Fast ein Drittel der Unternehmen verzeichnet Cyberangriffe
Nahezu jedes dritte Unternehmen in Deutschland (30 Prozent) hat in den vergangenen zwei Jahren Angriffe auf seine IT-Systeme verzeichnet. Das ist das Ergebnis einer repräsentativen Befragung von 403 Unternehmen im Auftrag des Hightech-Verbands BITKOM.
Danach sagen 58 Prozent der betroffenen Unternehmen, dass die Cyberangriffe „vor Ort“ erfolgten und zum Beispiel gezielt Daten gestohlen oder Schadprogramme per USB-Stick eingeschleust wurden. 30 Prozent der Unternehmen berichten, dass die Angriffe über das Internet erfolgt sind. „Cyberattacken können zum Verlust von Geschäftsgeheimnissen führen und gefährden die Arbeitsfähigkeit eines Unternehmens“, sagte BITKOM-Präsident Prof. Dieter Kempf auf der CeBIT in Hannover. „Wir gehen von einer hohen Dunkelziffer aus, da Daten häufig unbemerkt abfließen oder kompromittiert werden.“ Laut Umfrage hat sich das Bewusstsein für IT-Sicherheit infolge der NSA-Affäre erhöht. Fast drei Viertel (74 Prozent) der Unternehmen sehen Cyberangriffe auf ihre Computer und Datennetze durch Cyberkriminelle oder ausländische Geheimdienste als reale Gefahr. Bei einer vergleichbaren BITKOM-Umfrage im Jahr 2012 waren es erst 63 Prozent.
NSA-Affäre ist Anlass für mehr IT-Sicherheitsmaßnahmen
Die Studie zeigt, dass 36 Prozent der Unternehmen die NSA-Affäre darüber hinaus zum Anlass genommen haben, ihre IT-Sicherheitsmaßnahmen zu verstärken. Zwei Drittel der Unternehmen, die aktiv geworden sind, haben organisatorische Verbesserungen eingeführt, zum Beispiel ein Zugriffsmanagement für bestimmte Daten oder physische Sicherheitskontrollen. 43 Prozent haben Firewalls und 35 Prozent Virenschutzprogramme eingeführt oder bestehende Systeme erneuert. Ein Drittel der Unternehmen hat die Schulungen für Mitarbeiter intensiviert. Darüber hinaus haben fast ein Viertel (23 Prozent) aller befragten Unternehmen infolge der NSA-Affäre ihre Ausgaben für IT-Sicherheit erhöht. Kempf: „Die gute Nachricht zur NSA-Affäre lautet: Die Wirtschaft nimmt das Thema IT-Sicherheit ernst und investiert.“
Mehr Notfallpläne bei Cyberangriffen
Eine positive Entwicklung zeigt sich in diesem Sinne auch bei der Verbreitung von Notfallplänen für den Fall eines Datenverlustes. Neun von zehn Unternehmen (88 Prozent) haben inzwischen einen solchen Notfallplan. Vor zwei Jahren waren es bei Unternehmen ab 20 Mitarbeitern erst 63 Prozent. Bezieht man kleinere Unternehmen ab 3 Mitarbeitern ein, war es sogar nur die Hälfte. „Bei Angriffen auf IT-Systeme ist Zeit immer ein kritischer Faktor“, sagte Kempf. „Ein Notfallplan listet die wichtigsten Geschäftsprozesse des Unternehmens auf und beschreibt, was im Schadensfall zu tun und wer zu informieren ist.“ Wer ein klares Vorgehen festgelegt hat, könne den Schaden eines IT-Sicherheitsvorfalls deutlich begrenzen.
Angesichts der Abhöraffäre fordert der BITKOM politische Konsequenzen. „Bei der Aufarbeitung der NSA-Affäre durch die Politik stehen wir noch ganz am Anfang“, sagte Kempf. „Notwendig sind unter anderem neue Verhandlungen über internationale No-Spy-Abkommen.“ Auch innerhalb der EU solle man sich auf entsprechende Vereinbarungen einigen, um die Grundrechte der Bürger zu schützen und Wirtschaftsspionage durch Geheimdienste zu verhindern. Weitere wichtige Themen sind Regelungen für internationale Datentransfers und die rechtlichen Voraussetzungen, wann Unternehmen Kundendaten an staatliche Stellen herausgeben müssen.
Neue Sicherheitskultur in Unternehmen erforderlich
Die Bedeutung der IT-Sicherheit reicht aus Sicht des BITKOM weit über die Abhöraffäre hinaus. „Mit der zunehmenden Digitalisierung steigen die Gefahren durch Cyber-Kriminelle, die sich immer professioneller organisieren“, sagte Kempf. Die Unternehmen müssten sich so aufstellen, dass sie in der Lage sind, ihre Organisation bestmöglich zu schützen. Das fängt mit der Identifizierung sicherheitskritischer Daten an, reicht über die Sensibilisierung und Qualifizierung der Mitarbeiter durch Weiterbildungsmaßnahmen bis zur regelmäßigen Überprüfung aller technischen Maßnahmen.
Notwendig sei zudem eine neue Sicherheitskultur, die einen offenen Umgang mit dem Thema zulässt. „Aktuell wagt es kaum ein Unternehmen öffentlich über Sicherheitsprobleme zu sprechen, weil die Angst vor einem Reputationsverlust groß ist“, sagte Kempf. Die Informationen der IT-Anwender über Sicherheitsvorfälle tragen dazu bei, ein aktuelles Bild der Bedrohungslage zu erhalten. Unternehmen und andere Organisationen könnten dann frühzeitig gewarnt werden.
Kommentare