Cyberangriffe gegen Unternehmen

Befragung des Kriminologischen Forschungsinstitut Niedersachsen (KFN) zum Thema Cyberangriffe

Ihr Experte für Fragen

Joachim Mohs
Partner Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 40 6378-1838
E-Mail

Einfach naiv oder wirklich sicher? Mehr als zwei Drittel der deutschen Unternehmen sieht kein Risiko für Cyberangriffe

Wenn es um Cyberangriffe geht, schauen deutsche Unternehmen eher gelassen in die Zukunft. Mehr als zwei Drittel (69 Prozent) schätzen das Risiko, Opfer eines ungezielten Cyberangriffs zu werden, als gering ein. Gezielte Attacken auf ihr Unternehmen halten sogar 93 Prozent der Befragten für unwahrscheinlich. Dabei hat fast jedes zweite dieser Unternehmen (41 Prozent) innerhalb eines Jahres auf mindestens einen Cyberangriff reagieren müssen. Zu diesen Ergebnissen kommt eine Befragung, die vom Kriminologischen Forschungsinstitut Niedersachsen (KFN) im Rahmen der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundeswirtschaftsministeriums (BMWi) durchgeführt und von PwC gefördert wurde.

„Wer sich als Unternehmen gegen Cyberangriffe wappnen will, muss das komplexe Ökosystem aus technischen und organisatorischen Strukturen sowie dem Faktor Mensch aktiv steuern. Dafür muss sich aber auch die Kultur wandeln. Statt als reines Expertenthema sollten Unternehmen es als notwendige Grundlage für die Partizipation an der Digitalisierung betrachten.“

Joachim Mohs, Partner Cyber Security & Privacy bei PwC Deutschland

Die Studie im Überblick

Viel Bewusstsein für wenige Risiken

Gefragt nach dem Risikobewusstsein im eigenen Unternehmen stimmen rund 92 Prozent der Aussage zu, dass sich die Geschäftsführung der IT-Risiken bewusst ist. Das sieht auch die Belegschaft so (88 Prozent).

Allerdings geht nur etwa ein Drittel der Befragten (31,5 Prozent) davon aus, dass ihr Unternehmen in den nächsten zwölf Monaten durch einen ungezielten Angriff geschädigt wird. Das Risiko Opfer eines gezielten Angriffs mit Schadensfolgen zu werden sehen sogar nur 7 Prozent. Die meisten deutschen Unternehmen schauen damit optimistisch auf die nächsten zwölf Monate. Würden diese Einschätzungen zutreffen, könnten viele Unternehmens- und IT-Verantwortliche ruhiger schlafen. In der Realität zeigt sich allerdings ein anderes Bild.

Nicht alle Unternehmen sind gleichermaßen betroffen

In den letzten zwölf Monaten war fast jedes zweite Unternehmen (41 Prozent) von mindestens einem Cyberangriff betroffen, auf den es aktiv reagieren musste. Besonders viele Unternehmen registrierten Phishing-Angriffe, die mittels manipulierter oder gefälschter E-Mails darauf abzielen an sensible Daten zu gelangen (22 Prozent). Dicht darauf folgten Angriffe mit sonstiger Schadsoftware, wie beispielsweise Viren, Würmer, Rootkits oder Scareware (21 Prozent der Unternehmen). Das Defacing von Webinhalten und manuelle Hacking-Angriffe spielten für die meisten Unternehmen allerdings keine Rolle (je 3 Prozent).

Bei der Häufigkeit der einzelnen Angriffsarten, stellt sich die Reihenfolge allerdings etwas anders dar: Phishing- und sonstige Schadsoftware-Vorfälle (52,0 Prozent und 24,0 Prozent) machen zusammen über drei Viertel aller Cyberangriffe aus. Im Vergleich zu Ransomware-Angriffen wurden Spyware-Angriffe zwar tendenziell von weniger Unternehmen registriert (11,3 Prozent vs. 12,5 Prozent), dafür aber in einer deutlich höheren Anzahl. Ähnlich verhält es sich bei manuellen Hacker-Angriffen. Die Zahl der Unternehmen, die einen solchen Angriff innerhalb eines Jahres erlebten, ist geringer als bei allen anderen Angriffsarten. Die Zahl der berichteten Vorfälle liegt allerdings anteilig über der von CEO-Fraud, (D)DoS und Defacing (2,9 Prozent vs. 2,4 Prozent, 2,2 Prozent bzw. 1,2 Prozent). Das deutet darauf hin, dass Spyware-Angriffe und manuelles Hacking gezielter auf bestimmte Unternehmen erfolgen als die anderen Angriffsarten.

Bei der Differenzierung nach verschiedenen Unternehmensmerkmalen wird deutlich, dass nicht alle Unternehmen gleichermaßen betroffen sind. Hinsichtlich der Unternehmensgröße zeigt sich, dass große Unternehmen stärker betroffen sind als kleine. Das liegt offenbar nicht nur daran, dass größere Unternehmen Cyberangriffe zuverlässiger identifizieren, denn auch leicht identifizierbare Angriffsarten, wie beispielsweise Ransomware, treffen große Unternehmen häufiger als kleine. Vielmehr scheinen Aspekte wie die Komplexität der Organisationen, die Anzahl der Mitarbeiter und somit die erweiterte potenzielle Angriffsfläche von großen Unternehmen eine Rolle zu spielen.

Ein Blick auf die verschiedenen Wirtschaftszweige zeigt weitere Unterschiede. So sind beispielsweise die Branchen Sonstige wirtschaftliche Dienstleistungen (48,4 Prozent) und Handel (47,2 Prozent) am stärksten und die Branchen Wasserversorgung beziehungsweise Abfallentsorgung (24,4 Prozent) und Land- und Forstwirtschaft (23,6 Prozent) am geringsten betroffen.

IT-Sicherheitsrichtlinien zahlen sich aus

Mit der Implementierung von IT-Sicherheitsmaßnahmen können Unternehmen sich gegen viele Cyberangriffe wappnen. So sind Unternehmen, die regelmäßig die Einhaltung ihrer IT-Sicherheitsrichtlinien prüfen und Verstöße gegebenenfalls ahnden, mit 35 Prozent deutlich weniger stark betroffen, als Unternehmen, die dies nicht tun (55 Prozent). Auch Mindestanforderungen für Passwörter und Sicherheitszertifizierungen senken das Risiko, von Cyberangriffen getroffen zu werden.

Management von Informationssicherheit ist nötig

Um der Komplexität eines Unternehmens gerecht zu werden, sich eigener Risikofaktoren bewusst zu werden und um zu wissen welche Daten, Systeme oder Prozesse gegen welche Angriffe geschützt werden müssen, ist ein aktives Management von Informationssicherheit nötig. Dabei reicht nicht nur der Blick auf das eigene Unternehmen.

Unternehmen sind mittlerweile vielfach mit Kunden und Geschäftspartnern digital verbunden. Unternehmen müssen Informationssicherheit deshalb entlang der Wertschöpfungskette sowie im Zusammenspiel von Mensch und IT-Sicherheitstechnik denken und steuern.

Contact us

Joachim Mohs

Joachim Mohs

Partner, Cyber Security & Privacy, PwC Germany

Tel.: +49 40 6378-1838

Bennet von Skarczinski

Bennet von Skarczinski

Senior Associate, Cyber Security & Privacy, PwC Germany

Tel.: +49 511 5357-5895

Follow us