Cyber-Angriffe verursachen in Deutschland jährlich 13 Milliarden Euro Schaden
Die größten Schäden verzeichnet die herstellende Industrie, Firmen in der Baubranche wurden dafür überdurchschnittlich oft zu Opfern von Cyber-Attacken, so eine Studie von Veracode und Cebr. Vor allem Web- und Cloud-Anwendungen als Einfallstor bereiten den Unternehmen Sorge.
Deutschen Unternehmen sind in den vergangenen fünf Jahren Schäden von insgesamt 65,2 Milliarden Euro durch Internet-Attacken entstanden. Das ergibt eine jährliche Schadenssumme für die deutsche Wirtschaft von rund 13 Milliarden Euro. Besonders stark betroffen ist die herstellende Industrie, die mit 27 Milliarden Euro die höchsten Schäden erlitten hat, gefolgt von der Versorgungs-, Industrie- und Bergbaubranche mit 9,2 Milliarden Euro und der Baubranche mit 6,5 Milliarden Euro.
Zu diesen Ergebnissen kommt eine aktuelle Studie des Center for Economics and Business Research (Cebr) im Auftrag von Veracode. Die Befragung behandelte Erfahrungen der Unternehmen mit der Bedrohung durch Cyberangriffe und deren Auswirkungen sowie generelle Einstellungen zum Thema IT-Sicherheit.
Auf Basis dieser Daten hat Cebr mit Hilfe eigener Recherchen dann die Schäden für die deutsche Wirtschaft eingeschätzt. Für die Studie wurden vom 11. bis 17. November 2015 Entscheider und Führungskräften von insgesamt 205 deutschen Unternehmen mit über 1000 Beschäftigten befragt. Der Studie zufolge wurde jedes befragte Unternehmen in den vergangenen fünf Jahren im Durchschnitt zweimal Opfer eines Cyber-Angriffs, wobei es Firmen im Baugeschäft mit 2,7 und die Logistikunternehmen mit 2,5 Attacken aus dem Netz überdurchschnittlich oft traf.
Hintergrund der hohen Schadenssummen in den eingangs genannten Branchen sind die oftmals starke Vernetzung ihrer Geschäfte, zum Beispiel durch das Fortschreiten von Industrie-4.0-Technologien, sowie die wertvollen Daten, die hier gesammelt werden. Vor dem Hintergrund dieser enormen Kosten haben 89 Prozent der befragten Unternehmen vor, ihre IT-Sicherheitsausgaben zu erhöhen. Allein für Unternehmen in der herstellenden Industrie sagt Cebr einen jährlichen Anstieg von 578.000 Euro über die nächsten fünf Jahre voraus.
“Kein Unternehmen in Deutschland sollte Investitionen in die Cybersicherheit vernachlässigen,” erklärt Markus Schaffrin, Sicherheitsexperte beim Branchenverband der Internetwirtschaft eco. “Die Studie zeigt, dass erfreulicherweise die meisten großen Unternehmen das erkannt haben und planen, ihre Ausgaben für IT-Sicherheit zu erhöhen. Die restlichen sollten sich fragen: Wie teuer ist es für ein Unternehmen, wenn es gehackt wird und Cyber-Kriminelle Produktionsanlagen lahmlegen, geistiges Eigentum oder private Daten entwenden?”
“Wir sehen, dass sich die IT-Sicherheit grundsätzlich wandeln muss”, erläutert Julian Totzek-Hallhuber, Solution Architect bei Veracode. “Unternehmen setzen heute eine Vielzahl von Anwendungen für verschiedene Geschäftsbereiche ein. Doch diese selbstentwickelten oder zugekauften Anwendungen weisen immer wieder Sicherheitslücken auf, die es Cyberkriminellen ermöglichen, anzugreifen und großen Schaden anzurichten.”
Vor allem Exploits, also das Ausnutzen von Schwachstellen, in Cloud– und Web-Anwendungen (66 Prozent) und gleichauf mobile Apps und Unternehmensinsider (je 65 Prozent) bereiten den befragten Unternehmen Kopfschmerzen, wenn es um Angriffsmöglichkeiten für Cyberkriminelle geht. Knapp die Hälfte der befragten Unternehmen fürchtet sich im Fall eines Cyber-Sicherheitsvorfalls vor den direkten Aufwendungen für Gegenaktionen, eventuellen Strafzahlungen oder Rechtsstreitigkeiten und Umsatzeinbußen (46 Prozent). Noch größer ist aber die Angst vor langfristigen Schäden für die Unternehmensreputation (59 Prozent). Dennoch haben schätzungsweise 71 Prozent der deutschen Unternehmen haben keine formellen Sicherheitsrichtlinien.
Im Rahmen der Studie wurden neben den direkten und indirekten Schäden durch Cyber-Attacken auch die Einstellung von Entscheidern in großen deutschen Unternehmen zur unternehmensinternen Verantwortlichkeit bei erfolgreichen Cyber-Attacken und zur IT-Sicherheit im Allgemeinen untersucht. Demzufolge denken 90 Prozent aller IT-Sicherheitsbeauftragten (CISO), dass die aktuellen IT-Sicherheitsrichtlinien die Innovationskraft ihres Unternehmens schädigen. Auf der CEO-Ebene sind es nur etwas mehr als 60 Prozent.
Aber die Entscheider sind auch bereit, Verantwortung zu übernehmen. So würden sich 80 Prozent der CISOs bei einem erfolgreichen Cyber-Angriff selbst in der Verantwortung sehen, bei CEOs sind es immerhin 44 Prozent. Die Studie stellt grundsätzlich eine hohe emotionale Bindung der befragten IT-Entscheider an ihr jeweiliges Unternehmen fest. Mehr als ein Drittel (37 Prozent) der Entscheidungsträger in Deutschland sind emotional mit ihrem Unternehmen verbunden und würden sich durch einen Cyberangriff persönlich angegriffen fühlen.
Um die Sicherheit ihrer Anwendungen zu erhöhen, sollten Unternehmen umfassende und systematische Tests etablieren, empfiehlt Totzek-Hallhuber. Zu diesem Zweck sei es notwendig, Prozesse zu automatisieren und Sicherheitsmaßnahmen auf sämtliche Anwendungen auszuweiten – auch auf die von Drittanbietern.
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de