Cyberattacken können mit einer einzigen E-Mail beginnen und die darin verborgene Malware ganze Abteilungen oder sogar komplette Konzerne lahmlegen. Eine aktuelle Studie zeigt auf, dass noch nie Führungskräfte in Deutschland das Risiko digitaler Angriffe auf ihr eigenes Unternehmen so hoch bewertet haben wie aktuell. Mehr als zwei von drei Befragte (68 Prozent) bewerten die Gefahr, Opfer einer Cyberattacke zu werden als "eher hoch" bis "sehr hoch" – letztere Kategorie macht fast ein Fünftel aller von EY befragten Führungskräfte (18 Prozent) aus.
Im Vergleich zur vorangegangenen Befragung im Jahr 2021 ist der Anteil derer, die die Gefährdung als "eher hoch" oder "sehr hoch" bezeichnen, um fünf Prozentpunkte gestiegen. Aktuell besonders alarmiert sind Unternehmen der Technologie-, Medien- und Telekommunikationsbranche (77 Prozent), der Pharma- und Gesundheitsindustrie sowie Automobilhersteller (beide 75 Prozent).
Die Frage, ob das Risiko, Opfer einer Cyberattacke zu werden, in den vergangenen zwei Jahren zugenommen hat, beantworten fast drei Viertel der Befragten (72 Prozent) mit "Ja". Kleiner wird das Problem nach Einschätzung der Befragten nicht werden, im Gegenteil: Alle befragten Führungskräfte gehen davon aus, dass die Zahl der Cyberattacken und die Bedeutung des Themas Datenklau – beziehungsweise dessen Vermeidung – steigen wird.
Die Prüfungs- und Beratungsgesellschaft EY hat Führungskräfte aus IT-Sicherheit und Datenschutz von mehr als 500 deutschen Unternehmen befragt.
Gefahr erkannt – Gefahr gebannt?
Trotz des offensichtlich vorhandenen Risikobewusstseins sagt jeder dritte Befragte (33 Prozent), dass das eigene Unternehmen nicht ausreichend vor digitalen Attacken geschützt ist. Im Vergleich zu den Vorjahren ist der Anteil stetig gestiegen, von 19 Prozent im Jahr 2019 auf 27 Prozent im Jahr 2021.
Fast jedes dritte Unternehmen (30 Prozent) hat zudem entweder keinen Krisenplan als Reaktion auf Hackattacken in der Schublade oder den mit dem Thema Cybersicherheit beauftragten Führungskräften ist ein solcher Plan nicht bekannt. Eine Versicherung gegen digitale Risiken wie Angriffe von Hackern hat weniger als die Hälfte der Unternehmen (46 Prozent).
Unternehmen fürchten am meisten das organisierte Verbrechen
Insbesondere das organisierte Verbrechen stellt aus Sicht der befragten Führungskräfte eine große Gefahr dar: Fast drei Viertel der Befragten (73 Prozent) geht von einem hohen Risiko durch mafiöse oder zumindest mafiaähnliche Strukturen und Organisationen oder auch Clankriminalität aus. Gegenüber den früheren Analysen ist der Anteil dieser Gruppen damit noch einmal gestiegen: Im Jahr 2019 gaben 50 Prozent diese Tätergruppe als Risikofaktor an, vor zwei Jahren waren es 68 Prozent.
Weitere Bedrohungsfaktoren sind aus Expertensicht darüber hinaus sogenannte "Hacktivisten" – wie beispielsweise das Hackerkollektiv "Anonymous". Fast jeder zweite Befragte (47 Prozent) sagt dies inzwischen. Auch ausländische Geheimdienste (36 Prozent) stellen aus Sicht der Führungskräfte ein deutlich größeres Risiko als noch vor zwei Jahren (30 Prozent) dar.
![Abb. 01: Besonders gefürchtet: organisierte Kriminalität, Hackergruppen und ausländische Geheimdienste [Angaben in Prozent; Mehrfachnennungen möglich]](/fileadmin/_processed_/a/e/csm_Abb-01_EY-Cyber-Risk_20230517_cd988228cd.jpg "Abb. 01: Besonders gefürchtet: organisierte Kriminalität, Hackergruppen und ausländische Geheimdienste [Angaben in Prozent; Mehrfachnennungen möglich]")
Abb. 01: Besonders gefürchtet: organisierte Kriminalität, Hackergruppen und ausländische Geheimdienste [Angaben in Prozent; Mehrfachnennungen möglich, Quelle: EY]
Der Großteil der Befragten nennt vor allem zwei Weltregionen, wenn es um mögliche Angriffe auf die eigene IT-Infrastruktur geht: Russland und China. Das Gefährdungspotential Russlands ist dabei aus Sicht der IT-Verantwortlichen im Vergleich zur Erhebung vor zwei Jahren stark gestiegen – von 56 auf 74 Prozent. Die mögliche Bedrohungslage durch Angriffe aus China bewerten die IT-Verantwortlichen in den Unternehmen mit 59 Prozent genauso groß wie 2021. Sicherlich sind diese Antworten auch geprägt durch die aktuelle geopolitische Lage und die so auch manchmal subjektive Wahrnehmung der Bedrohung; ein Trend lässt sich aber dennoch anhand konkreter Zwischenfälle ablesen.
