Insgesamt 41 % der Unternehmen ab zehn Beschäftigten in Deutschland erlebten innerhalb eines Jahres mindestens einen Cyberangriff, auf den sie reagieren mussten.
Aber nicht alle Unternehmen sind gleichermaßen betroffen. Dies gehört zu den zentralen Ergebnissen einer großangelegten repräsentativen Befragung von 5.000 Unternehmen, welche das Kriminologische Forschungsinstitut Niedersachsen e.V. (KFN) am 16.03.2020 vorlegt. Insbesondere in den Gruppen der kleinen und mittleren Unternehmen musste häufiger auf Cyberangriffe reagiert werden, wenn die Unternehmen mehrere Standorte im In-oder Ausland hatten, Waren oder Dienstleistungen exportierten oder über besondere Produkte, Herstellungsverfahren, Reputationen oder Kundenkreise verfügten. „Wenn man von solchen Risikofaktoren weiß, können Unternehmen gezielter darin unterstützt werden, ihre IT-Sicherheit zu verbessern“, sagt der Soziologe Arne Dreißigacker (Leiter der Befragung). Die Untersuchung ergab zudem, dass technische IT-Sicherheitsmaßnahmen bereits sehr weit verbreitet sind. Maßnahmen, die sich auf die Organisation der Unternehmen beziehen, z.B. IT-Sicherheitsschulungen für Beschäftigte oder schriftlich fixierte Richtlinien zur IT-Sicherheit, werden hingegen seltener eingesetzt. Unternehmen, die nicht nur auf Technik setzen, sind tendenziell seltener von Cyberangriffen betroffen.
Betroffenheit von Cyberangriffen
Über alle Angriffsarten hinweg waren etwa zwei Fünftel der Unternehmen ab 10 Beschäftigten in den letzten zwölf Monaten (immer bezogen auf die Zeit vor der Befragung) von mindestens einem Cyberangriff betroffen, auf den in irgendeiner Weise aktiv reagiert werden musste (41 %). Automatisiert abgewehrte Angriffe, z.B. Spam-E-Mails durch eine Firewall, sind hier nicht enthalten. Unterschieden nach Angriffsarten zeigt sich, dass vergleichsweise viele Unternehmen in den letzten zwölf Monaten von Phishing (22 %) und Schadsoftwareangriffen (Ransomware: 13%, Spyware: 11% und sonstige Schadsoftware: 21%) betroffen waren, gefolgt von CEO-Fraud (8 %), (D)DoS (6 %), Defacing und manuellem Hacking (jeweils 3 %).
Im Unternehmensgrößenvergleich fallen relativ große Unterschiede bezüglich Ransomware, Phishing und besonders beim CEO-Fraud auf. Große Unternehmen sind von diesen Angriffsarten anteilig deutlich häufiger betroffen als kleine Unternehmen. Neben einer höheren Präsenz im Internet und einer umfangreicheren IT-Infrastruktur wirkt sich wahrscheinlich auch die mit der Unternehmensgröße zunehmende Anonymität unter den Beschäftigten aus.
Weitere signifikante Unterschiede hinsichtlich der Betroffenheit der Unternehmen zeigen sich zwischen verschiedenen Branchen bzw. Wirtschaftszweigen. Unternehmen der Daseinsvorsorge waren z.B. seltener betroffen (31,1 %) als Unternehmen der übrigen Branchen (42,3 %) und scheinen dem-zufolge tendenziell besser geschützt zu sein oder entgegen der Erwartung weniger angegriffen zu werden.
Risikofaktoren
Große Unternehmen (ab 500 Beschäftigte) mussten anteilig deutlich häufiger auf Cyberangriffe in den letzten zwölf Monaten reagieren (58%) als kleine Unternehmen (10-49 Beschäftigte: 39 %). Dieser Unterschied relativiert sich jedoch, wenn zusätzlich weitere Unternehmensmerkmale in den Blick genommen werden. Die Betroffenheitsraten innerhalb der Gruppen kleiner und mittlerer Unter-nehmen sind zum Teil sehr viel höher, wenn sie z.B. mehrere Standorte in Deutschland, mindestens einen zusätzlichen Standort im Ausland haben oder Güter bzw. Dienstleitungen exportieren. Bei Unter-nehmen, die über besondere Produkte, Herstellungsverfahren etc. oder eine besondere Reputation/ Kundenkreise verfügen, ist der Anteil der Betroffenen ebenfalls deutlich größer als bei den übrigen Unternehmen.
Folgen der schwerwiegendsten Cyberangriffe
Für die Beantwortung weiterer Detailfragen sollten die befragten Unternehmen den schwerwiegendsten Angriff der letzten zwölf Monate auswählen.
Bei 70 % der betroffenen Unternehmen entstanden direkte Kosten infolge dieses schwerwiegendsten Angriffes, wobei dieser Anteil bei kleinen Unternehmen (10-49 Beschäftigte: 72 %) etwas höher lag als bei den großen (ab 500 Beschäftigte: 65 %). Bei kleineren Unternehmen entstanden vergleichsweise häufig Kosten durch externe Beratung und die Wiederherstellung und Wiederbeschaffung, da sie in der in der Regel weniger eigene IT-oder sogar IT-Sicherheitsabteilungen haben und daher häufiger Dritte zu Rate ziehen mussten.
