Rund jedes zehnte Unternehmen in Deutschland beklagt, im vergangenen Jahr Opfer von Cyber-Crime-Aktivitäten geworden zu sein. Dazu zählen erfolgreiche Cyber-Angriffe, Sabotageakte und Hardware-Diebstahl. Das hat eine repräsentativen Ipsos-Umfrage im Auftrag des Verbands der deutschen TÜV-Prüforganisationen unter mehr als 500 Unternehmen ab 10 Mitarbeitenden ergeben. In absoluten Zahlen entspricht das rund 50.000 sicherheitsrelevanten Vorfällen quer durch alle Branchen der deutschen Wirtschaft. [1] Der Status quo der Sicherheitsmaßnahmen ist bei vielen Unternehmen in Deutschland nichtsdestoweniger ernüchternd, zeigt nun eine aktuelle Studie des IT-Sicherheitsanbieters Kaspersky zum Thema „Incident Response zur Prävention“.
Kein Unternehmen, das ist wohl die traurige Realität, bleibt von IT-Sicherheitsvorfällen verschont, doch in vielen Firmen fehlt es trotzdem an grundlegenden Sicherheitsmaßnahmen. Nach eigenen Angaben haben nur 64,5 Prozent der Unternehmen Passwort-Richtlinien implementiert und gerade einmal etwas mehr als 50 Prozent setzen zur Absicherung auf die Erstellung von Backups. Auch die Multi-Faktor-Authentifizierung ist zwar auf dem Vormarsch, handelt es sich dabei doch um eine grundlegende Maßnahmen, die einen Basisschutz vor Angriffen darstellen kann, wird aber noch längst nicht bei allen Unternehmen eingesetzt.
Und obwohl die meisten Entscheidungsträger dank des medialen Hypes um KI-Anwendungen und Chat-Bots wissen, dass die Zeiten holprig geschriebener Phishing-Mails, die sich dank der vielen Rechtschreibfehler gut von echten Nachrichten unterscheiden ließen, längst vorbei ist, schulen mehr als ein Drittel der deutschen Unternehmen ihre Mitarbeiter nicht regelmäßig zu aktuellen Phishing-Trends. Gegen die klassischen Einfallstore für Cyber-Kriminelle, die noch immer erfolgreich eingesetzt werden, um an Zugangsdaten zu Unternehmensservern zu gelangen, setzt tatsächlich nur etwas mehr als die Hälfte der Unternehmen Anti-Phishing-Software ein.
Auch dass Sicherheitslücken in Anwendungen und Betriebssystemen nach wie vor zu den häufig von Cyber-Kriminellen genutzten Angriffsvektoren gehören, ist in den Unternehmen bekannt. Über eine Patch-Management-Richtlinie verfügt trotzdem nur jedes dritte Unternehmen. „Patchen ist immer eine Herausforderung. Zum einen lassen sich zwar Sicherheitslücken relativ einfach stopfen, zum anderen ist der Vorgang aber meist etwas komplizierter als man denkt“, warnt etwa der Lead Incident Response Specialist bei Kaspersky Kai Schuricht. Der deutschsprachige Ableger des international aktiven Cyber-Sicherheitsanbieters hat deswegen seine Einschätzungen zu dem Thema frei zugänglich unter dem Titel „Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und wie sie dank Incident-Response-Methoden cyberresilienter werden“ [2] online gestellt.
[1] https://www.tuev-verband.de/pressemitteilungen/gut-jedes-zehnte-unternehmen-erfolgreich-gehackt
