Cyberkriminalität: Werden Unternehmen erst aus Schaden klug?

Computerkriminalität trifft immer mehr Unternehmen. Trotzdem herrscht in vielen Unternehmen die Ansicht, dass das Risiko für andere Firmen deutlich höher sei, als für die eigene Organisation. Dies dürfte ein entscheidender Grund dafür sein, dass die Bereitschaft, in die Prävention zu investieren, nach wie vor gering ist.

In vielen Unternehmen glaubt man nicht so recht daran, dass man zum Ziel
eines Cyberangriffs werden könnte - obwohl die Statistiken eine andere
Sprache sprechen.                                                                        Bild maxpixel

Vier von zehn Unternehmen geben in einer deutschen KPMG-Studie an, dass sie in den letzten zwei Jahren von Cybercrime betroffen worden seien. Die Resultate zeigen unter anderem, dass 85 Prozent der von Computerkriminalität betroffenen Unternehmen die Täter lediglich der Kategorie “unbekannt extern“ zuordnen können. Sie sind nicht in der Lage, Angriffe effektiv zu verfolgen und aufzuklären - was die Erfolgsquote der Angreifer verbessert.

Eines der gefährlich verbreiteten Angriffsszenarien sind Ransomware-Angriffe, auch als Verschlüsselungs-Trojaner bekannt. Bei der letzten KPMG-Umfrage im Jahr 2017 kannte erst knapp die Hälfte(!) der Unternehmen diese Art von Computerkriminalität, inzwischen ist Ransomware immerhin fast allen Befragten ein Begriff. Das kommt nicht von ungefähr: Ein Drittel aller befragten Unternehmen wurde schon mit Ransomware konfrontiert. Weitere 28 Prozent konnten Angriffe abwehren, bevor diese zum Erfolg führten. Insbesondere bei grossen Unternehmen zeigt sich im Vergleich zur Vorgängerstudie ein deutlicher Anstieg bei der Zahl der Attacken. So hat sich der Anteil der Betroffenen verdoppelt – der diesjährigen Befragung zufolge war dies bei etwa jedem dritten grossen Unternehmen der Fall und auch jedes dritte KMU war betroffen.

Ernüchternd ist die Tatsache, dass es bei mehr als einem Viertel aller von Ransomware betroffenen Unternehmen infolge einer Attacke zu einem Betriebsausfall kam. Dieser dauerte durchschnittlich 39,8 Stunden, bei jedem fünften Unternehmen dauerte es mehr als zwei Tage, bis der Betrieb wieder aufgenommen werden konnte.

Nach wie vor werden 37 Prozent der Cyberangriffe rein zufällig aufgedeckt. Es gilt also für Unternehmen, die Zufallsabhängigkeit durch effektive und angemessene Präventionsmassnahmen zu minimieren. Daher müssten insbesondere grundlegende Vorkehrungen im Umgang mit Computerkriminalität, wie beispielsweise die Schulung der Mitarbeiter, getroffen werden. Nach wie vor fehlt es vielen Mitarbeitern an Verständnis für komplexe Technologien, um Verdachtsfälle effizient zu beurteilen. Zudem ist es für zwei Drittel der Unternehmen eine massive Herausforderung, kompetente Mitarbeiter zu rekrutieren oder entsprechend weiterzubilden.

Darüber hinaus ist die Investitionsbereitschaft der Unternehmen im Bereich der Prävention nach wie vor verhältnismässig gering. Knapp 20 Prozent der befragten Unternehmen investieren weniger als 10‘000 Euro im Jahr, um vorbeugend gegen Cybercrime vorzugehen, weitere 28 Prozent zwischen 10‘000 und 50‘000 Euro und nur jedes vierte Unternehmen mehr als 50‘000 Euro.

Immerhin geben mehr als zwei Drittel der Befragten an, dass sie nach einem Vorfall ihre präventiven Massnahmen angepasst hätten. “Aus Schaden wird man klug“, scheint auch zu gelten, wenn es um Cyberkriminalität geht.