Jedes 10. Unternehmen war Angriff ausgesetzt

Cyber-Kriminelle gehen immer professioneller vor

Im vergangenen Jahr war rund jedes zehnte Unternehmen in Deutschland von einem Cyberangriff betroffen. Der Krieg in der Ukraine und digitale Trends erhöhen das Risiko. Nach einer Umfrage des TÜV-Verbandes sind Phishing-Mails und Erpressungssoftware die häufigsten Angriffsformen.

1105
Schadsoftware gelangt häufig in Firmen-IT, weil Mitarbeiter zu unkritisch mit Mails fragwürdiger Absender umgehen. Bild: Andrey Popov / stock.adobe.com
Schadsoftware gelangt häufig in Firmen-IT, weil Mitarbeiter zu unkritisch mit Mails fragwürdiger Absender umgehen. Bild: Andrey Popov / stock.adobe.com

Gut jedes zehnte Unternehmen in Deutschland war im vergangenen Jahr von einem IT-Sicherheitsvorfall betroffen (11 Prozent). Dabei handelt es sich um erfolgreiche Cyberangriffe oder andere sicherheitsrelevante Vorfälle wie Sabotageakte oder Hardware-Diebstahl. Das hat eine repräsentativen Ipsos-Umfrage im Auftrag des TÜV-Verbands unter 501 Unternehmen ab zehn Mitarbeiter ergeben. In absoluten Zahlen entspreche das in dieser Unternehmensgrößenklasse rund 50.000 Vorfällen. „Sowohl die weltpolitischen Spannungen als auch technologische Trends wie die Verbreitung Künstlicher Intelligenz sind eine Gefahr für die Cybersicherheit der Unternehmen“, sagte Dr. Johannes Bussmann, Präsident des TÜV-Verbands, bei Vorstellung der „TÜV Cybersecurity Studie“ in Berlin. „Neben kriminellen Hackern verstärken staatliche Akteure ihre Aktivitäten, um an sensible Daten zu gelangen, Geld zu erpressen oder Unternehmen zu sabotieren.“

Die größte Gefahr gehe aus Sicht der Befragten von der organisierten Cyberkriminalität aus: 57 Prozent fühlen sich von organisierten Hacker-Banden bedroht. Jeweils 27 Prozent sehen staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. 22 Prozent fürchten so genannte Innentäter, die über interne Kenntnisse eines Unternehmens verfügen und diese bei einem Angriff ausnutzen können. Angesichts der Bedrohungslage spricht sich eine Mehrheit für zusätzliche gesetzliche Vorgaben aus.

Kleinere Unternehmen müssen bei der IT-Sicherheit aufholen

Zur aktuellen IT-Sicherheitslage in Deutschland sagt Dr. Gerhard Schabhüser, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI): „Nach wie vor stellen Cyber-Angriffe mit Ransomware die größte Bedrohung für Unternehmen und Organisationen dar. Immer wieder kommt es zu erfolgreichen Angriffen, teilweise mit schwerwiegenden und langfristigen Folgen für die Betroffenen. Da sich Cyber-Kriminelle konsequent professionalisieren und gleichzeitig die Angriffsfläche unserer digitalen Systeme immer größer wird, ist Cyber-Sicherheit eine Daueraufgabe mit höchster Priorität. Unternehmen und Organisationen dürfen zu keiner Zeit nachlassen im Bemühen, ihre IT-Netzwerke zu schützen. Dabei stellen wir als BSI fest: Gerade in kleineren Unternehmen hat Cyber-Sicherheit noch nicht den Stellenwert, den sie einnehmen sollte. Dabei stehen die passenden Maßnahmen bereits zur Verfügung.“

Laut den Ergebnissen der Umfrage hat der Krieg in der Ukraine das Risiko von Cyberangriffen in der deutschen Wirtschaft stark erhöht. Dieser Ansicht sind 58 Prozent der Unternehmen in Deutschland. Und 16 Prozent verzeichnen seit Ausbruch des Krieges mehr Cyberangriffe bzw. Angriffsversuche auf ihr Unternehmen. Am stärksten betroffen sind große Unternehmen ab 250 Mitarbeiter mit 28 Prozent. Es folgen mittlere Unternehmen mit 20 Prozent (50–249 Mitarbeiter) und kleine mit 11 Prozent (10–49 Mitarbeiter).

