Cloudflare veröffentlicht die aktuelle Umfrage „Shielding the Future: Europe’s Cyber Threat Landscape Report“ (Die Zukunft schützen: Bericht zur Cyberbedrohungslandschaft in Europa).
Der Report geht der Frage nach, wie Unternehmen mit der wachsenden Zahl an Cybersicherheitsvorfällen zurechtkommen, wie gut sie dagegen gewappnet sind und wo für sie die größten Herausforderungen liegen.
Gezeigt hat sich dabei, dass europäische Unternehmen die zunehmenden Bedrohungen aus dem Cyberspace unverändert Sorge bereiten und sie das Gefühl haben, nicht ausreichend darauf vorbereitet zu sein.
Umfang und Häufigkeit der Cyberangriffe nehmen zu
Laut der Umfrage, an der über 4.000 Firmen- und IT-Führungskräfte von 13 europäischen Märkten (Benelux, Mittel- und Osteuropa, DACH, Skandinavien, Südeuropa, Großbritannien) teilgenommen haben, ist es bei 40 Prozent der Unternehmen in den vergangenen zwölf Monaten zu mindestens einem Cybersicherheitsvorfall gekommen.
Davon berichten 84 Prozent, dass die Häufigkeit solcher Zwischenfälle in diesem Zeitraum zugenommen habe, wobei fast jede fünfte Firma (16 Prozent) alle sechs bis elf Tage einen Cyberangriff erlebt habe. 62 Prozent geben an, dass auch die Verweildauer der Angreifer in dieser Zeit zugenommen habe.
Was die Zukunft betrifft, rechnen 66 Prozent der Umfrageteilnehmer damit, dass sie im kommenden Jahr Ziel einer noch größeren Zahl von Angriffen sein werden. Beachtliche 64 Prozent sagen, dass sie für die nächsten zwölf Monate auf einen Cybersicherheitsvorfall eingestellt seien.
Firmen mehrheitlich nicht auf Cybersicherheitsbedrohungen vorbereitet
Besorgniserregend ist, dass trotz des steigenden Umfangs und der zunehmenden Frequenz dieser Angriffe nur 29 Prozent der Befragten das Gefühl haben, wirklich gut auf künftige Cybersicherheitsvorfälle vorbereitet zu sein.
Darüber hinaus zählen die Branchen, die weniger Attacken verzeichnet haben, auch zu den am schlechtesten vorbereiteten. Gerade einmal 28 Prozent der im Gesundheitssektor tätigen Befragten und 31 Prozent derjenigen, die aus dem Bildungsbereich kommen, hätten nach eigener Aussage in den letzten zwölf Monaten einen Angriff erlebt. In diesen Segmenten hielten sich lediglich 18 Prozent bzw. 19 Prozent für gut gegen einen künftigen Zwischenfall gewappnet.
In den Bereichen IT und Technologie war es umgekehrt: Während fast die Hälfte der Teilnehmenden (49 Prozent) im letzten Jahr von einem Angriff betroffen war, sind die Unternehmen in dieser Branche offensichtlich auf der Hut. Über ein Drittel (35 Prozent) der Befragten aus diesem Sektor sagen, dass sie ausgezeichnet auf eine Attacke vorbereitet seien. Damit ist sich diese Branche am sichersten, Sicherheitsvorfällen gewachsen zu sein. An zweiter und dritter Stelle folgen Firmen aus den Bereichen Finanzdienstleistungen (32 Prozent) und Einzelhandel (31 Prozent).
Wenn man sich die Unternehmensgröße anschaut, erscheint der Mangel an Vorbereitung kleinerer Firmen besonders bedenklich. Nur ein Viertel (25 Prozent) von ihnen hält sich selbst für hervorragend gerüstet. Bei mittelständischen und großen Unternehmen sieht es allerdings kaum besser aus, denn unter diesen geben nur 27 Prozent bzw. 32 Prozent an, sehr gut vorbereitet zu sein.
Sicherheitsvorfälle richten nicht nur finanziellen Schaden an
Unter den Unternehmen, die mindestens einen Cybersicherheitsvorfall erlebt haben, sagt über ein Drittel (39 Prozent), dass die schwerwiegendsten Folgen nach wie vor finanzieller Natur sind. Mehr als eine von fünf (22 Prozent) dieser Firmen musste nach eigenen Angaben nach einem Zwischenfall Umsatzeinbußen hinnehmen. 23 Prozent waren zudem in der Folge mit höheren Versicherungsbeiträgen konfrontiert, 22 Prozent mussten Strafzahlungen leisten und bei weiteren 23 Prozent wurden rechtliche Schritte eingeleitet. Eines von fünf Unternehmen (19 Prozent) musste zudem aufgrund finanzieller Einbußen im Zusammenhang mit dem Vorfall Mitarbeitende entlassen.
