Datendiebstahl und Cyberattacken sind für viele Unternehmen in Deutschland inzwischen eine konkrete Gefahr. Trotzdem sehen sich viele Firmen gut gerüstet.
Die deutschen Unternehmen dürfen das Thema “Cyberkriminalität” nicht unterschätzen. Davor warnt die Unternehmensberatung EY. Zwar rechnet gut die Hälfte der 453 Firmen, die EY im Juni befragt hat, mit einer Zunahme von Cyberattacken und Datenklau. Doch bei der letzten Studie vor zwei Jahren lag deren Anteil noch bei mehr als 60 Prozent. Damals waren sie offenbar alarmiert durch die Trojaner Wanna Cry und Petya.
Vor allem in der Auto- und Transportbranche sind die Unternehmen sich der Gefahren einer Cyberattacke bewusst, 22 Prozent von ihnen sehen ein sehr großes Risiko dafür. In den Sektoren Pharma/Gesundheit bzw. Energie/Chemie/Rohstoffe sind es immerhin noch 17 Prozent. Zwei von fünf Unternehmen mit einem Umsatz von mehr als 50 Millionen Euro waren in den vergangenen Jahren schon Opfer von Spionage und Datenklau. Doch inzwischen sind auch kleinere Firmen alarmiert. Die hat EY für diese Studie auch stärker berücksichtigt.
Risikofaktor China
Die Manager fürchten als Angreifer vor allem die Organisierte Kriminalität und Hackergruppen wie etwa Anonymous. An dritter Stelle folgen ausländische Geheimdienste oder staatliche ausländische Stellen. Ein besonders hohes Gefährdungspotenzial sehen die Führungskräfte in China, hier rechnen zwei Fünftel mit einem besonders hohen Risiko. Erst im Juli war bekannt geworden, dass eine vermutlich chinesische Gruppe namens Winnti mehrere DAX-Konzerne gehackt hat. Bei Russland (31 Prozent) und den USA (14 Prozent) wird das Risiko als nicht mehr so hoch eingeschätzt.
Darüber hinaus glauben die meisten Unternehmen, dass sie gut geschützt sind. So halten gut vier Fünftel ihre eigenen Sicherheitsvorkehrungen für ausreichend. Das aber sei häufig ein Trugschluss, sagt Bodo Meseke, Partner von EY und einer der Autoren der Studie. Denn oft reichten nicht Standardlösungen, vielmehr müssten die passgenau ausgestaltet werden, indem man sich frage, wo die wichtigen Daten lägen, wer darauf Zugriff habe und wie man diese schütze. “Erschreckend war, dass in der Studie ganz klar zu sehen ist, dass nur sehr wenige Unternehmen auf zum Beispiel externe Tests von Angriffsversuchen gegen ihr Netzwerk setzen.” Das müsse besser werden, fordert Meseke: “Man wird betriebsblind. Man muss einfach auch einmal prüfen lassen, ob die eigene Umsetzung gut ist.”
Gefahr an der Hotelbar
So haben zwar zwei Drittel der Firmen einen Krisenplan ausgearbeitet. Doch knapp ein Fünftel der befragten Unternehmen haben die Abläufe noch nie geübt. Im Krisenfall aber müsse man nicht nur technisch vorbereitet sein, auch die Mitarbeiter müssten wissen, was zu tun sei – und die Kommunikation müsse funktionieren, nach innen wie nach außen, meint EY.
Die schwächste Stelle in einem Unternehmen scheint der Vertrieb zu sein, der war jedenfalls das Einfallstor bei jeder dritten betroffenen Firma. Der Vertrieb sei sehr exponiert, erklärt Co-Autor Jens Greiner. Denn auf Messen oder abends an der Hotelbar könne man womöglich leicht mit den Vertriebsmitarbeitern ins Gespräch kommen und so Details über die Unternehmen herausfinden.
Am häufigsten trafen die Hackerangriffe die IT-Systeme, die bei jedem vierten registrierten Angriff vorsätzlich lahmgelegt wurden. Statt wie bisher seien die Täter inzwischen weniger an Informationen über Produkte und Unternehmen interessiert als an den Kundendaten, hat EY beobachtet. Denn die lassen sich teuer auf dem Schwarzmarkt oder an Wettbewerber verkaufen. “Deswegen werden gerade Großunternehmen zum Opfer der Attacken”, sagt Meseke – und das, ob wohl sie besser geschützt seien. In mehr als der Hälfte der erfassten Fälle ließ sich jedoch nicht ermitteln, wer die Täter waren.