Etwa jedes zehnte Unternehmen wurde gehackt

Quelle: Silke Kaiser/pixelio.de

Gut jedes zehnte Unternehmen in Deutschland war im vergangenen Jahr von einem IT-Sicherheitsvorfall betroffen (elf Prozent). Dabei handelt es sich um erfolgreiche Cyberangriffe oder andere sicherheitsrelevante Vorfälle wie Sabotageakte oder Hardware-Diebstahl. Das hat die repräsentative Ipsos-Umfrage im Auftrag des TÜV-Verbands e. V., Berlin, unter 501 Unternehmen ab zehn Mitarbeitenden mit dem Titel TÜV Cybersecurity Studie ergeben. In absoluten Zahlen entspricht das in dieser Unternehmensgrößenklasse rund 50.000 Vorfällen.

Die größte Gefahr geht aus Sicht der Befragten von der organisierten Cyberkriminalität aus: 57 Prozent fühlen sich von organisierten Hacker-Banden laut der Meldung bedroht. Jeweils 27 Prozent sehen staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. 22 Prozent fürchten sogenannte Innentäter:innen, die über interne Kenntnisse eines Unternehmens verfügen und diese bei einem Angriff ausnutzen können.

Angesichts der Bedrohungslage spricht sich eine Mehrheit für zusätzliche gesetzliche Vorgaben aus. 64 Prozent der Befragten stimmen der Aussage zu, dass jedes Unternehmen verpflichtet sein sollte, angemessene Maßnahmen für seine Cybersecurity zu ergreifen.

Phishing ist besonders beliebt

Laut den Ergebnissen der Umfrage hat der Krieg in der Ukraine das Risiko von Cyberangriffen in der deutschen Wirtschaft stark erhöht. Dieser Ansicht sind 58 Prozent der Unternehmen in Deutschland. 16 Prozent verzeichnen seit Ausbruch des Krieges mehr Cyberangriffe bzw. Angriffsversuche auf ihr Unternehmen. Am stärksten betroffen sind große Unternehmen ab 250 Mitarbeitenden mit 28 Prozent. Es folgen mittlere Unternehmen mit 20 Prozent (50-249 Mitarbeitende) und kleine mit elf Prozent (zehn bis 49 Mitarbeitende).

Die mit Abstand häufigste Angriffsmethode ist Phishing: E-Mails, mit denen Passwörter abgegriffen werden oder Schad-Software verbreitet wird. Bei 62 Prozent der betroffenen Unternehmen war ein Phishing-Angriff erfolgreich. An zweiter Stelle stehen Ransomware-Angriffe, bei denen die IT-Systeme gehackt, Daten verschlüsselt und die Unternehmen dann erpresst werden (29 Prozent). Eine weitere beliebte Masche ist die Manipulation von Mitarbeitenden, das "Social Engineering" (26 Prozent). Ein typisches Beispiel: Fake-Anrufe des IT-Supports, um an sensible Daten zu gelangen. Und 22 Prozent der betroffenen Unternehmen berichten von einem Passwort-Angriff, bei dem Zugangsdaten gehackt wurden.

Finanzielle Schäden und Systemausfälle

Die Folgen der Angriffe sind massiv. 42 Prozent der Unternehmen erlitten finanzielle Einbußen, Dienste für Mitarbeitende (38 Prozent) oder Kunden (29 Prozent) waren nicht erreichbar, die Produktion ist ausgefallen (13 Prozent) oder sensible Daten wurden gestohlen (13 Prozent). Die Unternehmen steuern mit zusätzlichen Investitionen dagegen. Gut jedes zweite Unternehmen hat seine Ausgaben für Cybersecurity in den vergangenen zwei Jahren leicht oder sogar deutlich erhöht (52 Prozent). Die Investitionen gehen an erster Stelle in moderne Hard- und Software: 78 Prozent haben veraltete Geräte außer Betrieb genommen, 71 Prozent sichere Hardware angeschafft und 55 Prozent neue Cybersecurity-Software eingeführt. 63 Prozent haben die IT-Sicherheit vernetzter Maschinen und Anlagen verbessert.

Darüber hinaus investieren die Unternehmen in ihr eigenes Know-how: 72 Prozent lassen sich von externen Expert:innen beraten und 51 Prozent schulen ihre Mitarbeitenden. Fast jedes dritte Unternehmen nutzt "Penetrationstests", bei denen "gute Hacker" Schwachstellen in den IT-Systemen aufspüren (32 Prozent). Knapp ein Viertel führt Notfallübungen durch, um besser auf den Ernstfall vorbereitet zu sein (24 Prozent). Ebenfalls ein Viertel hat sicherheitsrelevante Zertifizierungen eingeführt (26 Prozent). Deren Grundlage sind Normen und Standards wie zum Beispiel ISO 27001 oder der IT-Grundschutz des BSI. Fast jedes vierte Unternehmen hält bestimmte Normen und Standards bereits vollständig ein (23 Prozent) und fast die Hälfte orientiert sich zumindest daran (46 Prozent).

Kleinere Unternehmen haben Nachholbedarf

Vier von fünf Unternehmen stimmen der Aussage zu, dass IT-Sicherheit Grundlage für einen reibungslosen Geschäftsbetrieb ist (80 Prozent). 76 Prozent der Befragten geben an, dass eine hohe Sicherheit für sie ein Wettbewerbsvorteil ist und 69 Prozent, dass Kunden und Partner ein hohes Cybersecurity-Niveau einfordern.

Nachholbedarf haben die kleineren Unternehmen. Bei den Unternehmen mit zehn bis 49 Mitarbeitenden spielt Cybersecurity nur bei der Hälfte eine große Rolle. Und gut ein Viertel der Kleinen hat das Thema gar nicht auf dem Schirm oder hält es für nicht relevant (28 Prozent). Dagegen spielt Cybersecurity für 80 Prozent der großen und für 76 Prozent der mittleren Unternehmen eine wichtige Rolle. Die Unternehmen rufen aber auch den Gesetzgeber zum Handeln auf. Gut jeder zweite Befragte fordert, dass die gesetzlichen Vorgaben für die Unternehmen erhöht werden müssen (52 Prozent).

Weitere Artikel zum Thema Cybersecurity

1. Risiko für digitale Angriffe aus Unternehmersicht so hoch wie nie
2. Awareness für Cyberrisiken bei KMU gesunken
3. Viele Software-Produkte für Onlineshops sind unsicher
4. Unternehmen wünschen sich mehr Unterstützung bei IT-Notfällen
5. Cybersicherheit in deutschen Unternehmen noch zu wenig auf der Agenda
6. Ernstere Bedrohung im digitalen Zeitalter