Die primären Ziele: Über IT-Systeme an Finanz- und Rechnungswesen
Fragt man die mit IT-Sicherheit betrauten Führungskräfte, gibt nur ein kleiner Teil konkrete Cyberangriffe auf das eigene Unternehmen zu: 37 Prozent der Befragten gaben an, bereits mindestens einmal digital attackiert worden zu sein. Ziel der Angreifer ist am häufigsten das Finanz- und Rechnungswesen: 42 Prozent der mit dem Thema vertrauten Führungskräfte gaben an, dass hier konkrete kriminelle Handlungen stattfanden. Dahinter folgen Angriffe auf Vertrieb (37 Prozent) und das Management (32 Prozent). Am häufigsten nutzten die Kriminellen hierbei die IT-Systeme direkt (53 Prozent) oder störten diese (25 Prozent).
84% stellen keine gesteigerte Zahl an Cyberangriffen in Folge "Homeoffice" fest
84 Prozent der befragten Unternehmen stellen durch die erhöhte Zahl von Homeoffice-Aktivitäten keine gesteigerte Zahl von Cyberangriffen fest. Dieses Ergebnisse steht diametral entgegengesetzt zu anderen Studien, beispielsweise einer Umfrage von SoSafe, einem Cyber-Security-Awareness-Unternehmen. Hier haben Anfang 2023 9 von 10 Befragten an, dass sich die Cyber-Bedrohungslage nach der Verlagerung Richtung Remote-Arbeit und Homeoffice verschlechtert hat. So haben Angestellte, die im Homeoffice arbeiten, fast dreimal so häufig (30 Prozent) auf Phishing-E-Mails geklickt, als Mitarbeiter, die im Büro tätig sind (12 Prozent). Die Analyse des SoSafe‘s Human Risk Review 2022 basiert auf Antworten der SoSafe Awareness-Platform. Dafür wurden über 4,3 Millionen simulierte Phishing-Angriffe von 1.500 Organisationen anonym ausgewertet und die Erfolgswahrscheinlichkeit verschiedener Angriffstaktiken analysiert. Die Gründe hierfür sind offensichtlich: Nämlich die Nutzung eigener Technik sowie ungesicherte Arbeitsumgebungen.
In der EY-Studie sagt hingegen nur jeder sechste Befragte, dass Attacken zugenommen haben. Besonders betroffen sind hierbei Unternehmen der Gesundheitsbranche und der chemischen Industrie. Auch bei Technologie und Medienunternehmen sowie im Sektor Handel und Konsumgüter ist der Anteil überdurchschnittlich hoch.
![Abb. 02: Hat sich die Anzahl an Angriffen gegen Ihr Unternehmen auf IT-Systeme und Daten seit der großflächigen Einführung von Homeoffice verändert? [Angaben in Prozent]](/fileadmin/_processed_/e/2/csm_Abb-02_EY-Cyber-Risk_20230517_fe42f8edcc.jpg "Abb. 02: Hat sich die Anzahl an Angriffen gegen Ihr Unternehmen auf IT-Systeme und Daten seit der großflächigen Einführung von Homeoffice verändert? [Angaben in Prozent]")
Abb. 02: Hat sich die Anzahl an Angriffen gegen Ihr Unternehmen auf IT-Systeme und Daten seit der großflächigen Einführung von Homeoffice verändert? [Angaben in Prozent, Quelle: EY]
Studie zeigt hohe Relevanz eines wirksamen IKS
Die Studie belegt die hohe Relevanz eines wirksamen internen Kontrollsystems (IKS). In mehr als jedem zweiten registrierten Fall (56 Prozent) half ein IKS bei der Aufdeckung der Cyberattacke. Und auch durch interne Routineprüfungen (37 Prozent) wurden kriminelle Handlungen entdeckt. Beide Werte sind nahezu identisch mit den Werten aus dem Jahr 2021. Hinweise unternehmensinterner Personen nahmen dagegen deutlich ab und liegen noch bei 36 Prozent.