Die mit Abstand häufigste Angriffsmethode ist Phishing: E-Mails, mit denen Passwörter abgegriffen werden oder Schad-Software verbreitet wird. Bei 62 Prozent der betroffenen Unternehmen war ein Phishing-Angriff erfolgreich.

An zweiter Stelle stehen Ransomware-Angriffe, bei denen die IT-Systeme gehackt, Daten verschlüsselt und die Unternehmen dann erpresst werden (29 Prozent). „Ransomware ist eine sehr erfolgreiche Methode. Häufig zahlen Unternehmen, um schnell wieder arbeitsfähig zu sein“, sagte Bussmann.

Eine weitere beliebte Masche ist die Manipulation von Mitarbeitern, das so genannte Social Engineering (26 Prozent). Ein typisches Beispiel sind Fake-Anrufe des IT-Supports, um an sensible Daten zu gelangen. Und 22 Prozent der betroffenen Unternehmen berichten von einem Passwort-Angriff, bei dem Zugangsdaten gehackt wurden.

Finanzielle Schäden und Systemausfälle durch Cyberangriffe

Die Folgen der Angriffe seien massiv. 42 Prozent der Unternehmen erlitten finanzielle Einbußen, Dienste für Mitarbeiter (38 Prozent) oder Kunden (29 Prozent) waren nicht erreichbar, die Produktion ist ausgefallen (13 Prozent) oder sensible Daten wurden gestohlen (13 Prozent). „Jahr für Jahr verursachen Cyberangriffe in der deutschen Wirtschaft Kosten in mehrstelliger Milliardenhöhe“, sagte Bussmann.

Die Unternehmen steuern mit zusätzlichen Investitionen dagegen. Gut jedes zweite Unternehmen hat seine Ausgaben für Cybersecurity in den vergangenen zwei Jahren leicht oder sogar deutlich erhöht (52 Prozent). Die Investitionen gehen an erster Stelle in moderne Hard- und Software: 78 Prozent haben veraltete Geräte außer Betrieb genommen, 71 Prozent sichere Hardware angeschafft und 55 Prozent neue Cybersecurity-Software eingeführt. 63 Prozent haben die IT-Sicherheit vernetzter Maschinen und Anlagen verbessert.

Wie Unternehmen die IT-Sicherheit erhöhen

Darüber hinaus investieren die Unternehmen in ihr eigenes Know-how: 72 Prozent lassen sich von externen Experten beraten und 51 Prozent schulen ihre Mitarbeiter. Fast jedes dritte Unternehmen nutzt so genannte Penetrationstests, bei denen „gute Hacker“ Schwachstellen in den IT-Systemen aufspüren (32 Prozent). Knapp ein Viertel führt Notfallübungen durch, um besser auf den Ernstfall vorbereitet zu sein (24 Prozent). Ebenfalls ein Viertel hat sicherheitsrelevante Zertifizierungen eingeführt (26 Prozent). Deren Grundlage sind Normen und Standards wie zum Beispiel ISO 27001 oder der IT-Grundschutz des BSI. Fast jedes vierte Unternehmen hält bestimmte Normen und Standards bereits vollständig ein (23 Prozent) und fast die Hälfte orientiert sich zumindest daran (46 Prozent).

Nachholbedarf haben die kleineren Unternehmen. Bei den Unternehmen mit 10 bis 49 Mitarbeitern spielt Cybersecurity nur bei der Hälfte eine große Rolle. Und gut ein Viertel der Kleinen hat das Thema gar nicht auf dem Schirm oder hält es für nicht relevant (28 Prozent). Dagegen spielt Cybersecurity für 80 Prozent der großen und für 76 Prozent der mittleren Unternehmen eine wichtige Rolle.

