IT-Sicherheitsstudie: Risikobewusstsein nimmt leicht ab
Jahr für Jahr erhebt eco – Verband der Internetwirtschaft Umfragen zur IT-Sicherheit in Deutschland. Im März 2020 hieß es, Unternehmen rüsten sich für den „Ernstfall“. Die Bewertung der Bedrohungslage ist weiterhin schlecht, hat sich 2021 trotz COVID-19 aber etwas verbessert.
Waren Anfang 2020 noch knapp 91 Prozent der IT-Experten in Deutschland von einer wachsenden Bedrohung durch Hacker bei der Internetnutzung ausgegangen, ist der Anteil ein Jahr später trotz Corona auf 77 Prozent zurückgegangen. Das geht aus den seit 2010 jährlich veröffentlichten Umfrageergebnissen vom eco – Verband der Internetwirtschaft e.V. hervor.
In der IT-Sicherheitsstudie im Frühjahr 2020 sprach nur jeder Zehnte (9 Prozent) von einer gleichbleibend hohen Bedrohungslage. Allerdings beurteilten die befragten Experten diese in Deutschland als weit schlechter als im eigenen Unternehmen. Die deutsche Wirtschaft sei IT-sicherheitstechnisch schlecht aufgestellt, hatten vor einem Jahr 66 Prozent der Befragten gesagt, nur 15 Prozent sahen dies aber auch im eigenen Unternehmen so. 32 Prozent sahen ihr Unternehmen ausreichend abgesichert, 37 Prozent gut, 16 Prozent sogar sehr gut.
Überschätzung – Fehleinschätzung?
Für Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit bei eco, war diese Diskrepanz zwischen der eigenen Sicherheitslage und der im Allgemeinen als ein Zeichen, wie schwer es den Experten fällt, „die Bedrohung richtig einzuschätzen“. Man kann sogar von einer Fehleinschätzung sprechen, denn in 28 Prozent der Unternehmen gab es der Umfrage von 2019 zufolge mindestens einen gravierenden Sicherheitsvorfall, gut 2 Prozent mehr als ein Jahr davor.
Die meisten Cyberangriffe gingen von Ransomware, Website Hacking und DDoS-Attacken (Distributed-Denial-of-Services) aus. Immerhin haben laut der eco-Studie vom Vorjahr schon rund 63 Prozent der Befragten einen Notfallplan gehabt, das ist ein leichter Anstieg gegenüber den 57 Prozent in der Studie von Anfang 2019. Als zweite Vorsorgemaßnahme haben Unternehmen laut der März-Studie 2020 Mitarbeiterschulungen forciert. Der Anteil stieg von 41 auf 52 Prozent.
Positive Tendenz ist richtig einzuordnen
In der neuen IT-Sicherheitsstudie 2021, die eco im Februar vorgestellt hat, sahen nur noch 57 statt vorher 66 Prozent (siehe oben) der befragten Experten die deutsche Wirtschaft sicherheitstechnisch schlecht unzureichend aufgestellt. Dehning mahnt aber dazu, die leicht positive Tendenz in den Umfrageergebnissen richtig einzuordnen. Eine deutliche Mehrheit der IT-Sicherheitsexperten gingen ihm zufolge weiterhin davon aus, dass sich die IT-Sicherheitslage der Unternehmen in Deutschland verschlechtert habe. Die Pandemie dürfe keine „Ausrede für mangelnde IT-Sicherheit“ sein. Die Verantwortlichen müssten der IT-Sicherheit weiterhin höchste Priorität einräumen, so der Leiter der Kompetenzgruppe Sicherheit bei eco – Verband der Internetwirtschaft e.V.
Vor allem kleine und mittelständische Unternehmen sind ihm zufolge nach wie vor massiv von internationaler Cyberkriminalität bedroht. Für Unternehmen, die ohnehin von COVID-19 und den Lockdowns geschwächt sind, könne ein Hackerangriff sogar existenzbedrohend sein. Dabei sehen nur 13 Prozent (2 Prozentpunkte weniger als 2020) das eigene Unternehmen unzureichend vorbereitet für Cyberbedrohungen. Dabei hatte 2020 jedes fünfte Unternehmen (20 Prozent) mindestens einen gravierenden Sicherheitsvorfall.
Das sind die größten Bedrohungen
Zu den größten Cyberbedrohungen gehören laut BASICthinking immer noch E-Mail-Phishing, in Corona-Zeiten bei Hackern besonders beliebt, und Ransomware, in der neuen Variante als Ranshameware nicht weniger perfide, im Gegenteil. Die Unternehmen werden hier bei ihrer Scham (shame) gepackt und so erpresst.
Ein großes Comeback hat zudem der Banking-Trojaner Emotet gefeiert, laut Bundesamt für Sicherheit in der Informationstechnik (BSI) die „weltweit gefährlichste Schadsoftware“. Im Internet gehen die meisten Gefahren von schadhaften Links aus. Unternehmen sollten ihre Mitarbeiter daher im Büro oder daheim im Homeoffice dahingehend schulen, dass sie ein Auge darauf haben, welchen Internet-Links sie folgen und welche E-Mails sie öffnen.
Schulen, schulen, schulen – auch im Homeoffice
Ein immer beliebterer Trick ist der CEO Fraud, ein Phishing in Form einer täuschend echten E-Mail, die vorgibt, vom obersten Chef zu sein. In einem Fall haben Betrüger ein Unternehmen dabei um Millionen von Euro „erleichtert“ unter dem Vorwand, der CEO sei im Ausland und brauche dringend eine Geldanweisung. Bei vielen E-Mails lohnt es sich, die Betreff-Zeile genauer zu lesen, weil viele der Hacker Ausländer sind oder sich Bots bedienen, die es mit der deutschen oder englischen Sprache nicht so genau nehmen. Wer sich nicht sicher ist, ob eine solche E-Mail tatsächlich von ganz oben kommt, ist gut beraten, sich die Mail-Domain genauer anzuschauen. Wenn diese vom eigenen Domänennamen abweicht und vielleicht sogar ein kryptisches Etwas hinter dem „Klammeraffen“ zeigt, dann sollte die Mail in keinem Fall geöffnet werden.
Quelle Titelbild: AdobeStock / Jürgen Fälchle