Trotz aller Kontrollmechanismen und staatlichen Aktivitäten wird allerdings rund jeder siebte Angriff rein zufällig aufgedeckt. So stellt sich in diesem Kontext die Frage nach der "großen Unbekannten" der unerkannten Cyberattacken.
![Abb. 03: Wie wurden die kriminellen Handlungen aufgedeckt? [Angaben in Prozent; Basis: Unternehmen, die bereits geschädigt wurden; Mehrfachnennungen möglich]](/fileadmin/_processed_/3/2/csm_Abb-03_EY-Cyber-Risk_20230517_bc13555889.jpg "Abb. 03: Wie wurden die kriminellen Handlungen aufgedeckt? [Angaben in Prozent; Basis: Unternehmen, die bereits geschädigt wurden; Mehrfachnennungen möglich]")
Abb. 03: Wie wurden die kriminellen Handlungen aufgedeckt? [Angaben in Prozent; Basis: Unternehmen, die bereits geschädigt wurden; Mehrfachnennungen möglich, Quelle: EY]
Mehr als jede zweite durch das interne Kontrollsystem aufgedeckte kriminelle Handlung (58 Prozent) wurde durch einen Alarm im Security Operations Center (SOC) oder Security Information and Event Management (SIEM) erkannt. Gut jeder dritte Fall wurde durch sonstige Auffälligkeiten im Information Security Management System (35 Prozent) beziehungsweise durch eine Regelprüfung wie zum Beispiel im Rahmen einer Überprüfung der Clean Desk Policy (34 Prozent) erkannt.
Fast jedes zweite Unternehmen ist gegen digitale Risiken versichert
46 Prozent der Unternehmen haben nach eigenen Angaben inzwischen eine Versicherung gegen digitale Risiken abgeschlossen. 35 Prozent der befragten Unternehmen verfügen noch über keinen derartigen Versicherungsschutz. 19 Prozent der Führungskräfte machen zu diesem Sachverhalt keine Angaben.
Besonders hoch ist der Anteil der Unternehmen mit Versicherungsschutz im Gesundheitssektor, im Bereich Bau-/Immobilien-/Gastgewerbe sowie dem Finanzsektor. Der Anteil Unternehmen mit einer Cyber-Versicherung liegt hier jeweils über 50 Prozent.
![Abb. 04: Hat Ihr Unternehmen eine Versicherung gegen digitale Risiken (= Hackerangriffe etc.) abgeschlossen? [Angaben in Prozent; Werte 2021 in Klammern, Quelle: EY]](/fileadmin/_processed_/7/4/csm_Abb-04_EY-Cyber-Risk_20230517_074f6c964a.jpg "Abb. 04: Hat Ihr Unternehmen eine Versicherung gegen digitale Risiken (= Hackerangriffe etc.) abgeschlossen? [Angaben in Prozent; Werte 2021 in Klammern, Quelle: EY]")
Abb. 04: Hat Ihr Unternehmen eine Versicherung gegen digitale Risiken (= Hackerangriffe etc.) abgeschlossen? [Angaben in Prozent; Werte 2021 in Klammern, Quelle: EY]
31 Prozent der Unternehmen, die noch keine Cyber-Versicherung abgeschlossen haben, planen den Abschluss einer solchen. Vor zwei Jahren waren es noch 20 Prozent der Unternehmen. Etwas weniger als die Hälfte der Befragten plant keine Absicherung. Besonders hoch ist der Anteil der Unternehmen, die den Abschluss einer Cyber-Versicherung planen, mit rund 50 Prozent im Bereich Transport und Logistik.
![Abb. 05: Unternehmen, die (noch) keine Versicherung gegen digitale Risiken abgeschlossen haben: Planen Sie den Abschluss einer Cyberversicherung? [Angaben in Prozent; Grundgesamtheit: Unternehmen, die (noch) keine Versicherung gegen digitale Risiken abgeschlossen haben, Quelle: EY]](/fileadmin/_processed_/f/a/csm_Abb-05_EY-Cyber-Risk_20230517_728dc1946d.jpg "Abb. 05: Unternehmen, die (noch) keine Versicherung gegen digitale Risiken abgeschlossen haben: Planen Sie den Abschluss einer Cyberversicherung? [Angaben in Prozent; Grundgesamtheit: Unternehmen, die (noch) keine Versicherung gegen digitale Risiken abgeschlossen haben, Quelle: EY]")
Abb. 05: Unternehmen, die (noch) keine Versicherung gegen digitale Risiken abgeschlossen haben: Planen Sie den Abschluss einer Cyberversicherung? [Angaben in Prozent; Grundgesamtheit: Unternehmen, die (noch) keine Versicherung gegen digitale Risiken abgeschlossen haben, Quelle: EY]
