34 Prozent der Unternehmen in Deutschland waren in den vergangenen zwölf Monaten Opfer eines Cyber-Angriffs. 39 Prozent haben im gleichen Zeitraum mindestens einen IT-Sicherheitsvorfall registriert. Um sich zu schützen und Datenlecks ausfindig zu machen, existiert in sechs von zehn der Unternehmen eine umfassende IT-Sicherheitsstrategie. Allerdings hält jeder dritte Entscheider die Chance für gering, überhaupt Ziel einer gravierenden Hackerattacke zu werden, die Schäden in Höhe von mindestens fünf Prozent des Jahresumsatzes verursacht.
Unternehmen und öffentliche Verwaltung sehen sich laut der Studie „Potenzialanalyse Unternehmen schützen, Risiken minimieren“ von Sopra Steria Consulting und dem F.A.Z.-Institut vor allem durch bösartige Software und unerwünschte E-Mails bedroht. Für mehr als 82 Prozent der Unternehmen ist Malware ein Szenario, dem sie sich stellen müssen. Für zwei Drittel sind Spam- und Phishing-Mails realistische Risiken, für ebenso viele sind die unautorisierte Datenweitergabe und der Ausfall von IT-Systemen, Netzen sowie Geräten und Anlagen ein Problem, das sie ernst nehmen. Diebstahl von Informationen und IT-Sabotage zählen ebenfalls zu den relevanten Bedrohungen.
Klassische IT-Sicherheitsrisiken sind damit im Alltagsgeschäft der Unternehmen deutlich präsenter als das Risiko einer Störung der Lieferkette durch den Ausfall eines Dienstleisters, das eines IT-Ausfalls durch „höhere Gewalt“, durch Personalmangel oder durch Betriebsunterbrechungen durch Stromausfall.
Als Folge von IT-Sicherheitsvorfällen entstehen den betroffenen Unternehmen und Einrichtungen vor allem hohe Kosten, um beispielsweise IT-Sicherheitslecks zu schließen sowie um Kunden und Behörden aufzuklären. 52 Prozent der befragten Fach- und Führungskräfte berichten von diesen „Reparaturkosten“. Schäden an Produkten (17 %), Imageschäden und Vertrauenseinbußen (je 13 %) sowie den Diebstahl vertraulicher Daten und Firmen-Know-how (je 11 %) verzeichnen deutlich weniger Unternehmen.
Mangelndes Bewusstsein der Mitarbeiter ist zentrales Hindernis
Mit der realen Betroffenheit steigt auch das Bewusstsein in den Führungsetagen. Das Thema Sicherheit auf Entscheiderebene hat deutlich an Relevanz gewonnen. IT-Sicherheitsstrategien sind heute in einem Großteil der Unternehmen vorhanden oder befinden sich im Aufbau.
Die Sensibilisierung der Mitarbeiter hält allerdings mit dem Digitalisierungstempo nicht immer Schritt. 36 Prozent der Unternehmen haben in den vergangenen Jahren Security-Awareness-Kampagnen durchgeführt. 47 Prozent der Befragten führen mangelndes Bewusstsein in der Belegschaft als zentrales Hindernis an, das die Umsetzung der IT-Sicherheitsstrategie erschwert.
„Die Zahlen verdeutlichen: Die praktischen Erfahrungen mit Hackerangriffen und IT-Sicherheitsvorfällen sind in einer breiteren Masse der Wirtschaft vorhanden. Sie begrenzen sich nicht auf hochrangige Ziele wie öffentliche Institutionen und Dax-Konzerne“, sagt Dr. Gerald Spiegel, Leiter Information Security Solutions von Sopra Steria Consulting.
Der Schutz vor Hackern und anderen IT-Sicherheitsrisiken blocke zudem beträchtliche Ressourcen. Unternehmen haben deshalb ein starkes Interesse daran, ihre Schutzvorkehrungen strategisch zu planen. „Es muss darum gehen, technologische Instrumente für mehr IT-Sicherheit und das Know-how von Spezialisten so zu verzahnen, dass die Schutzmaßnahmen immer zum jeweiligen Risiko und dem möglichen Schaden passen“, so Spiegel.
Methodik: Für die Studie „Potenzialanalyse Unternehmen schützen, Risiken minimieren“ hat das F.A.Z.-Institut im Auftrag von Sopra Steria Consulting im September 2018 eine Online-Befragung bei 308 Entscheidern und Fachkräften verschiedener Branchen (Banken, Versicherungen, sonstige Finanzdienstleistungen, Energie- und Wasserversorgung, Telekommunikation/Medien, öffentliche Verwaltung, Automotive, sonstiges verarbeitendes Gewerbe) durchgeführt. Die Teilnehmer wurden zu den Erfahrungen mit Cyber-Attacken, den IT-Sicherheitsstrategien sowie zu den Maßnahmen und Herausforderungen in ihren Unternehmen befragt.