EY-Studie: Immer mehr Datenklau-Attacken auf deutsche Unternehmen
Die Fälle von Cyberüberwachung und -kriminalität nehmen zu – das Risikobewusstsein deutscher Unternehmen aber nicht: 14 Prozent der deutschen Unternehmen haben in den vergangenen drei Jahren konkrete Hinweise auf Spionageattacken entdeckt, das sind immerhin doppelt so viele wie noch vor zwei Jahren. Großunternehmen mit mehr als einer Milliarde Euro Umsatz geraten besonders häufig ins Visier von Datendieben: Von ihnen hat sogar jedes fünfte bereits konkrete Attacken festgestellt. Sieben Prozent der deutschen Unternehmen haben sogar mehrfach Hinweise auf Spionage beziehungsweise Datenklau entdeckt. Die Dunkelziffer dürfte weit höher sein: In jedem fünften Unternehmen (21 Prozent) flogen die kriminellen Handlungen nur durch Zufall auf.
Umso verwunderlicher: Lediglich ein Drittel der deutschen Unternehmen sieht ein eher hohes oder hohes Risiko, Opfer eines Cyberangriffs zu werden – das sind so viele wie im Jahr 2013. Dabei hätte man in den Unternehmen durchaus Grund zur Besorgnis. Öffentlichkeitswirksame Warnsignale gab es bereits reichlich – spätestens seit eine groß angelegte und erfolgreiche Attacke auf das IT-Netz des Deutschen Bundestags bekannt geworden ist.
Für die Zukunft erwarten die Manager, dass die Bedeutung des Problems zunehmen wird. Acht von zehn Managern (81 Prozent) gehen von einer wachsenden Bedrohung aus dem Netz aus – das sind etwas mehr als noch vor zwei Jahren (76 Prozent). Dabei geht die größte Gefahr aus Sicht der Manager von China aus: 46 Prozent nennen das Land als Region mit dem höchsten Risikopotenzial, dahinter folgen Russland (33 Prozent) und die USA (31 Prozent).
Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsgesellschaft EY (Ernst & Young), für die Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 450 deutschen Unternehmen befragt wurden.
„Die anhaltende Sorglosigkeit vieler Unternehmen überrascht“, sagt Bodo Meseke, Leiter Forensic Technology & Discovery Services bei EY. „Sie denken, sie seien ausreichend geschützt oder würden nicht Ziel von Datenklau und Cyberangriffen werden. Dabei zeigen die immer neuen Enthüllungen, dass jeder Ziel solcher Attacken werden kann und dass die gängigen Schutzmechanismen umgangen werden können.“
Unternehmen setzen vor allem auf einfache Sicherheitsvorkehrungen
Dennoch hat sich am Sicherheitsgefühl der Unternehmen nichts geändert. Wie schon vor zwei Jahren halten 82 Prozent der Manager die präventiven Maßnahmen gegen Datenklau in ihrem Unternehmen für ausreichend. Die Sicherheitsvorkehrungen sind in der Regel eher konventionell: Jeweils mehr als 80 Prozent der befragten Unternehmen setzen zur Vorbeugung von Spionageakten weiter nur auf Firewalls, Antivirensoftware und gute Passwörter.
Umfassendere Schutzvorkehrungen sind in den Unternehmen hingegen Mangelware: Ein Intrusion-Detection- bzw. Prevention-System, das Hinweise auf die Aktivitäten von Eindringlingen geben kann, leisten sich inzwischen 30 Prozent der Unternehmen und damit immerhin doppelt so viele wie noch 2013. Dennoch findet es im Vergleich immer noch selten Anwendung.
„Das ist fahrlässig. Passwörter und Antivirensoftware können von Hackern heute mitunter minutenschnell umgangen werden. Ein Sicherheitssystem, das lediglich auf diese herkömmlichen Schutzmaßnahmen setzt, öffnet Hackern bereitwillig die Tore. Wer sensible Firmen- oder Kundendaten auf seinen Servern hat, sollte unbedingt strengere Sicherheitsvorkehrungen einführen“, warnt Meseke.
