Betriebliche Sicherheitsvorkehrungen hinsichtlich Cyber-Kriminalität ausbaufähig

Ohne vollen Datenzugriff droht jedem zweiten Unternehmen in Deutschland Stillstand

[datensicherheit.de, 19.07.2018] Die IT-Sicherheitsvorkehrungen in deutschen Unternehmen sind offensichtlich ausbaufähig, denn jedes zweite stünde still, sollten Hacker IT-Systeme zum Absturz bringen und den Datenzugang blockieren. Jedes dritte Unternehmen halte die präventiven Maßnahmen gegen Manipulation oder Diebstahl von Daten für nicht ausreichend. Jeder Fünfte sei sich nicht sicher, ob sein Unternehmen eigene sowie fremde Betriebs- und Geschäftsgeheimnisse in ausreichendem Maße schützt. Soweit einige zentrale Ergebnisse einer aktuellen Umfrage der Anwaltskanzlei Bird & Bird unter 250 Unternehmensentscheidern.

Drohender Betriebsstillstand

Cyber-Kriminalität, etwa in Form von Hacker-Angriffen, kann für den Geschäftsbetrieb und die Existenz von Unternehmen hochbedrohlich sein. Laut Erkenntnissen der Anwaltskanzlei Bird & Bird würde bei mehr als jedem zweiten Unternehmen in Deutschland (63 Prozent) der Betrieb stillstehen, wenn es durch einen Cyber-Angriff zu einem IT-Ausfall kommt. Jeder Fünfte könnte nur eine kurze Zeit ohne Datenzugang überbrücken, müsste dann aber auch wieder auf seine IT zugreifen können, um produktiv zu bleiben.
Gleichzeitig sei sich jedes vierte Unternehmen (26 Prozent) unsicher, dass sich alle unternehmensrelevanten Daten im Falle eines Hacks oder Datendiebstahl auch problemlos und zeitnah wiederherstellen lassen – ein weiterer Risikofaktor, der die Betriebsfähigkeit nachhaltig stören könnte.
Diese Ergebnisse entstammen laut Bird & Bird einer Umfrage dieser internationalen Anwaltssozietät in Zusammenarbeit mit Marktforschern der YouGov Deutschland GmbH unter 250 Unternehmensentscheidern in Deutschland.

Unternehmen unterschätzen Cyber-Bedrohung

Ein reibungsloser Datenzugriff sei heute bei vielen Unternehmen in Deutschland Grundbedingung, um den Betrieb aufrechtzuerhalten. So seien nur 14 Prozent der Unternehmen in ihrer Arbeit nicht von IT abhängig.
Doch trotz der hohen betrieblichen Abhängigkeit von einem funktionierenden IT-System und dem damit verbundenen Zugang zu arbeitsrelevanten Daten, sei das Bewusstsein für die Bedrohung durch Cyber-Angriffe jedoch noch nicht flächendeckend entwickelt:
Fast jedes zweite Unternehmen schätze die Bedrohungslage durch Hacker als gering ein – dies sagten 39 Prozent. Acht Prozent meinten sogar, die Gefährdungslage sei sehr gering.

Aufklärungsarbeit bei meisten Unternehmen Früchte getragen

Auch wenn weniger als die Hälfte der Umfrageteilnehmer das Risiko eines Angriffs als hoch oder sehr hoch einschätze, so habe zumindest die Aufklärungsarbeit der letzten Jahre bei den meisten Unternehmen Früchte getragen:
88 Prozent der Befragten hätten in ihrem Unternehmen klare Verhaltensrichtlinien für alle Mitarbeiter im Umgang mit IT definiert und kommuniziert, um die Angriffsflächen zu minimieren. 83 Prozent hätten ausgesprochene IT-Sicherheitsrichtlinien implementiert und einen dedizierten Verantwortlichen für IT-Sicherheitsfragen ernannt.
Ebenso seien regelmäßige Software-Updates eine wichtige Schutzmaßnahme vor Attacken und würden ernst genommen: 82 Prozent sagten, ihre IT sei jederzeit auf dem aktuellen Stand und alle relevanten Updates würden stets umgehend durchgeführt.

Tatsächliche Abwehrfähigkeit weiter verbesserungsbedürftig

Zwar seien organisatorische Verhaltensmaßnahmen in vielen Unternehmen eingeführt, doch bei Prüfung der IT und bei der tatsächlichen Abwehrfähigkeit lasse die Sorgfalt zu wünschen übrig.
So führe jedes dritte Unternehmen keine regelmäßigen, umfassenden Sicherheitstests, etwa Penetrationstests, für seine IT-Systeme durch. Lediglich 60 Prozent der Befragten hielten einen vorgefertigten Ablaufplan im Falle eines erfolgreichen Hacker-Angriffs für richtig, welcher die relevanten Unternehmensbereiche zur Risikoabschätzung für interne und externe Daten einbeziehen, Konsequenzen erkennen und notwendige Maßnahmen veranlassen solle.
Weitere 36 Prozent der befragten Unternehmen wüssten es nicht oder setzten kein System zur Erkennung von Cyber-Angriffen ein, beispielsweise ein „Intrusion Detection“-System.

Mitarbeiterschulungen werden immer mehr zu einem Muss

In der Konsequenz halte jeder dritte Umfrageteilnehmer die präventiven Maßnahmen gegen Manipulation oder Diebstahl von Daten in seinem Unternehmen für nicht ausreichend. Jeder Fünfte sei sich nicht sicher, ob sein Unternehmen eigene sowie fremde Betriebs- und Geschäftsgeheimnisse in ausreichendem Maße schützt.
„Damit Mitarbeiter ein besseres Gespür dafür entwickeln, sollten Unternehmen sie regelmäßig sowohl im Hinblick auf die Bedeutung von Betriebsgeheimnissen als auch auf mögliche Formen von Wirtschaftsspionage durch Cyber-Kriminelle schulen und klare Handlungsanweisungen vorgeben. Auch sind Unternehmen verpflichtet, angemessene Maßnahmen zur Herstellung von IT-Sicherheit zu ergreifen. Damit werden Mitarbeiterschulungen, insbesondere unter der seit dem 25. Mai anzuwendenden Datenschutz-Grundverordnung (DSGVO), immer mehr zu einem Muss“, erläutert Lennart Schüßler, Partner der Kanzlei Bird & Bird in Düsseldorf.

Weitere Informationen zum Thema:

datensicherheit.de, 08.12.2017
Expertenwarnung: Hintertüren in der Verschlüsselung bereiten Cyber-Kriminalität den Weg