Bei genauerer Betrachtung der Zahlen zeigt sich, dass bei fast zwei Fünfteln (38 Prozent) der Befragten nach deren Aussage durch solche Zwischenfälle Kosten zwischen 934.000 Euro (1 Million US-Dollar) und 1,86 Millionen Euro (2 Millionen US-Dollar) entstanden sind. Ein Viertel (25 Prozent) schätzt die eigenen Einbußen auf mindestens 1,86 Millionen Euro (2 Millionen US-Dollar).
Weitere 17 Prozent geben an, dass der Reputationsschaden die schwerwiegendste Auswirkung war. 31 Prozent mussten nach einem Sicherheitsvorfall Wachstumspläne auf Eis legen und über ein Viertel (28 Prozent) war gezwungen, die Geschäftstätigkeit vorübergehend einzustellen.
Angesichts der Vielfalt der Bedrohungen sind die Unternehmen bestrebt, Lösungen zu vereinfachen und zu modernisieren.
Es ist kaum überraschend, dass in den von der Untersuchung abgedeckten Ländern viele Angriffe (48 Prozent) vornehmlich finanzielle Beweggründe hatten. Die Umfrageteilnehmer führen aber insgesamt ein weitaus größeres Spektrum an Motiven an.
Die Mehrheit der in den letzten zwölf Monaten von einem Vorfall Betroffenen (53 Prozent) sagt, dass es dabei in erster Linie um die Platzierung von Spyware ging. Bei knapp der Hälfte (48 Prozent) der Befragten sei mit dem Angriff hauptsächlich das Einschleusen von Ransomware bezweckt worden.
Ein facettenreiches Bild ergibt sich auch bei den am häufigsten eingesetzten Angriffsvektoren. Angeführt wird die Liste von Phishing. Fast drei von fünf Teilnehmenden (59 Prozent) sagen, dass diese Methode gegen ihr Unternehmen eingesetzt worden sei. Dicht darauf folgen Webangriffe (58 Prozent) und DDoS-Attacken (37 Prozent). Verbreitet waren auch der Diebstahl von Anmeldedaten und die Kompromittierung geschäftlicher E-Mails: Ein knappes Drittel (32 Prozent) berichtete von solchen Praktiken.
Was Gegenmaßnahmen angeht, scheint das Mittel der Wahl die Anschaffung weiterer Sicherheitsprodukte zu sein. So nutzt fast die Hälfte (49 Prozent) mehr als elf verschiedene Produkte und Lösungen. Die große Mehrzahl (72 Prozent) ist der Meinung, dass die damit einhergehende Komplexität sie in ihrer Effektivität beeinträchtige. Trotzdem gehen zwei Drittel (67 Prozent) davon aus, dass die Zahl der von ihnen eingesetzten Tools in den kommenden zwölf Monaten steigen wird.
Beachtenswert ist, dass die drei drängendsten Herausforderungen für Entscheidungsträgerinnen und -träger im Bereich Cybersicherheit die Konsolidierung und Vereinfachung ihrer Cybersicherheitsressourcen (48 Prozent), die Modernisierung der von dem Unternehmen eingesetzten Anwendungen (47 Prozent) sowie die Modernisierung der von der Firma betriebenen Netzwerke (42 Prozent) seien.
Weitere Aufklärung über Zero Trust für maximale Wirkung erforderlich
Was die vorhandenen Architekturen betrifft, mit denen die Befragten arbeiten, haben sich drei Problemfelder herauskristallisiert: die Tatsache, dass Anwendungen und Daten in einer Public Cloud gespeichert sind, ein unzureichender Überblick über die IT-Lieferketten und eine übermäßige Abhängigkeit von VPN beim Anwendungsschutz (jeder dieser Faktoren wurde von 34 Prozent der Umfrageteilnehmenden angeführt).
In Anbetracht dieser Schwierigkeiten ist es nicht verwunderlich, dass die Absicherung einer im hybriden Modell arbeitenden Belegschaft hohe Priorität hat und bei mehr als einem Drittel der Befragten (36 Prozent) zu den wichtigsten drei Anliegen gehört.
Bedenklich ist, dass viele Unternehmen bei der Implementierung von Gegenmaßnahmen stark ins Hintertreffen geraten sind und in einigen Fällen noch nicht einmal damit begonnen haben. Obwohl weitestgehend Einigkeit darüber besteht, dass sich hybrid oder im Homeoffice arbeitende Beschäftigte durch den Einsatz eines Zero Trust-Netzwerkzugriffs schützen lassen, geben gerade einmal 25 Prozent der Befragten an, dass eine solche Lösung vollständig implementiert wurde. Mehr als die Hälfte (58 Prozent) sagt, dass man bei der Einführung noch am Anfang stehe.
