Etwa jedes zehnte Unternehmen (11 Prozent) in Deutschland war im vergangenen Jahr von einem IT-Sicherheitsvorfall bedroht. Das hat eine repräsentativen Ipsos-Umfrage im Auftrag des TÜV-Verbands unter 501 Unternehmen ab 10 Mitarbeitenden ergeben. In absoluten Zahlen entspricht das in dieser Unternehmensgrößenklasse rund 50.000 Vorfällen. „Sowohl die weltpolitischen Spannungen als auch technologische Trends wie die Verbreitung Künstlicher Intelligenz sind eine Gefahr für die Cybersicherheit der Unternehmen in Deutschland“, sagte Dr. Johannes Bussmann, Präsident des TÜV-Verbands. Neben kriminellen Hackern verstärkten staatliche Akteure ihre Aktivitäten, so Bussmann weiter.
Die größte Gefahr
Die größte Gefahr geht aus Sicht der Befragten von der organisierten Cyberkriminalität aus: 57 Prozent fühlen sich von organisierten Hacker-Banden bedroht. Jeweils 27 Prozent sehen staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. 22 Prozent fürchten so genannte Innentäter, die über interne Kenntnisse eines Unternehmens verfügen und diese bei einem Angriff ausnutzen können. Angesichts der Bedrohungslage spricht sich eine Mehrheit für zusätzliche gesetzliche Vorgaben aus. 64 Prozent der Befragten stimmen der Aussage zu, dass jedes Unternehmen verpflichtet sein sollte, angemessene Maßnahmen für seine Cybersecurity zu ergreifen. Bussmann: „Aktuelle Gesetzesvorhaben in der EU wie der Cyber Resilience Act im Bereich Produktsicherheit oder der AI Act für Künstliche Intelligenz müssen jetzt zügig verabschiedet werden und schnell zur Anwendung kommen.“
Auswirkungen des Krieges
58 Prozent geben an, dass der Krieg in der Ukraine das Risiko von Cyberangriffen stark erhöht habe. Und 16 Prozent verzeichnen seit Ausbruch des Krieges mehr Cyberangriffe bzw. Angriffsversuche auf ihr Unternehmen. Am stärksten betroffen sind Unternehmen ab 250 Mitarbeitenden mit 28 Prozent. Die mit Abstand häufigste Angriffsmethode ist Phishing, also E-Mails, mit denen Passwörter abgegriffen werden oder Schad-Software verbreitet wird. Bei 62 Prozent der betroffenen Unternehmen war ein Phishing-Angriff erfolgreich. „Phishing bekommt mit generativen KI-Anwendungen wie ChatGPT eine neue Dimension“, sagte Bussmann. „Leicht erkennbare Phishing-Mails wegen Fehlern oder holpriger Formulierungen wird es bald nicht mehr geben.“ An zweiter Stelle stehen Ransomware-Angriffe, bei denen die IT-Systeme gehackt, Daten verschlüsselt und die Unternehmen dann erpresst werden (29 Prozent). Eine weitere Methode ist laut Studienergebnis die Manipulation von Mitarbeitenden, das so genannte Social Engineering (26 Prozent).
Finanzielle Schäden
42 Prozent der Unternehmen erlitten finanzielle Einbußen, Dienste für Mitarbeitende (38 Prozent) oder Kunden (29 Prozent) waren nicht erreichbar, die Produktion ist ausgefallen (13 Prozent) oder sensible Daten wurden gestohlen (13 Prozent). Gut jedes zweite Unternehmen hat seine Ausgaben für Cybersecurity in den vergangenen zwei Jahren leicht oder sogar deutlich erhöht (52 Prozent). Die Investitionen gehen an erster Stelle in moderne Hard- und Software: 78 Prozent haben etwa veraltete Geräte außer Betrieb genommen. 63 Prozent haben die IT-Sicherheit vernetzter Maschinen und Anlagen verbessert. Darüber hinaus investieren die Unternehmen in ihr eigenes Knowhow: 72 Prozent lassen sich von externen Spezialisten beraten und 51 Prozent schulen ihre Belegschaft. Etwa jedes dritte Unternehmen nutzt so genannte Penetrationstests, bei denen ‚gute Hacker‘ Schwachstellen in den IT-Systemen aufspüren (32 Prozent). Knapp ein Viertel führt Notfallübungen durch, um besser auf den Ernstfall vorbereitet zu sein (24 Prozent). Ebenfalls ein Viertel hat Zertifizierungen eingeführt (26 Prozent).