Neben den genannten Kostenpositionen wurden insgesamt am häufigsten Kosten für Sofortmaß-nahmen zur Abwehr und Aufklärung angeführt (40%). Von Kosten durch Schadensersatz/ Strafen (1 %) und abgeflossene Gelder (2 %) wurde hinge-gen relativ selten berichtet.
Die Höhe der direkten Gesamtkosten konnten bei 31 % der Unternehmen, bei denen Kosten entstanden sind, aufgrund fehlender Angaben nicht berechnet werden. Bezogen auf die übrigen Fälle reichten die direkten Gesamtkosten bis zu 2 Mio. Euro, lagen im Durchschnitt bei rund 16.900 Euro und im Median bei 1.000 Euro.
Auch wenn die direkten Kosten im Durchschnitt bzw. im Median erst einmal relativ gering erscheinen, darf nicht vergessen werden, dass sich diese auf jeweils einen Cyberangriff im letzten Jahr beziehen und auch versuchte Angriffe mit umfasst sind, die vereitelt werden konnten. In Hinblick auf die höheren Werte der angegebenen Gesamtkosten können „erfolgreiche“ Cyberangriffe gerade für kleine und mittlere Unternehmen ein bestandsgefährdendes Ausmaß annehmen. Hinzu kommt, dass mögliche indirekte Kosten, wie z.B. Umsatzverluste aufgrund von Imageschäden oder erfolgreicher Produktspionage, die noch Monate nach dem Cyberangriff anfallen können, hier unberücksichtigt bleiben.
Anzeigeverhalten
Bezogen auf den schwerwiegendsten Cyberangriff der letzten zwölf Monate gaben lediglich 12% der Unternehmen an, diesen polizeilich angezeigt zu haben. Zu den am häufigsten angezeigten Angriffsarten zählen CEO-Fraud (25 %), Spyware (20 %) und manuelles Hacking (19 %). Große Unternehmen (ab 500 Beschäftigte) erstatteten mit 22 % häufiger An-zeige als kleine Unternehmen (10-49 Beschäftigte) mit 11%. Bemerkenswert ist, dass über ein Fünftel der kleineren Unternehmen als Nichtanzeigegrund angab, gar nicht zu wissen, an wen man sich dafür zu wenden habe. Dies weist auf einen Informationsbedarf hin und bietet einen Ansatzpunkt zur Erhöhung der Anzeigequote. Der häufigste Nichtanzeigegrund ist allerdings die fehlende Aussicht auf einen Ermittlungserfolg (72%). Befürchtungen von Imageschäden (3%), Arbeitsbehinderungen (11 %) oder von behördlicher Einsicht in vertrauliche Daten (5%) spielen demgegenüber nur eine kleinere Rolle.
Schutzfaktoren
Viele der erfragten technischen IT-Sicherheitsmaßnahmen z.B. regelmäßige Backups und deren physisch getrennte Aufbewahrung, aktuelle Antivirensoftware, regelmäßige und zeitnahe Installation verfügbarer Sicherheitsupdates und Patches sowie der Schutz der IT-Systeme mit einer Firewall –wurden von fast allen Unternehmen eingesetzt. Trotz-dem waren viele dieser Unternehmen im letzten Jahr von mindestens einem Cyberangriff betroffen. Dieser Umstand weist darauf hin, dass die Wirkung technischer Maßnahmen mit weiteren Faktoren zusammenhängt. Neben der Qualität, dem Reifegrad sowie der sachgemäßen Konfiguration und Wartung der technischen Maßnahmen dürften dazu ebenso die Frage des Designs, der Nutzbarkeit und der Einbindung in organisatorische Abläufe und Prozesse zählen.
Organisatorische IT-Sicherheitsmaßnahmen waren im Vergleich zu den technischen weniger weit verbreitet, standen aber fast alle im Zusammenhang mit der Betroffenheit von Cyberangriffen. Insbesondere Unternehmen, die ihre Richtlinien zur IT-Sicherheit und zum Notfallmanagement regelmäßig überprüfen und Verstöße gegebenenfalls ahnden, waren signifikant seltener in den letzten zwölf Monaten von Cyberangriffen betroffen als Unternehmen, die dies nicht taten. Es kommt also nicht nur darauf an, entsprechende Richtlinien und IT-Sicherheitsmaßnahmen einzuführen, sondern diese auch innerhalb des Unternehmens ‚zu leben‘. Nicht vergessen werden darf, dass solche Richtlinien technische Maßnahmen voraussetzen, die sich in den Arbeitsalltag der Beschäftigten gut integrieren lassen sollten.
Schriftlich fixierte Richtlinien zum Notfallmanagement, die Zertifizierung der IT-Sicherheit sowie regelmäßige Risiko-und Schwachstellenanalysen stehen ebenfalls im Zusammenhang mit niedrigeren Betroffenheitsraten. Schulungen zur IT-Sicherheit für Beschäftigte weisen bei mittleren Unternehmen einen Zusammenhang mit einer niedrigeren Betroffenheit aus, während dies bei Mindestanforderungen für Passwörter vor allem bei den kleinen Unternehmen der Fall ist.
[Pressemitteilung des Kriminologisches Forschungsinstitut Niedersachsen e. V. vom 16.03.2020]