Zwei Fünftel (44 Prozent) sind nach eigenen Angaben zuversichtlich, dass durch einen Zero Trust-Ansatz technische Upgrades gebündelt werden können. Allerdings attestieren die Teilnehmenden ihren Geschäftsleitungen unzureichende Kenntnisse in diesem Bereich. So ist die Mehrheit (86 Prozent) der Auffassung, dass dieses Modell auf Führungsebene bislang nicht vollständig durchdrungen wurde. Fast jeder Fünfte (16 Prozent) sagt, dass die eigenen Führung das Thema entweder nur teilweise oder nicht grundlegend verstehe. Laut 42 Prozent der Befragten stellen diese Wissenslücken die größte individuelle Hürde für die Einführung von Zero Trust dar.
Trotz wachsender Budgets sind Finanzierung, Fachkräftebeschaffung und Schulung nach wie vor eine Herausforderung
Da Führungskräfte mit einer Zunahme von Cybersicherheitsvorfällen rechnen, ist es ermutigend, dass 54 Prozent der Befragten von einer Steigerung ihres IT-Budgets für Cybersicherheit im nächsten Jahr ausgehen.
Ein Viertel (25 Prozent) der Unternehmenslenkerinnen und -lenker sowie der Führungskräfte im IT-Bereich erwarten, dass Cybersicherheit im kommenden Jahr mindestens 20 Prozent an den IT-Ausgaben ihres Unternehmens ausmachen werde. Unter denen, die auf eine Erhöhung des Budgets eingestellt sind, rechnen zwei Drittel (66 Prozent) mit einem Zuwachs um mehr als 10 Prozent.
Für die Mehrzahl bleibt der Schutz ihrer Netzwerke das Hauptinvestitionsfeld, dem im Durchschnitt knapp 24 Prozent der zur Verfügung stehenden Mittel vorbehalten sind. Obwohl die Befragten bei Geräten ein beträchtliches Vorbereitungsdefizit diagnostizieren, wird diesem Bereich der zweitniedrigsten Anteil am Budget zugedacht.
Die größte Rolle bei der Entscheidung, wohin die Mittel fließen, spielt die Zahl der verzeichneten Zwischenfälle (34 Prozent) und die für ihre Bewältigung angefallenen Kosten (20 Prozent). Dies lässt darauf schließen, dass die meisten Unternehmen bei ihren Budgetentscheidungen nach wie vor Reaktionsfähigkeit an den Tag legen.
46 Prozent der Befragten beschäftigt vor allem anderen die Finanzierung. Zu anderen Sorgen, die Geschäftsleitung und Verantwortliche des IT-Bereichs umtreiben, gehören der Mangel an qualifiziertem Personal (41 Prozent) sowie die sich verändernden Geschäftsanforderungen und Nutzerbedürfnisse (30 Prozent).
Interessanterweise bezeichnet ein Viertel (25 Prozent) trotz der steigenden Menge an Angriffen mangelnde Akzeptanz auf Führungsebene als eine große Herausforderung. Da jedoch ein knappes Viertel (23 Prozent) der Befragten keine Schulungen für Führungskräfte oder allgemeine Mitarbeiterschulungen durchlaufen hat, überrascht es nicht, dass 21 Prozent der Unternehmens- und IT-Führungskräfte die Cybersicherheitskultur ihrer Firma als mangelhaft oder neutral bewerten.
„Unternehmen in ganz Europa sehen sich einer immer komplexeren Cybersicherheitslandschaft gegenüber und müssen zugleich die betriebliche Effizienz, die Einhaltung gesetzlicher Vorschriften und lückenloser Produktivität gewährleisten. Da die Sicherheitsvorfälle sowohl größer werden als auch häufiger auftreten, ist es noch schwieriger, dabei das richtige Gleichgewicht zu finden. Führungskräfte haben deshalb das Gefühl, dass ihnen die Kontrolle über die Technologie- und Sicherheitssysteme ihres Unternehmens allmählich entgleitet“, so Andy Lockhart, Head of EMEA von Cloudflare. „Diese große Herausforderung erfordert innovative Lösungen, die in der Lage sind, verschiedene technologische Komponenten in ein kohärentes und flexibles System zu integrieren. Isolierte herkömmliche Infrastrukturen werden von einem neuen Modell der cloudbasierten ‚Any-to-Any‘-Plattform abgelöst, wodurch Innovations- und Wachstumsimpulse entstehen. Bei solchen Plattformen liegt der Schwerpunkt auf der strategischen Integration. Das gibt Führungskräften die Möglichkeit, technologische Herausforderungen in Wettbewerbsvorteile umzumünzen. Dieser Ansatz wird zur Gestaltung einer Zukunft beitragen, in der Konnektivität und Innovation im Mittelpunkt des Geschäftserfolgs stehen, und unbegrenzte Möglichkeiten eröffnen“, fügt Lockhart hinzu.
(pd/Cloudflare)