In den vergangenen Tagen wurden die Ergebnisse von zwei neuen Umfragen zur aktuellen IT-Sicherheitslage in den deutschen Unternehmen veröffentlicht. Die erste Studie mit dem Titel Konsequenzen unzureichender Cyber-Sicherheit für Unternehmen und Wirtschaft in Deutschland, durchgeführt vom britischen Consulting-Unternehmen Cebr im Auftrag des Security-Anbieters Veracode, beschäftigt sich in erster Linie mit den finanziellen Schäden, die deutsche Firmen durch Cyber-Attacken hinnehmen mussten. Befragt wurden 205 Unternehmen mit mehr als 1.000 Mitarbeitern, die Daten für ganz Deutschland wurden von Cebr über ergänzende, eigene Recherchen hochgerechnet.
59 Prozent der Firmen gaben an, in den vergangenen fünf Jahren mindestens einen Sicherheitsvorfall verzeichnet zu haben. Insgesamt entstanden den deutschen Unternehmen durch Angriffe aus dem Internet Schäden von geschätzt 13 Milliarden Euro pro Jahr. Die meisten Attacken meldete die Baubranche, ihre Vertreter waren durchschnittlich 2,7 Mal das Ziel von Angriffen. Verantwortlich dafür ist nach Einschätzung von Cebr die zunehmend komplexe Lieferkette bei Bauprojekten sowie der vermehrte Einsatz von digitalen Techniken. Es folgen die Distribution mit 2,5 sowie die Versorgungs-, Energie- und Bergbau-Unternehmen mit 2,2 Attacken.
Die größten Schäden durch Umsatzrückgänge infolge von Cyber-Angriffen entstanden bei Firmen aus dem Bereich Fertigung und Produktion, sie mussten in den vergangenen fünf Jahren 27 Milliarden Euro Umsatzeinbußen verkraften. Bei Unternehmen aus der Branche Versorgung, Energie und Bergbau waren es 9,2 Milliarden Euro, das Baugewerbe war mit 6,5 Milliarden die am drittstärksten betroffene Branche.
Wie gut ist die Verteidigung deutscher Unternehmen?
Die zweite Studie geht das Thema IT-Sicherheit auf andere Weise an. Das Analystenhaus techconsult hat bei der Untersuchung Security Bilanz Deutschland 2016 zwei Indizes gebildet: Der Sicherheitsindex basiert auf den Angaben von 500 mittelständischen deutschen Unternehmen und öffentlichen Verwaltungen zu ihren Sicherheitsmaßnahmen auf technischer, organisatorischer, rechtlicher und strategischer Ebene. Ihm hat techconsult einen Gefährdungsindex gegenübergestellt, der sich aus der Einschätzung der Firmen ergibt, wie gut sie gegen Cyber-Angriffe gewappnet sind und wie stark sie die Bedrohung durch solche Attacken einschätzen. Da die Umfrage in diesem Jahr bereits zum dritten Mal durchgeführt wurde, lassen sich auch längerfristige Trends ableiten.
Dabei zeigt sich, dass der Sicherheitsindex von 57 Punkten im Jahr 2014 auf mittlerweile 50 Punkte gefallen ist. Der Gefährdungsindex hingegen stieg im gleichen Zeitraum von 46 auf 49 Punkte. Sieht man sich die Ergebnisse genauer an, so stellt man fest, dass die Unternehmen ihre technischen Sicherheitsmaßnahmen im Laufe der Jahre immer schlechter bewertet haben.
Die organisatorischen, rechtlichen und strategischen Maßnahmen hingegen, etwa Mitarbeiter-Schulungen oder die Klärung von Haftungsfragen, schnitten dagegen immer ungefähr gleich ab. Die Analysten interpretieren diese Ergebnisse so, dass es bei den Unternehmen ein zunehmendes Bewusstsein für die Gefährdung durch Cyber-Attacken gibt. Sie beginnen verstärkt darüber nachzudenken, wie sie selbst gegen diese Bedrohungen geschützt sind, und stoßen auf die Schwachstellen in ihren Sicherheitskonzepten.
Problembewusstsein prallt auf hohe Investitionen
Die technischen Sicherheitsmaßnahmen reichen dabei von der Passwortsicherheit über Basisschutz-Lösungen wie Antiviren-Software und Firewalls bis hin zu komplexen Lösungen etwa zur Angriffserkennung und -prävention und zu Lösungen für Mobilgeräte.
Zieht man die Ergebnisse beider Studien zusammen, so ergibt sich ein gemischtes Bild. Zum einen ist positiv festzuhalten, dass das Bewusstsein über die Gefährdung durch Cyber-Attacken in den Unternehmen offenbar zugenommen hat und sie gewillt sind, verstärkt in diesen Bereich zu investieren. Diesem positiven Befund stehen allerdings die hohen Kosten entgegen, die der deutschen Wirtschaft durch Angriffe auf die IT entstehen. Es ist zu hoffen, dass sich daraus als Konsequenz die Einführung verbesserter Schutzmaßnahmen und die Verringerung der Schäden durch Cyber-Attacken ergibt.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.