Bedrohungslage spitzt sich weiter zu

Fast sieben von zehn Unternehmen (69 Prozent) befürchten laut einer aktuellen EY-Studie Hackerangriffe und bewerten die Gefahr dabei als „eher hoch“ bis „sehr hoch“. Besonders große Sorgen machen sich die Befragten in den Bereichen Technologie, Medien und Telekommunikation (82 Prozent), Energie und Metallverarbeitung (80 Prozent), Pharma und Gesundheit sowie Bau und Immobilien (jeweils 71 Prozent).

Die Frage, ob das Risiko, Opfer einer Cyberattacke zu werden, in den vergangenen zwei Jahren zugenommen hat, beantworten fast drei Viertel der Befragten (71 Prozent) mit „Ja“. Noch deutlicher fällt die Antwort aus, wenn es darum geht, wie sich die Bedeutung von Cybersicherheit entwickeln wird: 99 Prozent der befragten Führungskräfte gehen davon aus, dass die Zahl der Cyberattacken und die Bedeutung des Themas Datenklau – beziehungsweise dessen Vermeidung – steigen werden.

Das sind Ergebnisse der sogenannten Datenklau-Studie, für die 501 Geschäftsführerinnen und Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz in deutschen Unternehmen befragt wurden. Die Studie wird seit 2011 alle zwei Jahre von EY durchgeführt.

Gefährder aus dem Osten

Aktuell besonders gefürchtet sind Angriffe des organisierten Verbrechens (76 Prozent), von sogenannten „Hacktivisten“ (46 Prozent) – wie beispielsweise dem Hackerkollektiv „Anonymous“ – und ausländischen Geheimdiensten (38 Prozent). Geht es um die Herkunft der Angriffe, sprechen die Befragten zwei Ländern das mit Abstand größte Gefährdungspotenzial zu: Russland (76 Prozent, plus zwei Prozentpunkte im Vergleich zum Jahr 2023) und China (62 Prozent, plus drei Prozentpunkte im Vergleich zum Jahr 2023) werden als die risikoreichsten Länder eingestuft.

Tobias Schumacher von EY in Deutschland rät allerdings: „Die geopolitischen Spannungen bleiben nicht nur wegen des weiterhin andauernden russischen Angriffskriegs in der Ukraine hoch. Europäische Unternehmen müssen sich den neuen sicherheitspolitischen Realitäten stellen und sich dabei gegen Gefahren aus allen Richtungen absichern.“ Laut Schumacher wäre es falsch, nur eine oder zwei Regionen als Ausgangspunkt von Cyberattacken zu identifizieren: „Auch in zahlreichen anderen Ländern, wie beispielsweise Nordkorea, sind Gruppen aktiv, die es auf sensible Unternehmensdaten abgesehen haben.“

In diesem Kontext spielt auch die NIS2-Richtlinie eine wichtige Rolle, ergänzt Schumachers Kollege Lutz Naake: „Sie legt Sicherheitsanforderungen für Unternehmen fest, um ihre kritischen IT- und OT-Systeme zu schützen und soll noch in diesem Kalenderjahr in deutsches Gesetz überführt werden. Trotzdem ist aktuell nur jedes siebte Unternehmen laut eigener Aussage vollständig auf die Anforderungen vorbereitet. Positiv ist jedoch, dass über die Hälfte der Unternehmen (53 Prozent) bereits Schulungen und Sensibilisierungsmaßnahmen für ihre Mitarbeiter umgesetzt hat. Die ersten Schritte sind gemacht, aber der Weg ist noch lang.“

Wettrüsten

Auf den ersten Blick überraschend: Nur jede und jeder Dritte (33 Prozent) gibt an, in den vergangenen beiden Jahren konkrete Hinweise auf Cyberattacken im eigenen Unternehmen erhalten zu haben. Damit ist der Anteil so niedrig wie seit 2015 nicht mehr.

Meseke: „Zum einen müssen wir konstatieren: Nur wenige Unternehmen geben zu, Opfer von Hacker-Attacken geworden zu sein. Oft werden die Kundinnen und Kunden bzw. die Öffentlichkeit erst dann informiert, wenn es sich gar nicht mehr vermeiden lässt. Zum anderen: Viele Unternehmen sind in den vergangenen Jahren in puncto Sicherheitsmaßnahmen deutlich sensibilisiert worden, haben mehr in den digitalen Schutz investiert und sich sowie ihre Angestellten besser auf mögliche Angriffe vorbereitet.“

Meseke vergleicht das Vorgehen von Cyberkriminellen auf der einen und der Konzernsicherheit auf der anderen Seite aber mit einem dauerhaften Wettrüsten: „Wird die eine der beiden Seiten stärker, zieht die andere nach.“ Hier müsse bei den Unternehmen – neben einer fähigen Sicherheitsabteilung an sich – vor allem die Aus- und Weiterbildung der eigenen Mitarbeiterschaft im Fokus stehen, so der EY-Experte weiter.

Der am häufigsten betroffene Bereich von Cyberattacken war in den vergangenen zwei Jahren der Befragung zufolge das Management beziehungsweise die Geschäftsleitung: Vier von zehn Betroffenen (41 Prozent) geben dies an, was einem Anstieg von neun Prozentpunkten im Vergleich zum Jahr 2023 entspricht. Zurückgegangen sind laut Umfrageergebnis dagegen die Angriffe auf die Finanzabteilungen. Marco Beck von EY meint dazu: „Die zunehmende Fokussierung auf die Unternehmensleitung in der Cybersicherheit ist ein deutliches Zeichen dafür, dass Angreifer strategisch vorgehen und die Entscheidungsträger ins Visier nehmen, um maximalen Einfluss auf die Organisation zu gewinnen.“

Hoffnungsträger KI

Wie in vielen anderen Bereichen sind auch bei der Datensicherheit große Hoffnungen mit Künstlicher Intelligenz (KI) verknüpft. Fast die Hälfte der Befragten (49 Prozent) sieht hohes oder sogar sehr hohes Potenzial für die Technologie, wenn es um den digitalen Schutz des eigenen Unternehmens geht. Allerdings schätzen 34 Prozent der Befragten das Risiko, dass KI-basierte Sicherheitssysteme durch Cyberkriminelle manipuliert werden könnten, als hoch ein.

Knapp jeder dritte Befragte (31 Prozent) nutzt bereits KI-basierte Lösungen zur Erkennung von Cyberangriffen. Fast ebenso viele (29 Prozent) geben an, dass die größte Herausforderung bei der Implementierung die Kosten sind. Vor diesem Hintergrund kommt EY-Experte Schumacher zu der Einschätzung: „Auch mit noch besseren Verteidigungsmöglichkeiten unterstützt durch Künstliche Intelligenz kann es keine absolute Sicherheit vor einem digitalen Angriff auf das eigene Unternehmen, dessen Geschäftsgeheimnisse und das vorhandene Know-how geben. Durch individuelle Sicherheitslösungen und einen regelmäßigen Austausch mit IT-Sicherheitsexperten können sich Unternehmen up to date halten und den Hackern einen Schritt voraus sein. Aufgrund der rasanten technischen Entwicklungen bedeutet es de facto einen Rückschritt und damit ein erhöhtes Risiko, wenn man die Sicherheitsmaßnahmen nicht ständig weiterentwickelt und auf den neusten Stand bringt.“