Unternehmen unter Dauerbeschuss

Jeder Tag bringt einen neuen Cyber-Angriff, den längst nicht jedes deutsche Unternehmen bemerkt. Der zweite Teil von Deloittes Cyber Security Report beziffert den Schaden pro Attacke mit etwa 700.000 Euro. Die Analysten verzeichnen eine Verdopplung der Angriffe seit 2013.

Mehr als vier Fünftel der großen deutschen Konzerne berichten von monatlichen, die Hälfte davon sogar von täglichen Cyber-Angriffen. Liegt der potenzielle finanzielle Schaden pro Attacke wie von Deloitte ermittelt bei durchschnittlich 700.000 Euro, liegt der Gesamtschaden für die deutsche Wirtschaft nach Expertenschätzungen bei 50 Milliarden. Grund genug also für die gewinnorientierten Unternehmen Gegenmaßnahmen zu ergreifen. Wie Deloitte ermittelte, gibt es aber In immerhin jedem dritten mittleren und großen Unternehmen bis heute keine dezidierte Cyber-Security-Strategie und in jedem vierten Betrieb hat sich die Führung nur am Rande oder gar nicht mit dem Thema befasst. Zudem hat nur gut ein Drittel der Führungskräfte Kenntnis von der Existenz regulatorischer Vorgaben seitens des Gesetzgebers.

„Deutsche Unternehmen sind aufgrund ihres Know-hows beliebte Angriffsziele“, erklärt Peter Wirnsperger, Partner und Leiter Cyber Risk bei Deloitte. Angreifer strebten nach Informationen über Produkte und Geschäftsprozesse, um aus erbeuteten Informationen Profit zu schlagen. Ein angemessen hohes Niveau an Cyber Security sei der Schlüssel zur erfolgreichen Verteidigung. Schließlich gehe es hier um die digitalen Kronjuwelen der Unternehmen. Umso erfreulicher sei es, dass in den Führungsetagen das allgemeine Risiko- und Haftungsbewusstsein kontinuierlich stärker werde.

Zahl der Angriffe steigt exponentiell

Fast 50 Prozent der an der Studie teilnehmenden Führungskräfte berichten von wöchentlichen, oft auch täglichen Cyberangriffen – bei den großen Unternehmen sind es sogar 83 Prozent. Damit hat sich die Zahl der täglichen beziehungsweise wöchentlichen Attacken seit 2013 verdoppelt. Hinzu kommt eine beträchtliche Dunkelziffer, denn immerhin geht jeder Vierte davon aus, dass viele Angreifer weitgehend unbemerkt agieren. Dementsprechend wird dem Thema – zumindest theoretisch – ein hoher Stellenwert beigemessen, auch wenn noch viele Lücken in der Verteidigung bestehen.

Führungskräfte fürchten nach Aussagen der Analysten vor allem um ihre Systeme und Server sowie eine mehr oder weniger ungezielte Destruktionslust der Angreifer. Jedoch hat knapp ein Fünftel der Befragten kaum eine Idee zur Motivation der Kriminellen. Sie wissen also nicht, ob etwa Wissen gestohlen oder Systeme lahmgelegt werden sollen. Insgesamt gehen die meisten Studienteilnehmer davon aus, dass die größte Gefahr für die deutsche Wirtschaft darin liegt, dass betriebliches Know-how gestohlen wird. Derartige Risiken können nicht ignoriert werden – was allerdings bei nur 46 Prozent der Unternehmen zu einem starken Gefahrenbewusstsein geführt hat. Bei großen Unternehmen ist das Gefahrenbewusstsein schon deutlich stärker ausgebildet.

Risikofaktor Mensch – und Cloud

Unternehmenslenker werten menschliches Fehlverhalten als größte Gefahr für die IT-Sicherheit: drei Viertel sehen hier große Gefahren. Knapp die Hälfte hat Bedenken hinsichtlich der Nutzung mobiler Endgeräte – gleichzeitig wird dem Schutz mobiler Endgeräte ein geringerer Stellenwert eingeräumt als noch im letzten Jahr. Ebenfalls rund die Hälfte hat Vorbehalte gegenüber Cloud-Computing, wobei das Misstrauen hier langfristig schwächer wird. Generell werden externe Cloud-Dienste bevorzugt. Selbst in der Gruppe der Skeptiker nutzen 28 Prozent die Cloud.

Wie können Unternehmen ihre sensiblen Bereiche schützen? Nur die Hälfte der Befragten sieht sich laut Deloitte so gut wie möglich vorbereitet. Und auch bei den Vorbereiteten gibt es Anlass zur Skepsis: In jedem fünften Fall beschäftigt sich die Geschäftsleitung nur anlassbezogen oder gar nicht mit dem Thema. Zudem gibt es in jedem vierten Fall keinen Notfallplan für ein Angriffsszenario. „Jedes dritte Unternehmen hat keine klare Strategie, darunter auch solche, die sich gut vorbereitet wähnen“, bestätigt Prof. Dr. Renate Köcher vom Institut für Demoskopie Allensbach. Obwohl die Ausgaben für die Sicherheit insgesamt gestiegen seien, sei der Status der Abwehrmaßnahmen eher ernüchternd.

Handlungs- und Abstimmungsbedarf bei regulatorischen Vorgaben

Das seit 2015 geltende IT-Sicherheitsgesetz der Bundesregierung sowie der Deutsche Corporate Governance Kodex enthalten zahlreiche Vorgaben für Unternehmen. Diese umzusetzen, gehört über die IT-Abteilungen hinaus vor allem zu den Aufgaben der Unternehmensführung – einschließlich der Implementierung eines Risikomanagement-Systems. In rund einem Viertel der von Deloitte befragten Betriebe jedoch befasst sich die Leitung sporadisch oder gar nicht mit dem Thema Cyber-Security, bei größeren Unternehmen immer noch ein Fünftel. Zudem halten nur 42 Prozent die Geschäftsleitung insgesamt für kompetent. Bei den vorgeblich „vorbereiteten“ Unternehmen weiß nur die Hälfte überhaupt von regulatorischen Vorgaben, die sie betreffen. Unter allen Befragten sind es sogar gerade einmal 37 Prozent.

„Wer sich heute nicht schützt, sieht sich vielleicht morgen schon mit einem Hackerangriff mit ungeahnten Ausmaßen gegenüber“, ergänzt Katrin Rohmann, Partnerin im Bereich Strategic Risk und Leiterin Public Sector bei Deloitte. Es reiche ganz einfach nicht das eigene Unternehmen nur durch technische Maßnahmen vor Cyber-Bedrohungen zu schützen. Vorschriften und Verhaltensrichtlinien müssten nicht nur erlassen, sondern auch gelebt werden. Dazu gehöre die Entwicklung und Implementierung eines Risikomanagementsystems ebenso wie die Schulung von Mitarbeitern – und auch des Aufsichtsrats. (ig)