Der TÜV-Verband stellte eine neue Cybersecurity Studie vor: 11 Prozent der deutschen Unternehmen waren im vergangenen Jahr von IT-Sicherheitsvorfällen betroffen. Der Krieg in der Ukraine und digitale Trends erhöhen die Risiken. Phishing und Erpressungssoftware waren die häufigsten Angriffsmethoden.
Gut jedes zehnte Unternehmen in Deutschland war im vergangenen Jahr von einem IT-Sicherheitsvorfall betroffen (11 Prozent). Dabei handelt es sich um erfolgreiche Cyberangriffe oder andere sicherheitsrelevante Vorfälle wie Sabotageakte oder Hardware-Diebstahl. Das hat eine repräsentativen Ipsos-Umfrage im Auftrag des TÜV-Verbands unter 501 Unternehmen ab 10 Mitarbeitenden ergeben.
Cybervorfälle: Etwa 50.000 Vorfälle in Deutschland
In absoluten Zahlen entspricht das in dieser Unternehmensgrößenklasse rund 50.000 Vorfällen. „Sowohl die weltpolitischen Spannungen als auch technologische Trends wie die Verbreitung Künstlicher Intelligenz sind eine Gefahr für die Cybersicherheit der Unternehmen in Deutschland“, sagte Dr. Johannes Bussmann, Präsident des TÜV-Verbands, bei Vorstellung der „TÜV Cybersecurity Studie“ in Berlin. „Neben kriminellen Hackern verstärken staatliche Akteure ihre Aktivitäten, um an sensible Daten zu gelangen, Geld zu erpressen oder Unternehmen zu sabotieren.“
Die größte Gefahr geht aus Sicht der Befragten von der organisierten Cyberkriminalität aus: 57 Prozent fühlen sich von organisierten Hacker-Banden bedroht. Jeweils 27 Prozent sehen staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. 22 Prozent fürchten so genannte Innentäter:innen, die über interne Kenntnisse eines Unternehmens verfügen und diese bei einem Angriff ausnutzen können.
Mehrheit erwartet mehr gesetzliche Vorgaben
Angesichts der Bedrohungslage spricht sich eine Mehrheit für zusätzliche gesetzliche Vorgaben aus. 64 Prozent der Befragten stimmen der Aussage zu, dass jedes Unternehmen verpflichtet sein sollte, angemessene Maßnahmen für seine Cybersecurity zu ergreifen. Bussmann: „Aktuelle Gesetzesvorhaben in der EU wie der Cyber Resilience Act im Bereich Produktsicherheit oder der AI Act für Künstliche Intelligenz müssen jetzt zügig verabschiedet werden und schnell zur Anwendung kommen.“
Laut den Ergebnissen der Umfrage hat der Krieg in der Ukraine das Risiko von Cyberangriffen in der deutschen Wirtschaft stark erhöht. Dieser Ansicht sind 58 Prozent der Unternehmen in Deutschland. Und 16 Prozent verzeichnen seit Ausbruch des Krieges mehr Cyberangriffe bzw. Angriffsversuche auf ihr Unternehmen. Am stärksten betroffen sind große Unternehmen ab 250 Mitarbeitenden mit 28 Prozent. Es folgen mittlere Unternehmen mit 20 Prozent (50-249 Mitarbeitende) und kleine mit 11 Prozent (10-49 Mitarbeitende).
Phishing ist die häufigste Angriffsmethode
Die mit Abstand häufigste Angriffsmethode ist Phishing: E-Mails, mit denen Passwörter abgegriffen werden oder Schad-Software verbreitet wird. Bei 62 Prozent der betroffenen Unternehmen war ein Phishing-Angriff erfolgreich. „Phishing bekommt mit generativen KI-Anwendungen wie ChatGPT eine neue Dimension“, sagte Bussmann. „Wegen Fehlern oder holpriger Formulierungen leicht erkennbare Phishing-Mails wird es bald nicht mehr geben.“
An zweiter Stelle stehen Ransomware-Angriffe, bei denen die IT-Systeme gehackt, Daten verschlüsselt und die Unternehmen dann erpresst werden (29 Prozent). „Ransomware ist eine sehr erfolgreiche Methode. Häufig zahlen Unternehmen, um schnell wieder arbeitsfähig zu sein“, sagte Bussmann. Eine weitere beliebte Masche ist die Manipulation von Mitarbeitenden, das so genannte Social Engineering (26 Prozent). Ein typisches Beispiel sind Fake-Anrufe des IT-Supports, um an sensible Daten zu gelangen. Und 22 Prozent der betroffenen Unternehmen berichten von einem Passwort-Angriff, bei dem Zugangsdaten gehackt wurden.
