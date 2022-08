Die Bedrohungslage durch Cyberattacken hat sich in den vergangenen zwölf Monaten verschärft. Deutsche Unternehmen sehen sich einer zunehmenden Zahl an Cyberangriffen ausgesetzt – mit geschäftsschädigenden Folgen, schildert Kai Zobel, Area Vice President EMEA bei Imperva, in einem Gastbeitrag.

Viele deutsche Unternehmen sind nicht ausreichend auf die wachsende Gefahr vorbereitet, wie eine Studie von Imperva zeigt. Die Frage lautet: Wie können Unternehmen das Wettrennen gegen Cyberkriminelle jetzt noch drehen?

Die Zahl, der von einem Cyberangriff betroffenen Unternehmen, steigt. Diese Entwicklung zeigt eine von Imperva in Zusammenarbeit mit YouGov durchgeführte Studie unter Angestellten mit weitgehender oder alleiniger Entscheidungsbefugnis im Berufsbereich IT in Deutschland. 36 Prozent der befragten IT-Manager geben an, dass die Zahl der Cyberattacken auf ihr Unternehmen in den vergangenen zwölf Monaten etwas oder sogar in hohem Maße zugenommen hat. Knapp die Hälfte (46 Prozent) der Befragten befürchtet, dass auch 2022 ein deutlicher Anstieg zu verzeichnen sein wird. Zunehmende Digitalisierung und Vernetzung in Arbeitswelt und Unternehmen führen dazu, dass nahezu täglich neue Einfallstore für Cyberattacken entstehen. Ransomware (20 Prozent) und DDoS (18 Prozent) führen die Liste der Angriffsarten an.

Schwerwiegende Folgen für Betroffene

Bereits jetzt zeigt sich, mit welch gravierenden Konsequenzen solche Cyberangriffe einhergehen. Fast die Hälfte (46 Prozent) der betroffenen Unternehmen hatte Systemausfälle, die sich in einer vernetzten Wirtschaftswelt auch entlang der Lieferkette auswirken können – mit potenziell dramatischen Folgen. Die Kompromittierung von wichtigen Unternehmensdaten wie Budget- und Finanzplänen (13 Prozent), Managementinformationen (16 Prozent) aber auch geistigem Eigentum (16 Prozent) können den langfristigen Unternehmenserfolg gefährden. Am häufigsten sind jedoch Mitarbeiter- (20 Prozent) und Kundendaten (17 Prozent) das Ziel von Attacken. Nahezu jedes fünfte von einem Cyberangriff betroffene Unternehmen (19 Prozent) musste bereits Kundenverluste hinnehmen. Andere negative Auswirkungen sind finanzielle Erpressung (16 Prozent), Verkaufseinbußen (15 Prozent), Reputationsschäden (14 Prozent) und behördliche Sanktionen (10 Prozent). Trotzdem wird die Gefahr aktuell in vielen Fällen nur „stiefmütterlich“ behandelt.

Aktuelle Cybersecurity-Strategien weisen große Lücken auf

Viele der befragten Unternehmen haben zurzeit keine ausreichenden Sicherheitsstrategien für diese Gefahrensituation implementier: Nur knapp jedes zweite (44 Prozent) besitzt einen aktuellen Krisenplan für den Fall eines Cyberangriffes. Dabei erfordern gerade digitale Geschäftsmodelle und Prozesse, die maßgeblich auf der Arbeit mit und dem Teilen von sensiblen Daten basieren, eine umfassende, ganzheitliche Cybersecurity-Strategie. Allerdings nutzen aktuell nur knapp die Hälfte der Befragten Tools, die Aufschluss darüber geben, welche (sensiblen) Daten im Unternehmen vorhanden sind (49 Prozent) und wie diese verwendet werden (44 Prozent). Wenn es um den Austausch von internen Daten mit Lieferanten oder Partnern geht, verfügen gar nur 23 Prozent über eine vollständige und automatisierte Liste aller Drittparteien, mit denen sie diese Daten austauschen. 43 Prozent haben entweder keine oder keine sicheren Systeme und Verfahren, die festlegen, auf welche Daten Dritte zugreifen können, oder diese werden nicht einheitlich angewendet.

Deutsche Unternehmen reagieren – Umdenken ist zu beobachten

Die steigende Gefahr durch Cyberangriffe hat bei vielen deutschen Unternehmen nun zu einem Umdenken geführt und 43 Prozent haben ihre Investitionen in die Cybersicherheit in den vergangenen zwölf Monaten erhöht. Unter den Unternehmen, die in den zwölf Monaten vor der Befragung von einem Cyberangriff betroffen waren, hat sogar die Hälfte (50 Prozent) die (veraltete) Cybersecurity-Strategie überarbeitet . Beinahe genauso viele haben ihre Investitionen in Cybersicherheits-Tools und -Lösungen erhöht (48 Prozent) und immerhin ein Viertel (25 Prozent) hat zusätzliches Personal für Cybersecurity eingestellt. Das kann jedoch nur der Anfang sein. Es gilt, auch die Mitarbeitenden – zum Beispiel durch Schulungen zum Thema Cybersicherheit oder detaillierten Richtlinien zur Remote-Arbeit – für die Gefahr eines Cyberangriffes zu sensibilisieren. Dazu kommt, dass viele Unternehmen erst jetzt beginnen, neue datengetriebene Geschäftsmodelle umzusetzen. In diesem Kontext spielt die Einführung von Cloud-Modellen eine bedeutende Rolle. Viele sehen darin aber auch ein Risiko: Für 23 Prozent der Befragten ist die Einführung der Cloud unter Gewährleistung der Datensicherheit die größte Cybersicherheits-Herausforderung bei Projekten zur digitalen Transformation.

Ganzheitliche Strategie aufgrund dynamischer Gefahrenlage erforderlich

Es wird deutlich, dass deutsche Unternehmen die Cybersicherheit lange Zeit zu sehr vernachlässigt haben. Aufgrund der globalen Vernetzung der Wirtschaft sowie einer zunehmend hybriden, digitalen Arbeitswelt hat sich die Gefahr durch Cyberangriffe in den vergangenen Monaten nun jedoch erhöht. Die gestiegene Zahl an Unternehmen, die von einer Cyberattacke betroffen waren, zeigt, dass die deutsche Wirtschaft bislang im Wettlauf gegen die Kriminellen hinterherhinkt. In der Folge sind viele Unternehmen dazu übergegangen, ihre Investionen in Systeme, Prozesse und Mitarbeitende zu erhöhen. Um jedoch langfristig auf Augenhöhe mit den Angreifenden oder gar überlegen zu sein, müssen Unternehmen eine ganzheitliche Sicherheitsstrategie und -kultur implementieren. Nur so können sie schnell und zielführend auf die dynamische, in Zukunft weiter steigende Gefahrenlage und neue Sicherheitsrisiken – beispielsweise ausgehend von Cybercrime-as-a-Service – reagieren.

Über die Studie

Die Online-Umfrage, auf der die Studie basiert, wurde im Zeitraum vom 10.-20. Dezember 2021 von YouGov Deutschland GmbH durchgeführt. Befragt wurden insgesamt 528 Personen mit weitgehender bzw. alleiniger Entscheidungsbefugnis im Berufsbereich IT.