffen.

„Die Dunkelziffer dürfte um ein Vielfaches höher liegen“, vermutet Rainer M. Richter, Europa- und Asienchef des Sicherheitsunternehmens Horizon3.ai, das die Studie herausgegeben hat. Er befürchtet: „Angesichts von rund 70 neuen Schwachstellen in Softwareprogrammen, die jeden Tag entdeckt werden, und der wachsenden Komplexität von Computer- und Netzwerkumgebungen haben viele Unternehmen längst den Überblick verloren, wie verletzlich sie wirklich sind und wie häufig sie tatsächlich angegriffen werden. Fälle, in denen sich Angreifer über Monate hinweg in Firmennetzwerken herumtreiben und vertrauliche Daten abgreifen, ohne dass dies bemerkt wird, sind bekannt. Nur wenn unmittelbare Auswirkungen auf den laufenden Betrieb auftreten oder eine Lösegeldforderung auf dem Bildschirm erscheint, fallen viele Attacken überhaupt erst auf.“

Ausfallzeiten, finanzielle Schäden, Rechtsfolgen und Datendiebstahl

Laut „Cyber Security Report DACH 2024“ hatten 63 Prozent der befragten Firmen in den untersuchten zwei Jahren eine Ausfallzeit durch einen Cyberangriff zu beklagen. 42 Prozent (Mehrfachnennungen waren erwünscht) erlitten dadurch einen finanziellen Schaden. 36 Prozent mussten rechtliche Konsequenzen hinnehmen. In 34 Prozent aller Fälle wurden Daten gestohlen. 29 Prozent der Firmen erhielten eine Lösegeldforderung, um von Hackern verschlüsselte Daten wieder frei zu bekommen.

Richter wundert sich: „Vielen Vorständen, Geschäftsführern und IT-Verantwortlichen scheint gar nicht klar zu sein, dass neben den Konsequenzen für ihr Unternehmen auch eine persönliche Haftung auf sie zukommen kann, wenn es bei einem Cyberangriff zu ernsthaften Schäden kommt. In diesen Fällen liegt es an ihnen nachzuweisen, dass sie alles Menschenmögliche getan bzw. angeordnet haben, um beispielsweise zu verhindern, dass sensible Kundendaten gestohlen werden.“

Weit verbreitete Blauäugigkeit auf der Führungsebene

Die für die Umfrage ausgesuchten Teilnehmer bekleiden überwiegend eine verantwortliche Position in ihrem Unternehmen: Chief Information Security Officer (23 Prozent), Teamleiter IT (21 Prozent), Chief Information Officer (18 Prozent), Chief Technology Officer (13 Prozent) und Systemadministrator (7 Prozent). „Die Hälfte der im Fall der Fälle persönlich Betroffenen geht laut Umfrage nicht davon aus, für mögliche Schäden haftbar gemacht zu werden“, wundert sich Richter über die weit verbreitete Blauäugigkeit der Führungskräfte beim Thema Cyberrisiken.

Der Cybersicherheitsexperte mahnt: „Die Wirtschaft ist dringend aufgefordert, ihre Hausaufgaben in Sachen Cybersecurity zu machen. Die Angriffswellen werden durch künstliche Intelligenz zunehmend schneller und aggressiver, während gleichzeitig durch Home Office und das Internet der Dinge immer mehr Geräte Anschluss ans Firmennetz finden und damit die Einfallstore für Hacker zusehends größer werden. Die Schere zwischen Gefahren- und Schutzniveau klafft somit immer weiter auseinander.“

Richter rät den Unternehmen, „mit großer Häufigkeit Penetrationstests durchzuführen, um ihre Cyberresilienz fortlaufend zu überprüfen.“ Bei einem solchen Test wird ein firmenbeauftragter Angriff auf das eigene Unternehmen durchgeführt, um Sicherheitslücken aufzuspüren. Auf dem Finanzsektor führt die europäische Bankenaufsicht unter dem Begriff „Stresstest“ turnusmäßig Penetrationstests durch, um die Abwehrfähigkeit der Finanzinstitute gegenüber Hackerangriffen zu überprüfen. „Ich rate jedem Vorstand, Geschäftsführer, Prokuristen und IT-Verantwortlichen aus allen anderen Branchen, das eigene Unternehmen regelmäßig einer solchen Nagelprobe zu unterziehen“, sagt der Europa- und Asienchef von Horizon3.ai sicherlich nicht ganz uneigennützig, denn sein Arbeitgeber betreibt unter dem Namen NodeZero eine Plattform, die solche Penetrationstests für die mittelständische Wirtschaft erschwinglich machen soll.


Mehr Artikel

Prashant Ketkar, CTO bei Parallels (Alludo) (c) Parallels
Kommentar

IT-Modernisierung im Mittelstand: Herausforderungen und Lösungswege

Cyberattacken, Fachkräftemangel und komplexe IT-Systeme erschweren den Geschäftsalltag. Doch es gibt bereits hilfreiche Lösungen: Von Cloud-Computing bis Desktop-as-a-Service eröffnen moderne Technologien neue Wege aus dem IT-Dschungel. Wie kleine und mittelgroße Unternehmen diese Herausforderungen meistern und ihre IT-Strukturen zukunftssicher gestalten können, zeigt dieser Artikel. […]

News

Internet of Behaviors: Die nächste große Bedrohung für die Privatsphäre?

Das Internet of Behaviors verarbeitet die Unmengen an persönlichen Daten, die wir jeden Tag preisgeben, mit Methoden der Verhaltenswissenschaft, KI und maschinellem Lernen. Das Ziel ist, Verhaltensmuster zu erkennen und gezielt darauf zu reagieren. Die Wege, über die das IoB tagtägliche Entscheidungen verfolgt und beeinflusst, sind weitreichend und stellen die Privatsphäre jedes Einzelnen auf die Probe. […]

Keeper Security und Sherweb: Partnerschaft speziell für MSPs. (c) Pexels
News

Keeper Security und Sherweb schließen Partnerschaft

Sherwebs nimmt die Passwortmanagement- und Cybersicherheitslösungen von Keeper Security in seinen Marktplatz auf. Damit haben Managed Service Provider (MSPs) die Möglichkeit, kleine und mittelständische Unternehmen (SMBs) mit Funktionen wie Multi-Faktor-Authentifizierung und Zero-Knowledge-Verschlüsselung besser zu schützen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*