Gesetzlichen Rahmen in der EU zügig verbessern

Die Unternehmen rufen aber auch den Gesetzgeber zum Handeln auf. Gut jeder zweite Befragte fordert, dass die gesetzlichen Vorgaben für die Unternehmen erhöht werden müssen (52 Prozent). „Entscheidender Hebel für mehr Cybersecurity sind die Vorgaben für die Produktsicherheit in der EU“, sagte Bussmann. Mit dem Cyber Resilience Act soll digitale Sicherheit endlich integraler Bestandteil aller vernetzten Produkte werden. Je nach Risiko, das von ihnen ausgeht, müssen sie bestimmte Sicherheitsvorgaben erfüllen. Aus Sicht des TÜV-Verbands sollten alle sicherheitskritischen Produkte mit hohem Risiko verpflichtend von unabhängigen Stellen geprüft werden, bevor sie auf den Markt kommen. „Angesichts steigender politischer und technologischer Risiken sollte der Cyber Resilience Act seine Wirkung für die Cybersicherheit möglichst schnell entfalten können“, sagte Bussmann. Das gelte auch für die KI-Verordnung (AI Act), die sich gerade in der Abstimmung befindet. Nicht zuletzt sollten vor allem kleine und mittelständische Unternehmen bei ihren Maßnahmen für mehr Cybersicherheit unterstützt werden. Bussmann: „Angesichts des Fachkräftemangels müssen wir in das Know-how der KMU investieren, damit sie sich ausreichend vor Cyberangriffen schützen können.“ (Red.)

Glossar

Phishing: Kriminelle versuchen mit Hilfe von betrügerischen E-Mails, gefälschten Internetseiten und anderen Methoden an vertrauliche Unternehmensdaten zu gelangen. Indem die Betrüger vorgeben, eine bekannte Person (Kollegin, Chef) oder Organisation (Bank, Dienstleister) zu sein, nutzen sie das Vertrauen des Opfers aus, damit es Informationen bereitwillig preisgibt.

Spear Phishing: Bei dieser Methode wird zuvor umfassend über das Opfer recherchiert. Welche Sprache und welches Design verwendet die Firma? Wer arbeitet in welcher Abteilung mit wem zusammen? Womit verbringen sie ihre Freizeit? Alles Informationen, die man häufig im Internet auf beruflichen Netzwerken wie Xing oder LinkedIn findet. Mit diesen Informationen wird schließlich ein Mitarbeiter gezielt kontaktiert und manipuliert, um an die gewünschten Daten zu gelangen oder gar Überweisungen zu tätigen.

Ransomware: Bezeichnet erpresserische Schadprogramme. Durch Ransomware machen Cyberkriminelle Dateien, Festplatten, Computer oder ganze Netzwerke für ihre legitimen Nutzer unzugänglich und fordern ein Lösegeld, um die Dateien etc. wieder freizugeben. Der Begriff setzt sich zusammen aus den englischen Worten „ransom“ für Lösegeld und „-ware“ als Wortteil von Software, also Programm.

Redaktion (allg.)

AnhangGröße
Beitrag als PDF herunterladen306.77 KB

◂ Heft-Navigation ▸

Artikel Cyber-Kriminelle gehen immer professioneller vor
Seite 42 bis 43
20.10.2022
Cyberkriminalität
Der Digitalisierungsgrad der Immobilienbranche steigt – und damit auch das Risiko für Cyberangriffe.Nur eine bewusste und cybersichere Nutzung von Software und Tools kann der...
30.8.2021
Cybersicherheit in vernetzten Wohngebäuden
Je weiter die Digitalisierung in Wohngebäuden fortschreitet, umso wichtiger wird die Cybersicherheit der darin verbauten Smart Home-Produkte und vernetzten Prozesse. Noch gibt es für...
29.8.2022
Status Quo des Breitbandnetz-Ausbaus
Lange Zeit schienen wir das Schlusslicht beim Ausbau des schnellen Internets zu sein. 2021 erreichte Deutschland nun Platz 3 beim Glasfaserwachstum in Europa – hinter Frankreich und Italien.
1.4.2022
Angriffskrieg gegen die Ukraine
Die Immobilienwirtschaft rechnet mit bis zu 1,29 Millionen Flüchtenden und 500.000 zusätzlichen Wohnungen, die für ihre Unterbringung benötigt werden.
30.8.2022
Zukunft der Kabel-Töchter
Der Gesetzgeber verfolgt das Ziel, den Markt der Kabelnetze zu deregulieren, den Wettbewerb zu stärken und mehr Kapital für den Ausbau eines leistungsstarken Netzes zu aktivieren. So wird Mitte 2024...
2.12.2020
8. VDIV-Branchenbarometer (Teil 3)
Das Personalwachstum in Immobilienverwaltungen flacht ab, auch die Prognosen der Einstellungszahlen sind verhalten, wie das 8. VDIV-Branchenbarometer zeigt. Erfreulicherweise steigt die...