Unternehmen in Deutschland sind nur schlecht auf Cyberangriffe vorbereitet. Vielfach fehlt es schon an einfachen Basics wie Passwortschutz und regelmäßigen Backups. Zudem haben IT-Verantwortliche nur wenig Vertrauen in ihre IT-Security, wie eine Umfrage von Kaspersky zeigt.

Die aktuelle Studie „Incident-Response zur Prävention – Warum Unternehmen in Deutschland schlecht auf Cyberangriffe vorbereitet sind und dank Incident-Response-Methoden cyberresilienter werden“ von Kaspersky hat es in sich. Denn demnach mangelt es in Deutschland an grundlegenden IT-Sicherheitsmaßnahmen und ganze 40 Prozent der IT-Entscheider sind der Ansicht, dass ihre eigenen Sicherheitsteams das Risiko, das von Cyberattacken ausgeht, nicht richtig einschätzen können.

Kompetenz der Security-Teams in Frage gestellt

Obwohl jeder weiß, dass schon einfache Mittel die IT-Sicherheit erhöhen können, haben nur knapp zwei Drittel (64,5 Prozent) der Unternehmen Passwort-Richtlinien eingeführt. Nur 54 Prozent verfügen über Multi-Faktor-Authentifizierung und nur 58 Prozent führen regelmäßige Backups durch. Weniger als die Hälfte der Entscheider (49 Prozent) glaubt, dass ihr Team überhaupt in der Lage ist, Backups richtig auszuführen.

Nur 50,5 Prozent von ihnen vertrauen darauf, dass ihr Team befallene Systeme isolieren kann.

Dabei hat der Digitalverband Bitkom gerade erst Zahlen veröffentlicht, wonach deutschen Unternehmen Schäden von 203 Milliarden Euro jährlich durch Cyberangriffe entstehen. Außerdem zitiert Kaspersky Lab aus einer Studie des TÜV-Verbands, wonach jede neunte Finanzorganisation 2022 einen Sicherheitsvorfall zu beklagen hatte. IT-Verantwortlichen müsste daher klar sein, dass eine präventive und nachhaltige Cybersicherheitsstrategie ein absolutes „Muss“ für den Cyberschutz ist. Und dazu gehören auch regelmäßige Mitarbeiterschulungen zu Spam und Phishing – die klassischen Einfallstore für Cyberkriminelle, wie es in der Studie heißt. Diese fehlen aber bei 37 Prozent der Unternehmen.

Dabei ist es so wichtig, die Belegschaft immer wieder zu sensibilisieren und bestimmte Mails auf ihren Wahrheitsgehalt zu überprüfen. Eine Nachricht vom Chef, ihn aus einer angeblichen Zwangslage freizukaufen, ist noch dubioser, wenn als URL nicht der eigene Firmenname, sondern eine kryptische Aneinanderreihung von Buchstaben und Zahlen steht – und die Nachricht auch noch von Fehlern strotzt. Übertrieben oder aus dem Finger gezogen? Mitnichten, dieser CIO Fraud genannte Chef-Trick ist schon viele Male passiert und hat einem deutschen Unternehmen Millionen gekostet.

Patches stellen eine besondere Herausforderung dar

Die Krux ist aber heute, dass die Zeiten schlecht geschriebener Spam- oder Phishing-Mails längst vorbei sind, wie Kaspersky schreibt. Denn heute kann man echte von falschen Nachrichten nur noch schwer unterscheiden. Das Problem ist aber, dass nur etwas mehr als die Hälfte der Unternehmen (54,5 Prozent) Anti-Phishing-Software einsetzen. Und nur etwas mehr als ein Drittel der von Kaspersky befragten

Unternehmen (35,5 Prozent) verfügen zudem über Richtlinien für ein Patch-Management. Patch wie englisch für „Flicken“ bezeichnet eine Aktualisierung von Software nach Aufdecken von Sicherheitslücken.

„Patchen ist immer eine Herausforderung“, sagt Kaspersky Lead Incident Response Specialist Kai Schuricht. Zum einen ließen sich Sicherheitslücken damit relativ einfach stopfen, andererseits sei der Vorgang „meist etwas komplizierter als man denkt“. Das Problem dabei ist, dass die Aktualisierung immer einige Zeit braucht, in denen die neue Version getestet, freigegeben und verteilt werden muss. Und je länger das dauere, desto mehr vergrößere sich auch das Zeitfenster, in dem die Systeme verwundbar und angreifbar sind. „Ein entsprechend durchdachtes und damit effizientes Patch-Management kann hier unterstützen und die unterschiedlichen Anforderungen von beispielsweise IT-Sicherheit und Produktion gleichzeitig berücksichtigen“, so der Lead Incident Response Specialist Schuricht.

Fazit: Viele Unternehmen sind offenbar überfordert mit dem Thema IT-Sicherheit und den zunehmenden Sicherheitsrisiken, die immer mehr besonders auch von KI ausgehen. Daher steigen auch die Anfragen bei Axians und anderen IT-Dienstleistern, Sicherheitslücken zu stopfen und die Unternehmen fit für die DSGVO und andere Sicherheitsanforderungen zu machen. Dabei zeigt sich immer wieder, wie wichtig der Faktor Mensch und entsprechende Schulungen sind, um die Mitarbeitenden zu sensibilisieren.

Quelle Titelbild: Adobe Stock / Gorodenkoff