Bitkom: 30 Prozent der deutschen Unternehmen verzeichnen Cyberangriffe

Nahezu jedes dritte Unternehmen in Deutschland (30 Prozent) war in den vergangenen zwei Jahren Ziel eines Cyberangriffs. Das hat eine von Aris und Bitkom Research durchgeführte Umfrage ergeben. In ihrem Rahmen wurden 403 Unternehmen ab einer Größe von 50 Mitarbeitern befragt.

58 Prozent der betroffenen Firmen gaben an, dass die Angriffe „vor Ort“ erfolgten und etwa gezielt Daten gestohlen oder Schadprogramme per USB-Stick eingeschleust wurden. 30 Prozent berichteten, dass die Angriffe über das Internet erfolgt seien.

„Cyberattacken können zum Verlust von Geschäftsgeheimnissen führen und gefährden die Arbeitsfähigkeit eines Unternehmens“, kommentierte Bitkom-Präsident Dieter Kempf die Umfrageergebnisse auf der CeBIT in Hannover. „Wir gehen von einer hohen Dunkelziffer aus, da Daten häufig unbemerkt abfließen oder kompromittiert werden.“

Der Untersuchung zufolge hat sich das Bewusstsein für IT-Sicherheit infolge der NSA-Affäre erhöht. Fast drei Viertel (74 Prozent) der Unternehmen sehen Angriffe auf ihre Computer und Datennetze durch Cyberkriminelle oder ausländische Geheimdienste als reale Gefahr. Bei einer vergleichbaren Bitkom-Umfrage im Jahr 2012 waren es erst 63 Prozent.

Die Studie zeigt, dass 36 Prozent der Unternehmen die NSA-Affäre darüber hinaus zum Anlass genommen haben, ihre IT-Sicherheitsmaßnahmen zu verstärken. Zwei Drittel der Firmen, die aktiv geworden sind, haben organisatorische Verbesserungen eingeführt, beispielsweise ein Zugriffsmanagement für bestimmte Daten oder physische Sicherheitskontrollen. 43 Prozent führten Firewalls und 35 Prozent Virenschutzprogramme ein oder erneuerten bestehende Systeme. Ein Drittel intensivierte die Schulungen für Mitarbeiter.

Zusätzlich hat fast ein Viertel (23 Prozent) aller befragten Unternehmen infolge der NSA-Affäre ihre Ausgaben für IT-Sicherheit erhöht. Kempf: „Die gute Nachricht zur NSA-Affäre lautet: Die Wirtschaft nimmt das Thema IT-Sicherheit ernst und investiert.“

Eine positive Entwicklung zeigt sich in diesem Sinne auch bei der Verbreitung von Notfallplänen für den Fall eines Datenverlustes. Neun von zehn Unternehmen (88 Prozent) haben inzwischen einen solchen Notfallplan. Vor zwei Jahren waren es bei Unternehmen ab 20 Mitarbeitern erst 63 Prozent. Bezieht man kleinere Unternehmen ab 3 Mitarbeitern ein, war es sogar nur die Hälfte. „Bei Angriffen auf IT-Systeme ist Zeit immer ein kritischer Faktor“, sagte Kempf. „Ein Notfallplan listet die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.“ Wer ein klares Vorgehen festgelegt habe, könne den Schaden eines IT-Sicherheitsvorfalls deutlich begrenzen.

Angesichts der Abhöraffäre fordert der Bitkom politische Konsequenzen. „Bei der Aufarbeitung der NSA-Affäre durch die Politik stehen wir noch ganz am Anfang“, so Kempf. „Notwendig sind unter anderem neue Verhandlungen über internationale No-Spy-Abkommen.“ Auch innerhalb der EU sollte man sich auf entsprechende Vereinbarungen einigen, um die Grundrechte der Bürger zu schützen und Wirtschaftsspionage durch Geheimdienste zu verhindern. Weitere wichtige Themen seien Regelungen für internationale Datentransfers und die rechtlichen Voraussetzungen, wann Unternehmen Kundendaten an staatliche Stellen herausgeben müssen.

Die Bedeutung der IT-Sicherheit reicht aus Sicht des Branchenverbands weit über die Abhöraffäre hinaus. „Mit der zunehmenden Digitalisierung steigen die Gefahren durch Cyberkriminelle, die sich immer professioneller organisieren“, erklärte Kempf. Die Unternehmen müssten sich so aufstellen, dass sie in der Lage seien, ihre Organisation bestmöglich zu schützen. Das fange mit der Identifizierung sicherheitskritischer Daten an, reiche über die Sensibilisierung und Qualifizierung der Mitarbeiter durch Weiterbildungsmaßnahmen bis zur regelmäßigen Überprüfung aller technischen Maßnahmen.

Notwendig sei zudem eine neue Sicherheitskultur, die einen offenen Umgang mit dem Thema zulässt. „Aktuell wagt es kaum ein Unternehmen, öffentlich über Sicherheitsprobleme zu sprechen, weil die Angst vor einem Reputationsverlust groß ist“, sagte Kempf. Die Informationen der IT-Anwender über Sicherheitsvorfälle trügen dazu bei, ein aktuelles Bild der Bedrohungslage zu erhalten. Unternehmen und andere Organisationen könnten dann frühzeitig gewarnt werden. „Wir fordern alle Unternehmen auf, Informationen zu IT-Sicherheitsvorfällen freiwillig auf anonymer Basis zu teilen“, so der Bitkom-Präsident.

Unter dem Dach der „Allianz für Cybersicherheit“ hat der Verband zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ein entsprechendes Meldesystem aufgebaut. Zudem könnten IT-Anwender von den Erfahrungen anderer lernen. Kempf: „Die Allianz für Cybersicherheit mit ihren aktuell rund 700 Mitglieder ist eine ideale Plattform, über die sich IT-Sicherheitsexperten austauschen können.“

Tipp: Sind Sie ein CeBIT-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de