Fast 60 Prozent der Großunternehmen fürchten Cyberangriff
Die Großunternehmen mit mehr als einer Milliarde Euro Umsatz sind sich des Risikos aus dem Netz am ehesten bewusst. 59 Prozent schätzen das Risiko, Opfer eines Cyberangriffs zu werden, als eher hoch oder sehr hoch ein. Bei den Umsatzklassen zwischen 50 Millionen bis eine Milliarde Euro und bis 50 Millionen Euro sind lediglich 34 beziehungsweise 29 Prozent so risikobewusst.
Die Unternehmen sind unterschiedlich stark vom Datenklau betroffen – je nach Größe und Branche. So werden Unternehmen der Energie- und der Finanzbranche am häufigsten Opfer von Spionage und Datenklau: In der Energiebranche geben 17 Prozent an, es habe in den vergangenen drei Jahren konkrete Hinweise auf eine Attacke gegeben, bei vier Prozent sogar mehrfach. In der Finanzbranche geben 16 Prozent an, in den vergangenen drei Jahren mit Spionage und Datenklau zu tun gehabt zu haben – hier waren sogar alle von ihnen mehrfach betroffen. In der Industrie wurden 15 Prozent der Unternehmen bereits zum Opfer, sechs Prozent mehrfach.
In der Umsatzklasse ab einer Milliarde Euro hat in den vergangenen drei Jahren jedes fünfte Unternehmen einen Angriff auf die eigenen Daten erlebt, 18 Prozent mehrfach. In der darunterliegenden Umsatzklasse ab 50 Millionen Euro können immerhin 16 Prozent von entsprechenden Erfahrungen berichten. Lediglich zehn Prozent der Unternehmen mit bis zu 50 Millionen Euro Umsatz haben Hinweise auf Spionage oder Datenklau entdeckt.
Hohe Dunkelziffer – ein Fünftel der Fälle nur durch Zufall aufgedeckt
Die Dunkelziffer dürfte aber deutlich höher sein, gerade bei den kleineren Unternehmen, die oft nicht die entsprechenden Mittel oder das Know-how haben, um solche Attacken zu entdecken. So sind 53 Prozent der entdeckten kriminellen Handlungen durch ein internes Kontrollsystem aufgeflogen. In 21 Prozent der Fälle half nur der Zufall und bei 19 Prozent waren es interne Routineprüfungen. Dort, wo das Kontrollsystem nicht ausreichte oder der Zufall nicht mithalf, sind viele Angriffe also unentdeckt geblieben.
„Gerade große und namhafte Unternehmen sind massiv gefährdet – es dürfte kaum einen deutschen Top-Konzern geben, der nicht schon Opfer einer Cyberattacke wurde“, so Meseke. „Viele Unternehmen merken es nur nicht, weil die Sicherheitssysteme den Angriff nicht entdecken. Oft fällt der Schaden erst dann auf, wenn es schon zu spät ist – wenn sensible Daten also an anderer beziehungsweise falscher Stelle wieder auftauchen. In einer immer enger vernetzten Welt ist völlige Sicherheit ohnehin nicht mehr zu gewährleisten. Umso wichtiger ist es, Datendieben den Zugriff auf wichtige Informationen so schwer wie möglich und damit unattraktiv zu machen.“
In drei von vier Fällen (74 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, in 21 Prozent wurden IT-Systeme vorsätzlich lahmgelegt. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen (elf Prozent), Mitarbeiter abgeworben oder Datenklau durch eigene Mitarbeiter begangen (jeweils zehn Prozent). In den meisten Fällen (48 Prozent) ließ sich der Täter nicht zuordnen – er blieb unerkannt. In 18 Prozent der Fälle konnten sogenannte Hacktivisten – also Hackergruppen wie Anonymous – als Täter identifiziert werden, in 15 Prozent ein konkurrierendes ausländisches Unternehmen.
(PM EY vom 27.7.2015)
Hinweis der Redaktion:
Vgl. zum Thema Cybercrime und Hackerangriffe auf Unternehmen auch den Beitrag von Bensinger/Kozok in CB 10/2015.