Thought Leadership
Hiscox veröffentlicht die Ergebnisse des diesjährigen Cyber Readiness Reports. Die repräsentative und internationale Befragung wird seit 2016 jährlich durchgeführt.
Der Report zeigt deutlich, dass sowohl die Gefahren durch Cyber-Angriffe als auch das Bewusstsein für Cyber-Risiken gestiegen sind: In Deutschland gaben 60 % der Befragten an, dass sie 2024 häufiger als im Vorjahr angegriffen wurden – diese Zahl ist gegenüber dem Vorjahr nochmal angestiegen (2023 gaben 58 % an, häufiger als im Jahr zuvor attackiert worden zu sein). Im Durchschnitt wurden deutsche Unternehmen binnen 12 Monaten 49-mal von Cyber-Kriminellen attackiert (erfolgreiche und abgewehrte Angriffe zusammengerechnet).
Reputationsschäden und Betriebsunterbrechungen
Reputationsschäden sind ein wichtiger Faktor im Zusammenhang mit Cyber-Angriffen: Die Hälfte der Befragten gab an, dass es für sie als Folge eines öffentlich bekannt gewordenen Angriffs schwieriger gewesen sei, neue Kundschaft zu gewinnen. Bei 46 % waren die Folgen schwerwiegender und sie verloren sogar Kundinnen bzw. Kunden.
Die Kosten der Angriffe variieren so stark wie die Arten der Angriffe selbst: Die Mehrheit (52 %) der angegriffenen Unternehmen verzeichnete Folgekosten von unter 100.000 Euro; gleichzeitig erlitt ein Viertel der Firmen Gesamtschäden von über 500.000 €. Neben finanziellen Schäden belastet die Unternehmen aber auch besonders die Dauer, bis der Zustand vor dem Angriff wieder hergestellt werden kann. Dies kann in vielen Fällen Wochen dauern: 26 % der Befragten gab an, dass sie Betriebsunterbrechungen von zwei bis vier Wochen verkraften mussten. Bei 30 % dauerte der Prozess sogar ein bis drei Monate, bei 7 % noch länger.
Zahlungsumleitungsbetrug liegt wieder an erster Stelle
Die Schadenarten verteilen sich ähnlich wie in den vergangenen Jahren: Auf Platz 1 mit 55% lag wieder Zahlungsumleitungsbetrug (Payment Diversion Fraud), wobei Cyber-Kriminelle häufig vorgeblich geänderte Bankdaten von Dienstleistern verschicken und sich so Zahlungen erschleichen. 56 % der betroffenen Unternehmen erlitten auf diese Weise finanzielle Schäden. 47 % der betroffenen Unternehmen wurden von ‚Distributed denial of service‘ (DDoS)-Attacken getroffen, bei welchen ein Server gezielt mit so vielen Anfragen bombardiert wird, dass er die Menge nicht mehr bewältigen kann, den Dienst verweigert und im schlimmsten Fall zusammenbricht. 46 % berichten über einen Missbrauch ihrer IT-Ressourcen, etwa wenn Hacker die Firmen-IT-Infrastruktur für ein Botnetz oder das Hosten von Malware verwenden.
Das häufigste Eintrittstor für Cyber-Angriffe war im vergangenen Jahr mit 55 % Unternehmens-Server in der Cloud. Angreifer dringen z.B. über Schwachstellen im Webserver oder die Kompromittierung von Zugangsdaten ein. Auch der Faktor Mensch spielt nach wie vor eine zentrale Rolle in der Cyber-Sicherheit, denn in 47 % der Fälle gelang Cyber-Kriminellen per Phishing bzw. Social Engineering über die Mitarbeitenden der Missbrauch von Unternehmensdaten. Ransomware ist auch weiterhin eine beliebte Methode von Cyber-Kriminalität. Häufige Methoden für erfolgreiche Angriffe waren neben Phishing-E-Mails auch die Entwendung von Zugangsdaten (49 %) und das Eindringen über ungepatchte Server (45 %).
Einige Unternehmen, die mit Ransomware angegriffen werden, neigen dazu, auf die Lösegeldforderung einzugehen, um langwierige Betriebsunterbrechungen zu vermeiden. Dass das meist keine gute Idee ist, zeigen die Ergebnisse der Befragung sehr klar: Nur 16 % gaben an, dass sie ihre Daten wieder vollständig zurückerhalten haben und 34 % konnten lediglich einen Teil ihrer Daten retten. In jeweils 22 % der Fälle funktionierte entweder der Wiederherstellungsschlüssel nicht oder die Erpresser forderten sogar noch mehr Geld. In 27 % der Fälle wurden die Daten trotz Zahlung dennoch geleakt.
Erhöhte Cyber-Kriminalität steigert Bewusstsein für Cyber-Resilienz
Die gute Nachricht: Diese gestiegene Aktivität von Cyber-Kriminellen sorgt bei Unternehmen für ein höheres Bewusstsein in Bezug auf Cyber-Sicherheit und -Resilienz. 79 % der befragten Firmen sehen in der eigenen Cyber-Resilienz ein wichtiges bzw. sehr wichtiges Unternehmensziel. Die Budgets für IT-Sicherheitsmaßnahmen reflektieren diese Aussage: 45 % der Befragten gaben an, dass ihr Unternehmen zwischen 6 % und 10 % den gesamten IT-Budgets für Cyber-Security ausgeben, 42 % sogar bis zu 15 % des IT-Budgets. Teil dieses Budgets entfällt auf dedizierte Personen bzw. Teams, die für Cyber-Security zuständig sind: 76 % der befragten Unternehmen haben diese klaren Zuständigkeiten bereits umgesetzt.
Stellt man jedoch gezielte Fragen zur Umsetzung dieses wichtigen Ziels in der Praxis, zeigt sich ein deutlich weniger positives Bild: Aufgrund der Antworten nach vorhandenen Maßnahmen zeigt sich, dass 8 % nur über eine minimale Resilienz verfügen und lediglich auf Cyber-Vorfälle reagieren. 28 % werden als „ad hoc“ eingestuft: Sie haben zwar einige formale Prozesse integriert, aber die Umsetzung von Cyber-Maßnahmen ist uneinheitlich und oft reaktiv. 33 % der Unternehmen können zumindest eine Basis-Resilienz vorweisen, welche dokumentierte und regelmäßige Prozesse umfasst, bei denen das Mitarbeiterwissen zum Thema Cyber-Sicherheit jedoch nur auf einem mittleren Niveau vorhanden ist.
Nur bei 26% aller deutschen Unternehmen kann die Cyber-Resilienz tatsächlich als „fortgeschritten“ eingestuft werden, da sie integrierte Prozesse mit Metriken zur Nachverfolgung in der gesamten Organisation etabliert haben, eine proaktive Incident Response praktizieren und ein Hohes Maß von Mitarbeiter-Schulungen vorweisen können. An der Spitze stehen nur 4 %, die über eine vorbildliche Resilienz mit Best-in-Class-Praktiken verfügen, die vollständig in die Geschäftsstrategie integriert sind und kontinuierlich verbessert werden. Dazu kommt eine starke Zusammenarbeit mit externen Partnern und Stakeholdern.
Was sind die Hauptgründe, die einer höheren Cyber-Resilienz konkret entgegenstehen? Am häufigsten nannten die Befragten die sich rapide ändernden Cyber-Bedrohungen (43 %), gefolgt von limitierten Budgets für Cyber-Sicherheit (42 %) und zu wenig Verständnis bzw. Aufmerksamkeit für Cyber-Risiken bei Mitarbeitenden (38 %).
(cm/Hiscox)
