IT-Sicherheit
Angriffe überfordern Unternehmen
Foto: Andrey_Popov - shutterstock.com
Zuerst die gute Nachricht: Das Risikobewusstsein in den deutschen Chefetagen wächst. Die Betriebe setzen verstärkt Abwehrmaßnahmen ein, um ihre IT-Systeme zu schützen. Die schlechte Nachricht: Vielerorts beschränken sich die Unternehmen auf schlecht koordinierte Einzelmaßnahmen. Einen Plan, was im Fall eines Cyberangriffs zu tun ist, hat gerade einmal die Hälfte der deutschen Firmen in der Schublade.
Das ist das Ergebnis einer Umfrage des ITK-Verbands Bitkom unter mehr als 1000 deutschen Betrieben aller Größenordnungen und quer durch alle Branchen. "Jedes Unternehmen braucht geregelte Abläufe und Sofortmaßnahmen für den Notfall", sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. Besonders entscheidend sei ein Notfallmanagement für Unternehmen der kritischen Infrastruktur, etwa Krankenhäuser oder Energieversorger. "Wir müssen davon ausgehen, dass das Angriffsgeschehen künftig weiter zunehmen wird."
Um sich gegen Hacker zu wappnen, setzen die Verantwortlichen auf verschiedene Abwehrmaßnahmen. Demnach stellen aktuell 72 Prozent der Unternehmen Mindestanforderungen an sichere Passwörter, etwa in Form von zwingend erforderlichen Sonderzeichen oder Sperrlisten. Weitere 16 Prozent planen solche Anforderungen. 71 Prozent protokollieren, welche Mitarbeitenden auf welche Daten oder Laufwerke zugreifen (zehn Prozent planen das) und zwei Drittel der Betriebe verschlüsseln Daten auf Datenträgern (zwölf Prozent planen es).
Im Zuge der Corona-Pandemie hat insbesondere die Absicherung von Cloud-Anwendungen an Bedeutung gewonnen - gerade auch um das Arbeiten im Homeoffice zu ermöglichen. 63 Prozent der Befragten haben hierzu Schutzmaßnahmen im Einsatz; ein weiteres Viertel hat das auf seiner Hausaufgabenliste stehen.
Viele Security-Tools werden nicht genutzt
Darüber hinausgehende Sicherheitsvorkehrungen werden dagegen schon deutlich seltener genutzt: Nur 46 Prozent der befragten Unternehmen setzen auf erweiterte Verfahren zur Benutzeridentifikation - also etwa die Anmeldung auf einem Gerät mittels Zwei-Faktor-Authentifizierung zum Beispiel durch Bestätigung per App oder SMS auf einem weiteren Gerät. Gegen den Datenabfluss von innen sichern sich 43 Prozent ab, 42 Prozent separieren Netzwerkzugänge für Kunden oder Geschäftspartner und 41 Prozent verschlüsseln ihren Mailverkehr.
Auch Penetrationstests, um den eigenen Sicherheitsmaßnahmen auf den Zahn zu fühlen, führen gerade einmal vier von zehn Unternehmen durch. Intrusion Detection Systeme nutzt erst ein gutes Viertel der Betriebe. Auffallend: Auf künstliche Intelligenz - von etlichen Experten schon als Wunderwaffe im Kampf gegen Cyberkriminelle gepriesen - bauen nur acht Prozent der Befragten. Das sind sogar weniger als in einer vergleichbaren Umfrage aus dem Jahr 2019.
Foto: Bitkom
"Viele Sicherheitsvorkehrungen lassen sich mittlerweile leicht umsetzen und mit geringer Vorlaufzeit in den Arbeitsalltag integrieren. Trotzdem steigt deren Nutzung nur langsam", kommentiert Bitkom-Geschäftsleiterin Dehmel diese Zahlen. "Die Zuwächse sind zwar grundsätzlich ein positives Signal, Unternehmen sollten aber keine Zeit verlieren ihre Sicherheit auszubauen."
Regeln für mehr Sicherheit
Neben technischen Sicherheitslösungen vertrauen Firmen auch organisatorischen Vorkehrungen, zeigt die Bitkom-Studie. Dazu zählt beispielsweise die Vergabe von Zugriffsrechten, die laut Umfrage alle Unternehmen eingeführt haben. Klare Regeln für den Umgang mit schützenswerten Informationen gibt es in 86 Prozent der Betriebe. Gut acht von zehn Unternehmen haben ihre Betriebsgeheimnisse klassifiziert und gekennzeichnet - sie wissen also, welche Kronjuwelen sie besonders gut schützen müssen.
Starken Zulauf im Pandemiejahr erlebte die Clean-Desk-Policy, die festlegt, wie Mitarbeitende mit vertraulichen Informationen an ihrem Arbeitsplatz umgehen müssen. Sensible Dokumente wie Passwortzettel dürfen demnach nicht ungeschützt zugänglich oder sichtbar auf dem Schreibtisch liegen. Diese Regel gilt in 68 Prozent der Unternehmen, weitere zehn Prozent planen die Umsetzung. Im Jahr 2019 galten solche Maßnahmen nur bei 55 Prozent der Firmen.
Um Security besser zu organisieren, setzen immer mehr Unternehmen auf eine zentrale Stelle in ihrer Organisation. Fast sechs von zehn Betrieben haben einen Sicherheitsverantwortlichen bestellt. Weitere 22 Prozent planen, eine solche Position zu schaffen. 2019 hatte gerade einmal die Hälfte der Befragten einen Chief Security Officer (CSO) installiert, weitere 19 Prozent hatten dies vor.
Mensch bleibt Unsicherheitsfator
Eine gewisse Resignation spiegeln die Zahlen zu Schulungen wider. 56 Prozent der Unternehmen setzen auf derartige Sensibilisierungsmaßnahmen, um sich gegen Angriffe zu wappnen. Das sind deutlich weniger als noch vor zwei Jahren (63 Prozent). Dass der Mensch vor dem IT-System ein großer Unsicherheitsfaktor ist, dürfte hinlänglich bekannt sein. Dass man diesem Risiko mit Hilfe von Schulungen Herr werden könnte, glauben indes immer weniger Unternehmen.
Vor diesem Problem die Augen zu verschließen, hilft allerdings auch nicht weiter. "Unvorsichtige oder schlecht geschulte Beschäftigte können schnell zum Ziel von Angriffen werden", warnt Bitkom-Expertin Dehmel. "Investitionen in Schulungen sind deshalb immer auch wichtige Investitionen in die Zukunft des Unternehmens. Dabei ist zentral, die Mitarbeitenden gezielt für ihren spezifischen Arbeitskontext weiterzubilden."