„Cyber Readiness“ deutscher Unternehmen mangelhaft
18. Oktober 2018
Geht es nach dem zweiten „Cyber Readiness Report“ des Spezialversicherers Hiscox, dann können deutsche Firmen im internationalen Vergleich mehrheitlich nur mangelhafte Cyber-Strategien vorweisen. Das Marktforschungsinstitut Forrester Consulting ermittelte im Auftrag von Hiscox die „Cyber Readiness“ von insgesamt über 4.000 Unternehmen aus Deutschland, den USA, Großbritannien, Spanien und den Niederlanden.
Die untersuchten Unternehmen wurden basierend auf den Kriterien Strategie, Ressourcen, Technologie und Prozesse in „Cyber-Anfänger“, „Cyber-Fortgeschrittene“ und „Cyber-Experten“ eingeteilt. In Deutschland liegt der Anteil der „Cyber-Anfänger“ bei 77%. 14% gelten als „Cyber-Fortgeschrittene“ und 10% als „Cyber-Experten“.
Im internationalen Vergleich liegen die USA und Großbritannien damit leicht vorne: Unter den US-amerikanischen Unternehmen gelten 13% als „Cyber-Experten“ und 17% als „Cyber-Fortgeschrittene“, in Großbritannien sind es 13% Experten und 15% Fortgeschrittene.
Anhaltende interne und externe Bedrohungslage
Von den befragten über 1.000 deutschen Unternehmen haben 48% in den letzten zwölf Monaten mindestens einen Cyber-Zwischenfall erlebt. Der Gesamtschaden für alle erlittenen Attacken der letzten zwölf Monate beläuft sich bei großen deutschen Unternehmen im Schnitt auf rund 342.000 Euro, bei deutschen KMU auf durchschnittlich rund 46.000 Euro. Am häufigsten erlebten die deutschen Befragten mit 24% einen externen Angriff direkt auf das eigene Unternehmen, bei 14% war es eine externe Attacke auf einen Geschäftspartner. Durch Mitarbeiter verursachte Zwischenfälle machten 15% der Schäden aus, bei 12% handelte es sich um einen internen Zwischenfall mit einem Geschäftspartner oder Zulieferer.
Verunsicherte Unternehmen
Angesichts der komplexen Gefahrenlage wirken Unternehmen mit ihrer Cyber-Strategie laut Hiscox zunehmend überfordert. So geben 45% der deutschen Unternehmen an, dass sich nach einem Cyber-Zwischenfall nichts geändert hat. Vor allem in den sich laufend verändernden internen und externen Bedrohungsszenarien sehen die deutschen Unternehmen eine der größten Herausforderungen (55%).
Zudem setzen bevorstehende Regulierungen die Unternehmen unter Handlungsdruck. Für 64% der deutschen Befragten ist etwa Compliance mit Blick auf die Europäische Datenschutz-Grundverordnung eine Top-Priorität.
Prävention bleibt auf der Strecke
Im Kontext ihrer unzureichenden Cyber-Strategie vernachlässigen viele Unternehmen weiterhin auch präventive Maßnahmen gegen Cyber-Zwischenfälle und kürzen beispielweise Budgets für Mitarbeiter-Trainings, so der Report. In den kommenden zwölf Monaten wollen demnach 17% der deutschen Unternehmen ihr Budget für entsprechende Schulungsangebote um mehr als 10% senken, 20% der Befragten möchten 5 bis 10% weniger dafür ausgeben. Der Anteil der deutschen Befragten mit einer Cyber-Versicherung liegt bei 33%. Weitere 25% planen jedoch, in den kommenden zwölf Monaten eine Cyber-Police abzuschließen.
Die Versicherungs-Inhaber begründeten ihren Abschluss überwiegend damit, dass die hohen Kosten einer Attacke von der Police gedeckt werden und sie sich dadurch geschützt fühlen (37%). Daneben spielte auch die Cyber-Expertise eine Rolle, auf die man über die Versicherung zugreifen kann und die im eigenen Unternehmen nicht vorhanden ist (33%).
Cryptojacking auf dem Vormarsch
Zusätzliche Ergebnisse des Cyber Claims Reports von Hiscox zeigen, dass Cyber-Kriminelle sich zunehmend auf weniger offensichtliche Angriffe konzentrieren. Sobald Angreifer Zugang zu einem Rechner oder einer Serverumgebung haben, verschlüsseln sie die Daten des Opfers nicht durch Ransomware, sondern „kapern“ die Rechenleistung und installieren eigene Software. Diese verwenden sie für das sogenannte Mining der Kryptowährung. Die Software arbeitet meist unbemerkt im Hintergrund. Hiscox wurden Fälle gemeldet, in denen die Rechenleistung durch Cyrptojacking so eingeschränkt wurde, dass die eigentlichen Aufgaben des Rechners nicht mehr ausgeführt werden konnten. Generell ist es jedoch die Intention der Hacker durch geschickt verteilte Rechenprozesse nicht aufzufallen und die fremde Rechenleistung über einen längeren Zeitraum nutzen zu können. So kann es zu erhöhten Stromkosten und Bedarf der Kühlung sowie zusätzlichen Nutzungsentgelten kommen, wenn die Rechenleistung aus der Cloud eingekauft wird.
(Quelle: Hiscox)
Autoren
Redaktion
Die LexisNexis Österreich & Compliance Praxis-Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance-Welt. Unser Ziel ist es, Ihre tägliche Arbeit bestmöglich zu ...