Cyberangriffe mit Ransomware und Phishing sowie Onlinebetrug sind laut Polizisten und Polizistinnen in aller Welt aktuell die größten kriminellen Bedrohungen; lediglich die Gefahr durch Geldwäsche wird als noch höher eingeschätzt – so die alarmierende Meldung aus dem 2022 erstmals veröffentlichen Interpol-Report. Über 70 Prozent der Befragten erwarten laut Interpol, dass Angriffe mit Ransomware und Phishing-Attacken in den kommenden drei bis fünf Jahren stark oder sehr stark zunehmen werden.
Dementsprechend sollten sich Unternehmen und Verbraucher für weiter zunehmende Angriffsversuche der Cyberkriminellen wappnen – doch sind sie darauf angemessen vorbereitet? Dieser Frage geht das aktuelle Nevis Sicherheitsbarometer auf den Grund. Die Resultate der Studie zeigen, dass es hier viel Verbesserungspotenzial gibt. Besonders auffällig sind die Diskrepanzen zwischen den Erwartungen der Kunden und der Sicht der Unternehmen. Nicht zuletzt verhindern Wissensdefizite der IT-Entscheider, dass Verbesserungen rasch umgesetzt werden.
Für das Nevis Sicherheitsbarometer hat Nevis in Zusammenarbeit mit den Meinungsforschungsunternehmen Civey und mo’web research im Juli und August dieses Jahres 500 deutsche IT-Entscheider und 1.000 deutsche Konsumenten ab 14 Jahren zu Themen wie Passwortsicherheit und Loginverhalten online befragt.
Wachsende Gefahren
Die Mehrzahl der für das Nevis Sicherheitsbarometer befragten IT-Entscheider bestätigt die Diagnose des Interpol-Reports: Rund 57 Prozent gaben an, im letzten Jahr in ihrem beruflichen Umfeld einen Anstieg der Cyberkriminalität wahrgenommen zu haben; 39 Prozent sehen eher ein gleichbleibendes Niveau. 54 Prozent der IT-Profis erklärten zudem, dass ihr eigenes Unternehmen innerhalb der letzten 12 Monate Opfer einer Cyberattacke wurde. Dabei lässt sich nach ihren Angaben ein Viertel (26 Prozent) der registrierten Angriffe dem Bereich Ransomware zuordnen. Auf den weiteren Plätzen folgen Denial of Service (DoS) mit 20 Prozent, Brute-Force-Angriffe (18 Prozent) und Social Engineering (17 Prozent). Auffallend ist die mit 6 Prozent relativ seltene Nennung von Credential Stuffing – hier ist von einer hohen Dunkelziffer auszugehen, da bei dieser Angriffsvariante gestohlene Login-Daten zum Einsatz kommen, wodurch sie oft über lange Zeit unentdeckt bleibt.
IT-Entscheider mit Wissenslücken
Trotz der wachsenden Bedrohung ist die Cybersicherheit bei vielen Unternehmen längst nicht so gut, wie sie sein könnte – und auch der Informationsstand vieler IT-Entscheider könnte durchaus besser sein. Die meistgenannten Vorkehrungen sind, wie schon im Sicherheitsbarometer des Vorjahres, das Vorschreiben von Mindestlängen für Passwörter (65 Prozent) und die Verpflichtung zu regelmäßigen Passwortänderungen (41 Prozent). Auf die Zwei-Faktor-Authentifizierung per SMS setzen lediglich 34 Prozent; auf eine biometrische Zwei-Faktor-Authentifizierung nur 21 Prozent. Besonders erschreckend: rund 10 Prozent der befragten IT-Verantwortlichen geben an, keine Vorkehrungen für erhöhte IT-Sicherheit zu treffen. Und wenn es um Cybersecurity-Standards wie FIDO, Oauth oder WebAuthn geht, zeigt sich gerade einmal die Hälfte der Befragten mehr oder weniger gut informiert. Die andere Hälfte (47 Prozent) ist nach eigenem Bekunden mit keinem einzigen der gängigen Standards vertraut.
Die Gefahren aus Kundensicht
Und wie ist es auf Verbraucherseite um das Gefahrenbewusstsein in puncto IT-Sicherheit bestellt? Hier zeigt das Nevis Sicherheitsbarometer: Die Angst vor Cyberattacken und die Sorge um persönliche Daten ist unvermindert groß. Lediglich 5 Prozent der Befragten zeigen sich bezüglich der Sicherheit ihrer Daten absolut unbesorgt. Im Vergleich zum Vorjahr sind die Werte hier praktisch unverändert geblieben.
Wovor fürchten sich die Verbraucher konkret? Rund 68 Prozent sehen im Missbrauch der persönlichen Daten die größte Gefahr. Mit jeweils 59 Prozent ebenfalls weit oben in der Gefahrenliste sind die Angst vor Internetbetrug sowie die Angst, dass ein Fremder die persönlichen Internetkonten übernimmt. Die Bedenken gegenüber staatlicher Überwachung sind demgegenüber weniger stark ausgeprägt. Nur 28 Prozent der Befragten sehen darin eine Gefahr – eine Abnahme um sieben Prozent im Vergleich zur letzten Ausgabe des Nevis Sicherheitsbarometers.
Gleichzeitig nehmen es private Nutzer mit der Sicherheit nicht immer so genau, wie es eigentlich wünschenswert wäre: Im Rahmen der Befragung gaben 54 Prozent an, ein und dasselbe Passwort für mehrere Online-Konten zu verwenden – für Security-Experten ein absolutes No-Go. Trotz solcher Nachlässigkeiten ist sich die Mehrzahl über die Grundlagen der Passwortsicherheit durchaus im Klaren: 59 Prozent nutzen besonders komplexe Passwörter, die von Hackern nicht einfach erraten werden können, und immerhin 44 Prozent verwenden verschiedene komplexe Passworte für unterschiedliche Konten. Noch ausbaufähig ist die Nutzung moderner Sicherheitsverfahren: So greifen nur 34 Prozent auf die besonders sichere Zwei-Faktor-Authentifizierung zurück, um sich in ihre Konten einzuloggen; bei der biometrischen Authentifizierung – beispielsweise via FaceID oder Fingerbadruck – sind es sogar nur 17 Prozent. Dass dies nicht zuletzt daran liegt, dass viele Unternehmen diese Verfahren noch nicht im Einsatz haben, zeigt der Vergleich zwischen Kundenerwartungen und der Einschätzung durch die IT-Profis.
Kunden und Unternehmen mit unterschiedlichen Erwartungen
Für die Dienstleister im Internet ist es ein Dilemma: Ihre Kunden mögen selbst in puncto IT-Sicherheit noch Nachholbedarf haben, an die Unternehmensseite stellen sie aber hohe Erwartungen in Bezug auf Datenschutz und Cybersecurity – Erwartungen, die die Unternehmen nicht immer erfüllen. Besonders ins Auge fällt das beim Thema Zwei-Faktor-Authentifizierung: Während nur 4 Prozent der IT-Experten davon ausgehen, dass Kunden sich eine Zwei-Faktor-Authentifizierung (2FA) zur Konten-Absicherung wünschen, sind es tatsächlich 64 Prozent! Nicht zuletzt würden sich 45 Prozent der befragten Konsumenten sicherer fühlen, wenn ihre biometrischen Daten zum Login genutzt würden – dagegen gehen 57 Prozent der IT-Verantwortlichen davon aus, dass auf Kundenseite nur eine geringe Bereitschaft zur Nutzung dieses besonders sicheren Verfahrens bestehe.