Mit steigender Technologisierung von Prozessen, Arbeitsabläufen und ganzen Produktions- stätten nahmen auch Hacker-Angriffe zu. Aktuell steigt die Zahl überproportional. Jeder zweite Betrieb wird mehrmals Opfer. Dennoch werden Cyber-Attacken von den meisten Unternehmen deutlich unterschätzt obwohl diese teils großen Schaden anrichten.
Allein in den vergangenen Monaten waren in Deutschland 41 Prozent der Unternehmen, laut „Cyber Security in Österreich 2016“ sogar 49 Prozent der österreichischen Betriebe mindestens einmal von einem Cyber-Angriff betroffen. Die meisten wurden durch Mitarbeitende auf dieAttacke aufmerksam. Den entstandenen finanziellen Schaden beziffert die Hälfte der Opfer mit unter 10.000,– Euro. Bei einem geringen Prozentsatz der betroffenen Firmen reichen die Schäden jedoch bis zu 500.000,– Euro oder darüber hinaus.
Wahrscheinlichkeit an Branche und Unternehmensgröße gekoppelt
Anhand umfassender Datenanalysen konnte risk on mind® zeigen, dass die Wahrscheinlichkeit eines Cyber-Angriffs von der Branche, in der ein Unternehmen tätig ist, und von der Größe des Betriebs abhängt: Je größer ein Unternehmen, desto größer ist das Risiko. In den vergangenen zwölf Monaten wurden 39,4 Prozent der deutschen Unternehmen mit 10–49 Beschäftigten und 47,3 Prozent der deutschen Unternehmen mit 250–499 Beschäftigten Opfer eines Hacker-Angriffs.
Auch Unterschiede zwischen den Wirtschaftszweigen kann risk on mind® festmachen: In den vergangenen zwölf Monaten wurde die Sparte „Sonstige wirtschaftliche Dienstleistung“ (48,4 Prozent) am häufigsten angegriffen, jene von „Land- und Forstwirtschaft, Fischerei“ mit 23,6 Prozent am seltensten.
Phishing ist statistisch die häufigste Cyber-Attacke
Der Versuch, mit gefälschten E-Mail-Nachrichten an persönliche oder betriebsinterne Daten zu kommen und daraus Profit zu schlagen, bezeichnet man als „Phishing“. Seit Jahren wird jeder zweite Hacker-Angriff so gestartet, aktuell zählen in Österreich sogar drei Viertel aller Cyber-Attacken zur Kategorie „Phishing“. Auf 100 deutsche Unternehmen kamen in den vergangenen zwölf Monaten 760 Angriffe. Im Schnitt sind das 7,6 Angriffe pro Betrieb.
Unterschätzt wird auch das Einschleusen einer „Spysoftware“, die Daten unbemerkt ausspioniert, oder einer Schadsoftware, mit der wichtige und dringliche Firmendaten unauflöslich codiert werden. Ein Erpressungsversuch, der oft sehr teuer ist. Nicht selten sind auch sogenannte „CEO-Frauds“, bei denen Hacker Chef spielen und so Mitarbeitenden Daten entlocken.
Gefahr bewusst, aber Schutz nicht ausreichend
Über 80 Prozent der deutschen Unternehmen aller Größenklassen und Wirtschaftszweige haben die Gefahr von Cyber-Attacken im Auge: Sie setzen auf technische Standards wie Mindestanforderung bei Passwörtern, vergeben Zugangs- und Nutzerrechte individuell und je nach Aufgabe, führen regelmäßig Back-ups durch und bewahren diese physisch getrennt auf. Sie verwenden Antivirensoftware und Firewall und installieren regelmäßig Sicherheits- Updates. Doch leider nicht ausreichend, wie die steigenden Zahlen von Angriffen auf Unternehmensdaten zeigen.
Die Auswertungen von risk on mind® ergaben, dass kompliziertere Passwörter die Wahrscheinlichkeit eines Angriffs um zehn Prozent reduzieren können. Wo es aktuell stark mangelt: bei organisatorischen Sicherheitsmaßnahmen. Diese fehlen leider noch häufig: Nur zwei Drittel der Unternehmen halten fixierte Richtlinien zur Informations- bzw. IT-Sicherheit auch schriftlich fest. Und nur knapp ein Viertel aller Betriebe hat eine zertifizierte IT-Sicherheit. Maßnahmen, die Richtlinien und deren Einhaltung überprüfen, zeigen in der Prävention gemeinsam mit regelmäßigen Schulungen von Beschäftigten zur IT-Sicherheit die größte Wirkung.
Pharmaunternehmen bei technischen IT-Sicherheitsmaßnahmen führend
Besonders vorbildlich setzen pharmazeutische Betriebe Schutzmaßnahmen gegen Hacker- Angriffe auf technischer Ebene um. Die andere Seite der Medaille: Die organisatorischen Schutzmaßnahmen bieten noch viel Potenzial, das Risiko deutlich zu senken. Zwei Beispiele: 85 Prozent der deutschen Pharma-Unternehmen verwenden keine zertifizierte IT-Sicherheit. 75 Prozent gaben an, dass sie bei der Schulung der Mitarbeitenden hinterherhinken.
Quellen: Cyber-Angriffe gegen Unternehmen in Deutschland. Ergebnisse einer repräsentativen Unternehmensbefragung 2018/2019. Hg. v. Deutschen Bundesministerium für Wirtschaft und Energie. 2020.
Cyber Security in Österreich. Hg. v. KPMG Security Services GmbH. 05/2020
Statistische Datenanalysen von risk on mind®
