Studie
Imperva Studie zu Cyberattacken: viele deutsche Unternehmen sind nicht ausreichend vorbereitet
Stand der Cybersecurity in Deutschland 2022
Die Bedrohungslage durch Cyberangriffe hat sich in den letzten zwölf Monaten für die untersuchten deutschen Unternehmen verschärft; gleichzeitig ist jedoch ein großer Teil von ihnen nicht adäquat auf solche Angriffe vorbereitet. Das legt eine Studie von Imperva, Inc. nahe, die auf einer Befragung des Marktforschungsunternehmens YouGov unter Angestellten mit weitgehender bzw. alleiniger Entscheidungsbefugnis im Berufsbereich IT basiert.
- 44 Prozent der betrachteten Unternehmen haben keinen aktuellen Krisenplan
- Fast jeder fünfte befragte IT-Manager hat berichtet, dass Cyberangriffe zu Kundenverlusten geführt haben, 46 Prozent erlitten einen Ausfall der Systeme
- 47 Prozent der Befragten rechnen mit einem deutlichen Anstieg der Cyber-Attacken in 2022
Cyberangriffe mit massiv geschäftsschädigenden Folgen
36 Prozent der befragten IT-Manager konstatieren, dass die Zahl der Cyberattacken auf ihr Unternehmen in den letzten zwölf Monaten etwas oder sogar in hohem Maße zugenommen hat. Dabei dominierten vor allem Ransomware- (20 %) und DDoS-Angriffe (18 %): bei ersterer Variante erlangen Hacker mittels Schadsoftware die Kontrolle über den Computer und geben das Gerät erst nach Zahlung von Lösegeld wieder frei. Bei DDoS-Angriffen versuchen Hacker, so viele Anfragen an das System zu stellen, bis dieses letztlich zusammenbricht. Die Konsequenzen dieser und anderer Angriffe waren gravierend. Fast jeder fünfte befragte IT-Manager hat berichtet, dass Cyberangriffe zu Kundenverlusten geführt hätten; bei 46 Prozent kam es zu einem Ausfall der Systeme. Weitere genannte Folgen waren finanzielle Erpressung (16 %), Verkaufseinbußen (15 %), Reputationsschäden (14 %) und behördliche Sanktionen (10 %).
Zudem wurden im Kontext der Cyberangriffe bei den befragten Unternehmen verschiedene Kategorien von Daten kompromittiert oder missbraucht: am häufigsten waren Mitarbeiter- (20 %) und Kundendaten (17 %) Ziel von Manipulationen, aber auch geschütztes geistiges Eigentum, Managementinformationen (beide 16 %) sowie Budget- und andere Finanzplanungsunterlagen (13 %).
Keine Transparenz in der Nutzung von Daten – ganzheitliche Sicherheitsstrategie erforderlich
Auf die Angriffe haben die Unternehmen mit verschiedenen Maßnahmen reagiert: 50 Prozent der Befragten gaben an, dass die Cybersecurity-Strategie überarbeitet wurde; 48 Prozent haben ihre Investitionen in Cyber Security-Tools und -Lösungen erhöht. Zudem hat fast jedes vierte Unternehmen zusätzliches Personal im Bereich der IT- und Cybersecurity eingestellt. Der Bedarf an einer strategischen Kurskorrektur und technischer Ausstattung ist hoch; so hat beispielweise laut der Umfrage nicht einmal jedes zweite Unternehmen einen aktuellen Krisenplan (44 %). Zudem setzt nur knapp die Hälfte der befragten Unternehmen (49 %) Tools zur Datenermittlung und -klassifizierung oder Tools zur Überwachung von Datenbankaktivitäten (44 %) ein, die Aufschluss darüber geben, wie sensible Daten im Unternehmen verwendet werden.
