Jedes vierte Unternehmen als Cybercrime-Opfer
Rund jedes vierte Unternehmen (26 Prozent) war im vergangenen Jahr Opfer eines Cyberangriffs. Das zeigt die aktuelle Studie IT-Sicherheit des eco – Verbands der Internetwirtschaft e. V. Damit ist der Anteil der gehackten Unternehmen im Vergleich zum Vorjahr gestiegen: 2018 hatten nur rund 18 Prozent angegeben, ihr Unternehmen sei in den letzten 12 Monaten erfolgreich von Cyberkriminellen angegriffen worden. Ransomware, DDos-Attacken und CEO Fraud führen die Liste der Angriffe an vor Website-Hacking und Datendiebstahl.
Auch der Umgang mit den Sicherheitsproblemen hat sich geändert: Gaben 2018 noch knapp 25 Prozent an, Sicherheitsprobleme intern mit eigenem Personal zu lösen, waren es 2019 schon 43 Prozent. Strafanzeige stellt nach wie vor nur eine Minderheit der Unternehmen (9 Prozent im Jahr 2018, 12 Prozent 2019). Erstmals war 2019 die Zahlung von Lösegeld (2 Prozent) messbar. Vor Angriffen schützen möchten sich Unternehmen insbesondere durch die Sensibilisierung der Mitarbeiter, Umsetzung des IT-Sicherheitsgesetztes und das Mobile Device Management.
„Viele Mittelständler unterschätzen nach wie vor das Risiko, ins Visier von Cyberkriminellen zu geraten“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V. Nur 41 Prozent der befragten Unternehmen schult seine Mitarbeiter regelmäßig, stellt die Studie fest. 38 Prozent schult Mitarbeiter immerhin unregelmäßig, 7 Prozent planen entsprechende Schulungen und 14 Prozent schulen oder sensibilisieren ihre Mitarbeiter nie. „Die Zahlen sind angesichts der wachsenden Bedrohungslange noch immer zu niedrig“, sagt Dehning. Regemäßig die Mitarbeiter zu sensibilisieren, sollte in jedem Unternehmen eine Selbstverständlichkeit sein.
Pflicht ist ebenfalls für Dehning ein Sicherheits-Notfallplan, der Prozesse im Falle eines Cybercrime-Vorfalls definiert. Den haben bereits 57 Prozent der Unternehmen. In weiteren 27 Prozent der Firmen ist ein solcher Notfallplan für die Zukunft angedacht. 16 Prozent haben sich bislang noch nicht mit dem Thema beschäftigt. „Jedes Unternehmen sollte früh genug überlegen, wie es im Falle eines gravierenden Sicherheitsvorfalls reagiert, um den Schaden im Fall der Fälle möglichst gering zu halten“, sagt Dehning.
Trotz der steigenden Bemühungen um diese Sicherheitsthemen schätzt nur eine Minderheit der Befragten die Absicherung des eigenen Unternehmens als sehr gut (11 Prozent) oder gut (35 Prozent) ein. Als ausreichend abgesichert bezeichnen sich weitere 35 Prozent, 19 Prozent sogar als unzureichend.
Methodik: Im Rahmen der eco Umfrage IT-Sicherheit 2019 hatte der eco Verband 242 Experten für IT-Security zur aktuellen Sicherheitslage befragt. Rund die Hälfte der befragten Verantwortlichen hat Budget und/oder Personalverantwortung.
Auch der Umgang mit den Sicherheitsproblemen hat sich geändert: Gaben 2018 noch knapp 25 Prozent an, Sicherheitsprobleme intern mit eigenem Personal zu lösen, waren es 2019 schon 43 Prozent. Strafanzeige stellt nach wie vor nur eine Minderheit der Unternehmen (9 Prozent im Jahr 2018, 12 Prozent 2019). Erstmals war 2019 die Zahlung von Lösegeld (2 Prozent) messbar. Vor Angriffen schützen möchten sich Unternehmen insbesondere durch die Sensibilisierung der Mitarbeiter, Umsetzung des IT-Sicherheitsgesetztes und das Mobile Device Management.
Sicherheitsrisiken realistisch einschätzen
„Viele Mittelständler unterschätzen nach wie vor das Risiko, ins Visier von Cyberkriminellen zu geraten“, sagt Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco – Verband der Internetwirtschaft e. V. Nur 41 Prozent der befragten Unternehmen schult seine Mitarbeiter regelmäßig, stellt die Studie fest. 38 Prozent schult Mitarbeiter immerhin unregelmäßig, 7 Prozent planen entsprechende Schulungen und 14 Prozent schulen oder sensibilisieren ihre Mitarbeiter nie. „Die Zahlen sind angesichts der wachsenden Bedrohungslange noch immer zu niedrig“, sagt Dehning. Regemäßig die Mitarbeiter zu sensibilisieren, sollte in jedem Unternehmen eine Selbstverständlichkeit sein.
Pflicht ist ebenfalls für Dehning ein Sicherheits-Notfallplan, der Prozesse im Falle eines Cybercrime-Vorfalls definiert. Den haben bereits 57 Prozent der Unternehmen. In weiteren 27 Prozent der Firmen ist ein solcher Notfallplan für die Zukunft angedacht. 16 Prozent haben sich bislang noch nicht mit dem Thema beschäftigt. „Jedes Unternehmen sollte früh genug überlegen, wie es im Falle eines gravierenden Sicherheitsvorfalls reagiert, um den Schaden im Fall der Fälle möglichst gering zu halten“, sagt Dehning.
Notfallplanung und Mitarbeitersensibilisierung sind Pflicht
Trotz der steigenden Bemühungen um diese Sicherheitsthemen schätzt nur eine Minderheit der Befragten die Absicherung des eigenen Unternehmens als sehr gut (11 Prozent) oder gut (35 Prozent) ein. Als ausreichend abgesichert bezeichnen sich weitere 35 Prozent, 19 Prozent sogar als unzureichend.
Methodik: Im Rahmen der eco Umfrage IT-Sicherheit 2019 hatte der eco Verband 242 Experten für IT-Security zur aktuellen Sicherheitslage befragt. Rund die Hälfte der befragten Verantwortlichen hat Budget und/oder Personalverantwortung.