In den letzten zwei Jahren wurde mehr als jedes dritte Unternehmen Opfer von e-Crime. Das zeigen die Ergebnisse unserer Studie, für die wir mit 750 repräsentativ ausgewählten Unternehmen gesprochen haben.
Fünf Aspekte der Ergebnisse halte ich für besonders relevant. Im Folgenden werde ich die Details näher erläutern und konkrete Handlungsempfehlungen geben.
Unternehmen erkennen verstärkt eigene Bedrohung durch e-Crime
Lange gab es eine Diskrepanz zwischen der Wahrnehmung des eigenen Risikos und der allgemeinen Gefahr für alle Unternehmen in Deutschland. Die aktuelle Studie zeigt jedoch, dass Unternehmen das Risiko zunehmend höher einschätzen und über die Hälfte der Befragten einen Anstieg des Risikos in den nächsten zwei Jahren erwartet.
Die gestiegene Risikowahrnehmung von Unternehmen ist ein wichtiger Schritt, um im Ernstfall vorbereitet zu sein. Meiner Meinung nach sollten Unternehmen diese Entwicklung unbedingt nutzen, um etablierte Schutzmaßnahmen gegen Computerkriminalität zu hinterfragen und gegebenenfalls zu verstärken.
So können sie ihre Organisation beispielweise „Incident Ready“ machen, indem sie den Reifegrad der Organisation und die IT-Landschaft bezüglich des Reaktionsvermögens auf einen IT-Sicherheitsvorfall überprüfen und entsprechend optimieren.
Awareness-Kampagnen und Schulungen können helfen, eine Unternehmenskultur zu entwickeln, die Angriffe erschwert. Eine Zusammenarbeit mit externen IT-Sicherheitsdienstleistern kann die Sicherheit erhöhen und den Umgang mit der Gefahr üben.
Datenleck ist der dritthäufigste IT-Sicherheitsvorfall
Jedes siebte Unternehmen hatte in den vergangenen zwei Jahren ein Datenleck. Damit sind Datenlecks die dritthäufigsten IT-Sicherheitsvorfälle nach Phishing-Fällen und Angriffen auf Cloud-Services.
Im Falle eines Datenlecks kommen schlagartig viele Fragen auf das Unternehmen zu. Wie groß ist das Leck und welche Systeme sind betroffen? Wessen Daten sind abgeflossen? Wer muss unterrichtet werden und welche Personen und Organisationen werden in Kürze unangenehme Fragen stellen?
Es gilt, sich mit diesen Fragen bestenfalls proaktiv auseinanderzusetzen oder sich im Ernstfall beraten zu lassen, denn die Liste der zu bedenkenden Themen ist sehr lang. IT-seitig, organisatorisch und rechtlich.
Es ist entscheidend, festzustellen, welche Daten kompromittiert wurden und welches Risiko diese darstellen. Falls personenbezogene Daten betroffen sind, müssen die entsprechenden Meldepflichten erfüllt werden. Auch der Verlust von Daten Dritter sollte angemessen aufgearbeitet werden, um mögliche Fragen Dritter beantworten zu können. Darüber hinaus könnte eigenes geistiges Eigentum, wie Betriebsgeheimnisse oder Strategiepapiere, ebenfalls betroffen sein. Hieraus ergeben sich ggf. weitere Reaktionsmaßnahmen, um mögliche Reputations- oder Wettbewerbsnachteile absehen zu können.
Cyber Supply Chain: Auswirkungen der zunehmenden Integration
Die Studienergebnisse verdeutlichen, dass die Integration von Dienstleistern in die digitale Lieferkette kontinuierlich zunimmt und dadurch sicherheitsrelevante Risiken steigen. Dies führt zu einem wachsenden Bedrohungspotenzial für Cyberangriffe auf die IT-Infrastruktur.
54 Prozent der befragten Unternehmen erlebten bereits Angriffe auf ihre Daten über Dienstleister. Besonders gefährdet sind vor allem Kundendaten, Daten für den Systembetrieb sowie Bank- und Finanzdaten. Die Schadenssumme steigt bei 57 Prozent der betroffenen Unternehmen im Vergleich zu den Vorjahren an, besonders im Handel.
Um sich vor Angriffen zu schützen, sollten Unternehmen die Cybersicherheit entlang der gesamten Wertschöpfungskette betrachten und falls nötig verbessern. Sie sollten ihre Mitarbeitenden beispielsweise im Erkennen von Phishing schulen, ihre Cloud-Services mit einer Multi-Faktor-Authentifizierung schützen, ihre Mail- und Webserver absichern, ein durchdachtes Berechtigungsmanagement einführen, die Anbindung ihrer Dienstleister an die eigene IT-Infrastruktur überwachen und sensible Daten verschlüsseln.
Diese Maßnahmen reduzieren das Risiko von e-Crime-Angriffen erheblich. Eine hundertprozentige Sicherheit ist jedoch nicht möglich, daher braucht es eine klare Notfallplanung für Cyberangriffe, um schnell und effektiv reagieren zu können.
Cyberversicherungen sollten Bekanntheitsgrad steigern
Die Bekanntheit von Cyberversicherungen ist im Vergleich zu den Vorjahren deutlich gesunken. Nur noch 62 Prozent der befragten Unternehmen kennen eine solche Versicherung, während 38 Prozent angeben, nichts darüber zu wissen. Dies deutet darauf hin, dass der Anteil derjenigen, die mit Cyberversicherungen nicht vertraut sind, stark angestiegen ist.
Finanzdienstleister sind am häufigsten mit Cyberversicherungen vertraut und nutzen sie auch am häufigsten.
Meiner Erfahrung nach kann eine Cyberversicherung eine wertvolle Ergänzung zur Cybersicherheitsstrategie eines Unternehmens sein. Die Versicherung und die damit oftmals verbundenen Assistance-Leistungen schützen vor finanziellen Folgen von Cyberangriffen und Datenverlusten, helfen bei der Daten- und Systemwiederherstellung, sichern den Geschäftsbetrieb und schützten den Ruf des Unternehmens.
Wichtig ist, die individuellen Risiken und Bedürfnisse des Unternehmens zu analysieren, um die passende Versicherung abzuschließen. Zudem bietet sie Zugang zu einem Netzwerk von IT-Forensikerinnen und IT-Forensikern und Incident-Response-Expertinnen und -Experten.
Das sind die größten Sicherheitslücken bei der e-Crime-Abwehr
Die Gefahr kommt oft von innen. Der wichtigste Faktor zum Schutz vor e-Crime ist und bleibt der Mensch. 66 Prozent der Unternehmen sehen eine mangelnde Sicherheitskultur bei Mitarbeitenden sowie ein mangelndes Sicherheitsverständnis als begünstigende Faktoren für e-Crime.