Die Studienergebnisse haben über diese Befunde hinaus auch klar gezeigt, dass die befragten IT-Manager hinsichtlich Datenmanagement und -nutzung ihren Blick auch über den eigenen Betrieb hinaus richten müssen. Denn gerade digitale Geschäftsmodelle, aber beispielsweise auch die Zusammenarbeit mit Lieferanten erfordern zunehmend das Teilen von Daten, was weitere Sicherheitsrisiken birgt: nur 23 Prozent der befragten Unternehmen verfügen aktuell über eine vollständige und automatisierte Liste aller Drittparteien, mit denen sie interne Daten austauschen. 39 % aktualisieren eine solche Liste manuell und 16 Prozent geben an, überhaupt keine Listen an Drittanbietern zu führen. Mehr als 30 Prozent haben keine oder keine sicheren Systeme und Verfahren, die festlegen, auf welche Daten Dritte zugreifen können.
„Ein großer Teil der befragten Unternehmen zieht aus der aktuellen Bedrohungslage immer noch keine ausreichenden Konsequenzen. Und dabei beginnen die meisten Unternehmen erst jetzt so richtig, datengetriebene Geschäftsmodelle wirklich umzusetzen“, konstatiert Kai Zobel, Area Vice President EMEA Imperva. „Für einen wirksamen Schutz von Daten brauchen Unternehmen eine neue Kultur, die Sicherheit und Innovation zusammen denkt, sowie Investitionen in Prozesse, Systeme und Mitarbeitende. Vor allem aber brauchen sie eine ganzheitliche Sicherheitsstrategie, die Messgrößen aus allen Unternehmensbereichen in einer zentralen Plattform zusammenbringt. Nur so lässt sich die eigene IT-Infrastruktur wirksam schützen – vor Angriffen von außen wie von innen.“
Knackpunkt „Sicherheit“ bei Cloud-Modellen
Zwiegespalten sind darüber hinaus viele der befragten IT-Manager auch, wenn es um das Thema Datensicherheit im Kontext der Einführung und Nutzung von Cloud-Modellen geht. Immerhin 23 Prozent bezeichnen die Einführung der Cloud unter Datenschutzaspekten als größte Cybersicherheits-Herausforderung bei Projekten zur digitalen Transformation. Zudem sind 29 Prozent der Befragten überzeugt, dass die Übersicht über die Daten On-Premises größer ist als in der Cloud (30 %: Übersicht ungefähr gleich groß). Und 31 Prozent der Befragten glauben, dass die Daten ihres Unternehmens in der Cloud weniger sicher sind als On-Premises; nur 18 Prozent sehen die Daten in der Cloud besser aufgehoben.
Deutlicher Anstieg der Cyberangriffe prognostiziert – bei Prävention Mitarbeitende im Fokus
Für das Jahr 2022 rechnen 47 Prozent der Befragten mit einem deutlichen Anstieg der Cyberangriffe: 31 Prozent gehen von einem Plus von bis zu 50 Prozent aus; weitere 16 Prozent rechnen sogar mit noch mehr Attacken. Am stärksten wird die Bedrohung durch Ransomware-Attacken eingestuft (35 %); jeweils 13 Prozent der Befragten nennen DDoS-Angriffe und Insider-Bedrohungen als größtes Risiko.
Bei der Eindämmung der Bedrohungslage spielen strategische Maßnahmen, vor allem aber aktuelle Arbeitsmodelle und die Einbindung der Mitarbeitenden eine bedeutende Rolle. 50 Prozent der befragten Unternehmen planen, in den nächsten zwölf Monaten verstärkt Schulungen anzubieten, um für das Thema Cybersicherheit zu sensibilisieren. Ein Drittel der befragten Unternehmen (32 %) will die Richtlinien zur Remote-Arbeit und 18 Prozent wollen ihre BYOD-Richtlinien (Bring your own Device) überprüfen. Die Aktualisierung des Krisenplans für den Fall eines Angriffes wird als zweithäufigste Maßnahme genannt (37 %).
Über die Studie:
Die Online-Umfrage, auf der die Studie basiert, wurde im Zeitraum vom 10. – 20. Dezember 2021 von YouGov Deutschland GmbH durchgeführt. Befragt wurden insgesamt 528 Personen mit weitgehender bzw. alleiniger Entscheidungsbefugnis im Berufsbereich IT, die in Unternehmen mit mindestens zehn Mitarbeitern arbeiten.