IT-Entscheider kennen gängige Sicherheitsverfahren nicht – (Wissens) Lücken schließen

In den vergangenen Jahren sind Cyberangriffe rasant angestiegen. Wie eine Bitkom-Studie aus dem vergangenen Jahr zeigt, entstanden 2022 allein für deutsche Unternehmen durch Cyberkriminalität Schäden in Höhe von rund 203 Milliarden Euro [1]. Doch was müssen Unternehmen beachten, um die wachsenden Gefahren auszubremsen? Das aktuelle Nevis Sicherheitsbarometer geht der Stimmung im Bereich IT-Security auf den Grund [2]. Die Resultate der Studie zeigen erschreckende Erkenntnisse: Bei vielen IT-Entscheidern herrschen große Wissensdefizite.

Unternehmen spüren immer deutlicher die Auswirkungen der weltweiten Zunahme an Cyberangriffen. Gerade im Bereich KRITIS können die Attacken schwerwiegende Folgen haben. Greifen Hacker die Datenbestände von Unternehmen an, drohen neben direkten materiellen Einbußen oftmals auch öffentliche Vertrauensverluste und die Abwanderung von Kunden. Cyberkriminalität gewinnt jedoch nicht nur in den Medien an Bedeutung. 57 Prozent der für das Nevis Sicherheitsbarometer befragten IT-Entscheidern gaben an, dass sie einen Anstieg der Cyberkriminalität in ihrem Geschäftsumfeld festgestellt haben – nur 39 Prozent verweisen auf ein gleichbleibendes Niveau.

Rund 54 Prozent der Unternehmen sind dabei selbst Opfer eines Angriffs oder einer Attacke geworden. Dabei handelt es sich bei rund einem Viertel (26 Prozent) um Ransomware-Angriffe, dicht gefolgt von Denial of Service (DoS) mit 20 Prozent, Brute-Force-Angriffen mit 18 Prozent und Social Engineering mit 17 Prozent. Credential Stuffing weist dabei mit lediglich sechs Prozent einen niedrigen Wert aus. Bei dieser Angriffsvariante ist jedoch von einer hohen Dunkelziffer auszugehen, da sich die Angreifer mit den usereignen Daten einloggen, wodurch sie oft über lange Zeit unentdeckt bleiben.

Doch wie reagiert man als Unternehmen richtig auf einen Cyberangriff? In der Theorie sind die Unternehmen gesetzlich dazu verpflichtet, ihre Kunden umgehend über die Sicherheitspannen und mögliche Folgen zu informieren. Die Realität sieht jedoch anders aus: Mehr als die Hälfte der Unternehmen verschweigt, dass ein Cyberangriff stattgefunden hat. Nur 41 Prozent der von einer Attacke betroffenen Verbraucher wurden durch das angegriffene Unternehmen in Kenntnis gesetzt. Ganze 34 Prozent gaben an, dass sie den Verlust ihrer Daten durch die mediale Berichterstattung erfahren haben.

IT-Entscheider mit erschreckenden Informationsdefiziten. Bereits im letzten Sicherheitsbarometer wurden erhebliche Sicherheitsdefizite auf Seiten der IT-Entscheider festgestellt. In der aktuellen Ausgabe hat sich die Situation kaum verändert. Vielmehr verdeutlichen die neuesten Untersuchungen erschütternde Erkenntnisse: Gerade wenn es um die Sicherheitsmaßnahmen geht, wird deutlich, dass viele Unternehmen ihre Daten nicht so umfassend schützen, wie sie es sollten und könnten. Besonders auffällig ist dabei der Informationsmangel vieler IT-Entscheider über die dafür notwendigen Verfahren.

Die im Jahr 2022 am häufigsten genannte Vorkehrung zur Sicherung kritischer Infrastrukturen war die Vorgabe einer Mindestpasswortlänge (65 Prozent) sowie die Verpflichtung der Mitarbeiter zu regelmäßigen Passwortänderungen (41 Prozent). Im Gegensatz dazu setzen lediglich 34 Prozent auf Zwei-Faktor-Authentifizierung per SMS und auf die biometrische Zwei-Faktor-Authentifizierung nur 21 Prozent. Und noch erschreckender: Rund 10 Prozent der befragten IT-Entscheider geben an, keine Vorkehrungen für erhöhte IT-Sicherheit zu treffen.

Grundsätzlich gilt der Schutz von Daten nicht nur in Branchen mit besonders sensiblen Informationen als essenziell. Allerdings sind viele Unternehmen in Sachen IT-Security recht minimalistisch und lassen mögliche Sicherheitspotenziale offen. Wie das Sicherheitsbarometer zeigt, werden die sichersten Methoden – die Multi-Faktor-Authentifizierung (MFA) – am wenigsten genutzt. Darüber hinaus weisen viele IT-Entscheider signifikante Informationsdefizite auf, wenn es um Cybersicherheitsstandards wie FIDO, OAuth oder WebAuthn geht. Nach eigenen Angaben kennen rund 47 Prozent der Befragten keinen einzigen der gängigen Standards.

Das Security-Dilemma. Es ist keine Überraschung, dass auch Endverbraucher es mit dem Thema Sicherheit nicht immer so genau nehmen. Dennoch ist die Sorge bei Privatpersonen groß, dass sie ihre Daten verlieren. Geht es um deren Sicherheit, sollten keine Wissenslücken bei IT-Entscheidern vorherrschen. Denn die Tendenz, dass es weiterhin zu großen und gezielten Angriffen kommt, ist auch laut Interpol steigend [3]. Wenn Unternehmen das Vertrauen ihrer Kunden langfristig erhalten und gleichzeitig effektiven Datenschutz gewährleisten wollen, müssen Unternehmen diese Lücke schließen. Die dafür notwendigen Werkzeuge sind vorhanden und einsatzbereit. Neue Standards sollten nicht nur bekannt, sondern auch etabliert sein.

 

Über die Studie

Im Rahmen des Sicherheitbarometers hat Nevis in Zusammenarbeit mit den Meinungsforschungsunternehmen Civey und mo›web reserach im Juli und August des vergangenen Jahres 500 deutsche IT-Entscheider und 1.000 deutsche Konsumenten ab 14 Jahren zu Themen wie Passwortsicherheit und Login-
Verhalten online befragt. 

 

 


Stephan Schweizer,
CEO der Nevis Security AG

 

 

[1] https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2022
[2] https://www.nevis.net/de/nevis-sicherheitsbarometer 
[3] https://www.interpol.int/fr/Actualites-et-evenements/Actualites/2022/Financial-and-cybercrimes-top-global-police-concerns-says-new-INTERPOL-report

 

Illustration: © solarseven/shutterstock.com