Attacken: Gravierende Folgen und finanzielle Schäden
Die Folgen der Angriffe sind massiv. 42 Prozent der Unternehmen erlitten finanzielle Einbußen, Dienste für Mitarbeitende (38 Prozent) oder Kunden (29 Prozent) waren nicht erreichbar, die Produktion ist ausgefallen (13 Prozent) oder sensible Daten wurden gestohlen (13 Prozent). „Jahr für Jahr verursachen Cyberangriffe in der deutschen Wirtschaft Kosten in mehrstelliger Milliardenhöhe“, sagte Bussmann.
Die Unternehmen steuern mit zusätzlichen Investitionen dagegen. Gut jedes zweite Unternehmen hat seine Ausgaben für Cybersecurity in den vergangenen zwei Jahren leicht oder sogar deutlich erhöht (52 Prozent). Die Investitionen gehen an erster Stelle in moderne Hard- und Software: 78 Prozent haben veraltete Geräte außer Betrieb genommen, 71 Prozent sichere Hardware angeschafft und 55 Prozent neue Cybersecurity-Software eingeführt. 63 Prozent haben die IT-Sicherheit vernetzter Maschinen und Anlagen verbessert. „Hier gibt es noch viel Nachholbedarf, weil viele Maschinen und Anlagen ursprünglich aus der analogen Welt kommen“, sagte Bussmann. „Die Vernetzung im so genannten Internet of Things ist aber längst in vollem Gange.“
Hohe Investitionen in eigenes IT-Security Know-how
Darüber hinaus investieren die Unternehmen in ihr eigenes Know-how: 72 Prozent lassen sich von externen Expert:innen beraten und 51 Prozent schulen ihre Mitarbeitenden. „Noch nicht so weit verbreitet, aber sehr wirksam sind Praxisübungen und Zertifizierungen“, sagte Bussmann. Fast jedes dritte Unternehmen nutzt so genannte Penetrationstests, bei denen „gute Hacker“ Schwachstellen in den IT-Systemen aufspüren (32 Prozent).
Haben Sie kurz Zeit?
Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen! Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender. Hier geht es direkt zur UmfrageKnapp ein Viertel führt Notfallübungen durch, um besser auf den Ernstfall vorbereitet zu sein (24 Prozent). Ebenfalls ein Viertel hat sicherheitsrelevante Zertifizierungen eingeführt (26 Prozent). Deren Grundlage sind Normen und Standards wie zum Beispiel ISO 27001 oder der IT-Grundschutz des BSI. „Normen und Standards geben Unternehmen Orientierung, wenn sie ganzheitlich vorgehen und ihren Schutz auf ein höheres Level heben wollen“, sagte Bussmann. „Nach außen zeigt eine Zertifizierung, dass ein Unternehmen oder ein einzelnes Produkt hohe IT-Sicherheitsstandards erfüllt. Damit schafft es Vertrauen bei Geschäftspartnern und Verbraucher:innen.“ Fast jedes vierte Unternehmen hält bestimmte Normen und Standards bereits vollständig ein (23 Prozent) und fast die Hälfte orientiert sich zumindest daran (46 Prozent).
80 Prozent: IT-Sicherheit ist Grundlage für Betrieb
Vier von fünf Unternehmen stimmen der Aussage zu, dass IT-Sicherheit Grundlage für einen reibungslosen Geschäftsbetrieb ist (80 Prozent). 76 Prozent der Befragten geben an, dass eine hohe Sicherheit für sie ein Wettbewerbsvorteil ist und 69 Prozent, dass Kunden und Partner ein hohes Cybersecurity-Niveau einfordern. „Die Studie zeigt, dass die meisten Unternehmen die Bedeutung der IT-Sicherheit erkannt haben“, sagte Bussmann. „Cybersecurity ist heute business-relevant.“ Nachholbedarf haben die kleineren Unternehmen. Bei den Unternehmen mit 10 bis 49 Mitarbeitenden spielt Cybersecurity nur bei der Hälfte eine große Rolle. Und gut ein Viertel der Kleinen hat das Thema gar nicht auf dem Schirm oder hält es für nicht relevant (28 Prozent). Dagegen spielt Cybersecurity für 80 Prozent der großen und für 76 Prozent der mittleren Unternehmen eine wichtige Rolle.
Direkt zur PDF-Studie bei TUEV-Verband.de
Über TÜV-Verband
Der TÜV-Verband e. V. vertritt die politischen Interessen der TÜV-Prüforganisationen und fördert den fachlichen Austausch seiner Mitglieder. Er setzt sich für die technische und digitale Sicherheit sowie die Nachhaltigkeit von Fahrzeugen, Produkten, Anlagen und Dienstleistungen ein.