Durch die Cyber Akademie Berlin und deren Partner Rochus Mumme wurden Entscheider deutscher Unternehmen aus allen Branchen und des öffentlichen Sektors zum Thema Cyber-Kriminalität befragt. Die Hälfte der Studienteilnehmer arbeiten in Unternehmen mit mehr als 1000 Beschäftigten, 30 Prozent in Unternehmen mit 51 bis 1000 Beschäftigten und 20 Prozent in kleineren Unternehmen. Das Ergebnis der resultierenden Studie: Fast die Hälfte der deutschen Unternehmen wurde Opfer von Cyber-Kriminalität.
Immer mehr Phishing
Unter den Angriffsarten liegt Phishing mit einer Verbreitung von 73 Prozent mit Abstand vorne. Die Rangliste sieht im Detail wie folgt aus:
- Phishing (73 Prozent)
- Social Engineering (46 Prozent)
- Krypto-Trojaner (38 Prozent)
- Schadsoftware (35 Prozent)
- DDOS-Attacken (19 Prozent)
Die Mehrheit der Befragten gibt an, dass Cyber-Kriminalität in der deutschen Wirtschaft schon fast alltäglich sei und weiter zunehmen wird. Ferner rechnet die Mehrheit der Teilnehmer die Gefahr als sehr hoch ein, dass ihr Unternehmen in den nächsten 12 Monaten selbst Opfer einer Cyber-Attacke werden könnte. Dies sind die wesentlichen Erkenntnisse der Studie zum aktuellen Stand der IT-Sicherheit.
Organisationen nur unzureichend auf Bedrohungen vorbereitet
Obwohl die meisten Unternehmen erkannt haben, wie akut die Bedrohung ist und wo die größten potenziellen Schwachstellen liegen, werden allerdings wirksame Gegenmaßnahmen oftmals nicht konsequent genug umgesetzt. Wobei häufig nicht mehr Investitionen notwendig sind, sondern vielmehr die Schaffung veränderter Strukturen und Positionen. 60 Prozent der Studien-Teilnehmer schätzen ein mögliches Fehlverhalten der eigenen Mitarbeiter als hohes bis sehr hohes Risiko ein. Dagegen bewerten nur 19 bzw. 34 Prozent Mängel in der IT-Infrastruktur oder beim Passwortschutz als hohes Risiko. Als größte Probleme zur Umsetzung eines wirksameren Schutzes bei der IT-Sicherheit werden vor allem „unaufmerksame Mitarbeiter“, „zu geringe Aufmerksamkeit des Führungspersonals“ und „Fachkräftemangel in der IT-Branche“ gesehen. Dagegen halten nur eine Minderheit der Unternehmen „zu wenig finanzielle Mittel“ oder „gesetzliche Vorgaben“ beim Datenschutz für problematisch.
Obwohl fast alle Unternehmen IT-Sicherheitsrichtlinien festgelegt haben, sind die Schulungen von Mitarbeitern zur IT-Sicherheit auch 2019 noch längst kein Standard. Etwa 50 Prozent der Unternehmen reagieren mit Schulungsmaßnahmen erst, wenn es einen konkreten Vorfall gegeben hat. Anlassunabhängige, regelmäßige Schulungen sind nur bei 37 Prozent der befragten Unternehmen implementiert. Auch die Fachkompetenz des Führungspersonals beim Thema IT-Sicherheit wird häufig als ausbaufähig angesehen. Die meisten Studienteilnehmer attestieren den Führungskräften gerade einmal durchschnittliche bis sogar unterdurchschnittliche oder mangelhafte Kenntnisse. Die IT-Kompetenzen des Führungspersonals sind demnach deutlich steigerungsfähig und bieten breiten Raum für erhebliches Verbesserungspotenzial.
So zeigt die Studie insgesamt, dass das IT-Sicherheitsbewusstsein vor allem der Führungskräfte noch nicht hinreichend ausgeprägt und das Wissen über IT-Bedrohungen zu gering ist. Herausragende Kompetenzen in diesem Bereich würden somit einen klaren Wettbewerbs- und Standortvorteil ermöglichen.