Immer mehr Unternehmen im Visier von Cyberangriffen
Deutschlandweite Befragung durch das KFN liefert Handlungsempfehlungen

Im Rahmen eines Forschungsprojekts befragte das Kriminologische Forschungsinstitut Niedersachsen (KFN) deutschlandweit 5000 Unternehmen zum Thema Cyberangriffe befragt. 41 Prozent der Unternehmen waren in den vergangenen 12 Monaten betroffen, überwiegend überwiegend kleine und mittlere Unternehmen mit speziellen Eigenschaften. Ergebnis des Forschungsprojekts sollen konkrete Handlungsempfehlungen für alle Unternehmen sein.
Im Rahmen des Forschungsprojekts „Cyberangriffe gegen Unternehmen“ befragte das KFN 5.000 Unternehmen ab zehn Beschäftigten nahezu aller Branchen, zwischen August 2018 und Januar 2019. Interviewpartner waren vor allem IT-Verantwortliche und Mitglieder der Geschäftsführung.
Forschungsprojekt "Cyberangriffe gegen Unternehmen"
Das Forschungsprojekt führt das KFN zusammen mit dem Forschungszentrum L3S der Universität Hannover bis November 2020 durch. Die Erkenntnisse werden genutzt, um Handlungsempfehlungen vor allem für kleine und mittlere Unternehmen zu erstellen.
Insgesamt 41 Prozent der Unternehmen erlebten innerhalb der letzten 12 Monate vor der Befragung mindestens einen Cyberangriff. Aber nicht alle Unternehmen sind gleichermaßen betroffen. Insbesondere in den Gruppen der kleinen und mittleren Unternehmen musste häufiger auf Cyberangriffe reagiert werden, wenn die Unternehmen mehrere Standorte im In- oder Ausland hatten, Waren oder Dienstleistungen exportierten oder über besondere Produkte, Herstellungsverfahren, Reputationen oder Kundenkreise verfügten.
Angriffsarten und ihre Folgen
Unterschieden nach Angriffsarten zeigt sich, dass vergleichsweise viele Unternehmen von Phishing (22 %) und Schadsoftwareangriffen (Ransomware: 13 %; Spyware: 11 %; sonstige Schadsoftware: 21 %) betroffen waren, gefolgt von CEO-Fraud (8 %), (D)DoS (6 %), Defacing und manuellem Hacking (jeweils 3 %).
Bei 70 Prozent der betroffenen Unternehmen entstanden infolge des schwerwiegendsten Angriffes direkte Kosten. Die Höhe der direkten Gesamtkosten lag im Durchschnitt bei rund 16.900 Euro pro Cyberangriff. Bei kleineren Unternehmen entstanden vergleichsweise häufig Kosten durch externe Beratung und die Wiederherstellung und Wiederbeschaffung von Daten. Daneben wurden am häufigsten Kosten für Sofortmaßnahmen zur Abwehr und Aufklärung angeführt (40 %).
Hinzu kommen mögliche indirekte Kosten, wie z.B. Umsatzverluste aufgrund von Imageschäden oder erfolgreicher Produktspionage, die noch Monate nach dem Cyberangriff anfallen können.
Schutzfaktoren und ihre Wirksamkeit
Die Untersuchung ergab, dass technische IT-Sicherheitsmaßnahmen bereits sehr weit verbreitet sind. So setzten fast alle Unternehmen bereits regelmäßige Backups und deren physisch getrennte Aufbewahrung, aktuelle Antivirensoftware, Sicherheitsupdates sowie IT-Systeme mit einer Firewall ein.
Organisatorische IT-Sicherheitsmaßnahmen waren im Vergleich dazu weniger weit verbreitet, stehen aber fast alle im Zusammenhang mit der Betroffenheit von Cyberangriffen. So waren Unternehmen mit schriftlich fixierten Richtlinien zum Notfallmanagement, der Zertifizierung der IT-Sicherheit und regelmäßigen Risiko- und Schwachstellenanalysen seltener mit Cyberangriffen konfrontiert als Unternehmen, die diese Sicherheitsmaßnahmen nicht verfolgten.
Wichtig ist, dass sich alle Schutzfaktoren gut in den Arbeitsalltag der Beschäftigten integrieren lassen und diese beispielsweise durch Schulungen sensibilisiert werden. Es reicht nicht aus, entsprechende Richtlinien und IT-Sicherheitsmaßnahmen einzuführen – sie müssen auch innerhalb des Unternehmens gelebt werden.
Kriminologisches Forschungsinstitut Niedersachsen e.V. (KFN)
Kostenloser Download
-
5 Schritte zu einem nachhaltigen Prozessmanagement
-
Prozessreifegrad Assessments
-
Self-Assessment BPM
Vielleicht verwundert es die Eine oder den Anderen, dass Angriffe trotz technischer Maßnahmen erfolgreich sind. Es richtig in die Organisation zu Integrieren damit es gelebt wird ist eine Frage der Kultur. Kultur wird (vor-)gelebt. Da bedeutet auch das Wiedersprüche zwischen Sicherheitsinteressen und Geschäftsbetrieb transparent dargelegt werden. Beispielsweise private Nutzung des Internetzugangs, Geschäfts-E-Mails auf privaten Smartphones des Außendienstes, uvm.