(kunid) Die Mehrheit der Unternehmen hat ein hohes Vertrauen in ihre Sicherheitsstrategien, wenn es um die Abwehr von Cyberkriminellen geht, so das Ergebnis einer aktuellen Studie. Allerdings zeigte die Untersuchung auch, dass es im Durchschnitt monatlich zwei bis drei erfolgreiche Cyberattacken auf Unternehmen gibt. Ein guter Teil der Angriffe wurde allerdings gar nicht durch die IT-Sicherheitsteams selbst entdeckt. Neu ist das Erste-Hilfe-Angebot eines unter anderem vom Bundeskanzleramt initiierten Webportals für Opfer von Cyberkriminellen. Es zeigt zum Beispiel, was zu tun ist, wenn man Opfer einer Erpresser-Schadsoftware geworden ist.
Die international tätige Unternehmensberatung Accenture hat diesen Sommer 2.000 IT-Verantwortliche in Unternehmen mit einem Jahresumsatz von mehr als einer Milliarde US-Dollar zum Thema digitale Sicherheit interviewt.
Die Studie wurde in 15 Ländern durchgeführt, darunter in acht europäischen Ländern. Abgefragt wurden Informationen über erfolgte Cyberangriffe, die Effektivität der Sicherheitsmaßnahmen und des bestehenden Budgets. „Die Umfrageergebnisse zeigen, dass permanente Cyberangriffe heute in jeder Branche Realität sind“, kommentiert ein Sprecher des Studienerstellers.
Im Schnitt 106 Cyberangriffe pro Unternehmen
Die Studie spricht von durchschnittlich 106 Cyberangriffen auf jedes Unternehmen. Gemeint sind damit nicht die ständigen „zufälligen“ Angriffe, sondern gezielte Attacken. Ein Drittel davon sei nach Angaben der Befragten erfolgreich verlaufen. Im Schnitt entspreche dies also für jedes Unternehmen zwei bis drei Angriffen pro Monat, bei denen die Sicherheitsvorkehrungen überwunden werden, so Accenture.
„Allerdings wurde rund ein Drittel der Sicherheitslücken in Unternehmen nicht von den Teams für IT-Sicherheit entdeckt, sondern beispielsweise von anderen Mitarbeitern oder externen Quellen“, heißt es weiter.
51 Prozent sagten laut Studienersteller, dass Verletzungen der IT-Sicherheit erst nach mehreren Monaten entdeckt werden. „Rund ein Viertel entdeckt erfolgreiche Angriffe sogar erst nach einem Jahr oder noch später.“
Drei Viertel sind trotzdem von ihrer Abwehrstrategie überzeugt
Wenngleich Angreifer offenbar häufig erfolgreich sind, zeigen sich dennoch 75 Prozent der Befragten überzeugt, dass ihre Strategie zur Abwehr von Cyberangriffen funktioniert. 38 Prozent gaben an, in der Lage zu sein, Angriffe zu überwachen, und 44 Prozent, sie identifizieren zu können.
Im Schnitt stehen Unternehmen laut der Studie acht Prozent der IT-Budgets für Sicherheitsmaßnahmen zur Verfügung.
Die letzte große Investition in die Transformation der IT-Sicherheit liege bei 62 Prozent der Befragten zwischen sechs und zwölf Monate zurück, bei 22 Prozent ein bis zwei Jahre. Lediglich 16 Prozent investierten in den vergangenen sechs Monaten in großem Umfang in die IT-Sicherheit.
Hauptgefahren aus Sicht österreichischer KMUs
Bei den Zielen der IT-Sicherheit stehe an oberster Stelle, Firmeninformationen zu sichern (56 Prozent), den guten Ruf des Unternehmens zu wahren (54 Prozent) und Kundendaten zu schützen. Beim Nachbarn Deutschland sei ein weiteres vorrangiges Thema, Betriebsunterbrechungen vorzubeugen (61 Prozent).
Wie aus einer anderen Studie hervorgeht, die ein Versicherer kürzlich veröffentlicht hat – sie wurde unter Klein- und Mittelunternehmen (KMUs) durchgeführt –, fürchten österreichische KMUs vor allem drei Folgen von Cyberattacken: Allen voran sind dies Betriebsunterbrechungen und ein Diebstahl von Kundendaten, mit etwas Abstand auch die Rufschädigung des Unternehmens.
Konkret wird das Risiko einer durch Cyberangriffen bedingten Betriebsunterbrechung, etwa wegen eines Virusbefalls oder eines Ausfalls der Website, von 27 Prozent der befragten österreichischen Unternehmen genannt. Gleich hoch ist der Anteil jener, die fürchten, dass Kundendaten in falsche Hände geraten könnten. Jeweils knapp ein Fünftel denkt an mögliche Reputationsschäden oder den Diebstahl von Geld oder Ersparnissen. Bei beiden ist der Anteil der Nennungen gegenüber einer entsprechenden Umfrage im Vorjahr merklich gestiegen.
Erste Hilfe für den Ernstfall
In Österreich gibt es zum Schutz vor Cyberrisiken unter anderem für Firmen im Internetportal www.onlinesicherheit.gv.at des Bundeskanzleramts und des A-SIT Zentrums für sichere Informationstechnologie – Austria Tipps für eine sichere IT-Nutzung. Auch aktuelle Warnungen über entsprechende Bedrohungen können hier abgerufen werden. Neu auf der Website ist das Angebot einer Ersten Hilfe für den Ernstfall, zum Beispiel um einen Erpressungstrojaner (Ransomware) zu entfernen.
Die Versicherungswirtschaft bietet passende Absicherungslösungen vor Cyberrisiken, die ein Unternehmen bedrohen können, an. So lassen sich beispielsweise mit Cyber-Versicherungspolizzen zahlreiche Kosten absichern, die aufgrund eines erfolgten Hacker- und Spionageangriffes notwendig sind.
Darunter fallen zum Beispiel Kosten für die Wiederherstellung von durch Cyberkriminelle beschädigten oder zerstörten Daten sowie Aufwendungen, um eine Betriebsunterbrechung aufgrund eines geglückten Hackerangriffs zu verhindern. Aber auch Ausgaben für ein notwendiges Krisenmanagement, nachdem Cyberkriminelle beispielsweise geklaute Daten unerlaubt veröffentlicht haben, sind versicherbar.