Noch immer sind viele Unternehmen nicht ausreichend vor Cyber-Attacken geschützt. Dabei nimmt das Gefahrenpotenzial zu.

Noch immer sind viele Unternehmen nicht ausreichend vor Cyber-Attacken geschützt. Dabei nimmt das Gefahrenpotenzial zu.Vladislav Kochelaevs – Fotolia.com

In den letzten drei Jahren war jedes zweite Unternehmen Ziel von Cyber-Angriffen. Das zeigt eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik, ­an der sich 257 Unternehmen, Behörden und andere Einrichtungen aller Größenordnungen und Branchen beteiligten.

Cyber-Angriffe und Folgeschäden sind Realität und müssen Bestand­teil des Risikomanagements sein. Das ist ein Ergebnis der Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI). Denn allein in den letzten drei Jahren war mehr als jedes zweite Unternehmen (56 %) das Ziel von Cyber-­Angriffen, weitere 15 % konnten hierzu keine Angaben machen. Jedes vierte Unternehmen hat Schäden erlitten, weitere 12 % konnten einen erfolgreichen Angriff nicht ausschließen. Software-Schwachstellen waren dabei die häufigste Ursache für erfolg­reiche Cyber-Angriffe. Aber auch Fehlkonfigurationen von Systemen durch die eigene Organisation stellten sich häufig als Ursache heraus. Das viel beschworene unbeabsichtigte Fehlverhalten von Mitarbeitern war auch bei der BSI-Umfrage eines der meist genannten Probleme.

Ungezielte und gezielte Malware war die häufigste Angriffsart.

Ungezielte und gezielte Malware war die häufigste Angriffsart.BSI/Redaktion IEE

Flächenangriffe wie Malware-Infektionen sind die am häufigsten erkannten Cyber-­Angriffe. Daneben werden zahlreiche gezielte, vorsätzliche Cyber-Angriffe (DDoS, Hacking) detektiert, die Spionage, Sabotage, Erpressung oder Datenmissbrauch und -diebstahl zum Ziel hatten. Bei 75 % der befragten Institutionen bedrohen die Cyber-­Angriffe die Betriebsfähigkeit. Dabei waren nach Meinung der Befragten die Kosten für die Aufklärung der Angriffe und das Wiederherstellen der Systeme meistens der größte Schaden. Doch auch Reputationsschaden und Produktionsausfall spielen eine große Rolle. Der Informationsabfluss von eigenen oder Kundendaten kam laut der Umfrage nur selten vor.

Die Befragten sehen sich mittelfristig hauptsächlich von Cyber-Kriminellen bedroht. 65 % nannten organisierte Kriminalität und 57 % Wirtschaftskriminelle als die größten Bedrohungen. Staatliche Angreifer stehen immerhin auf Platz drei mit 49 % der Nennungen. Hacktivismus (21 %) spielt in der Risikobetrachtung nur eine Nebenrolle.

Es fehlt noch immer an Schutz

Obwohl technische Maßnahmen wie Firewall und Malware-Schutz in Unternehmen weitgehend umgesetzt sind, müssen das Management der Informations­sicherheit und die Cyber-Sicherheitsmaßnahmen verstärkt werden. Immer noch fehlen bei 25 % der Befragten wesentliche Maßnahmen, wie Patchmanagement und Segmentierung des Unternehmensnetzes. Weniger als die Hälfte der Befragten gab an, ein strukturiertes Informations-Sicherheitsmanagement (ISMS) zu betreiben. Informations-Sicherheitsmanagement und Cyber-Sicherheitsmaßnahmen sind deutlich zu schwach ausgeprägt und müssen verstärkt werden.

Für die kommenden zwei Jahre attestieren die Befragten den Cyber-­Kriminellen das größte Bedrohungspotenzial.

Für die kommenden zwei Jahre attestieren die Befragten den Cyber-­Kriminellen das größte Bedrohungspotenzial.BSI/Redaktion IEE

Die Online-Umfrage bestand aus 21 geschlossenen Fragen des BSI. Sie lief von Juni bis September 2014. Ziel der Umfrage war es, Informationen zur subjektiven Gefährdungssituation, zu durchgeführten Schutzmaßnahmen und Best Practices aus Sicht der potenziell von Cyber-Angriffen betroffenen Unternehmen, Behörden und Institutionen zu erhalten. Dem BSI wurden ausschließlich anonyme Umfrage­ergebnisse übermittelt, ein Rückschluss auf die befragte Institution aus den Ergebnisdaten ist somit nicht möglich. Unterstützt wurde die Befragung durch die Verbände Bundesverband der Deutschen Industrie (BDI), dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom), dem Verband der IT-Anwender (Voice) und dem Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI).