IT-Sicherheit

Cybergeddon ohne Ende

cybergeddon_webDie Zahl der Angriffe auf die IT-Sicherheit von Unternehmen ist im vergangenen Jahr sprunghaft angestiegen. Das ist das Ergebnis des »Global State of Information Security Survey«, welche die Wirtschaftsprüfungs- und Beratungsgesellschaft PwC jährlich durchführt. Dazu wurden im Frühjahr 2014 rund 9.800 IT-Verantwortliche in über 154 Ländern befragt, darunter 30 österreichische Unternehmen. Es ist die größte Umfrage ihrer Art.

Das zentrale Ergebnis: Im Jahr 2013 ist die Gesamtzahl der Angriffe auf die IT-Sicherheit von Unternehmen im Vergleich zum Vorjahr um 48% auf 42,8 Mio. angestiegen. Dies entspricht 117.330 Angriffen pro Tag. Seit 2009 ist die Zahl damit sogar um 66% angestiegen. Trotz der zunehmenden Anzahl an Sicherheitsvorfällen sinken die Ausgaben für IT-Sicherheit. Zwar gaben 48% der Studienteilnehmer an, dass sie IT-Sicherheitsrisiken stärker wahrnehmen (2011: 39 %). Dennoch sanken die Ausgaben für IT-Sicherheit gegenüber dem Vorjahr um 4%.

»IT-Security ist schon Chefsache«, Andreas Plamberger Technology Consulting bei PwC Österreich.

»IT-Security ist schon Chefsache«, Andreas Plamberger Technology Consulting bei PwC Österreich.

»Trotz knapper Budgets gilt: Informationssicherheit beschäftigt nicht länger nur die IT-Verantwortlichen und Sicherheitsexperten – bei den meisten Unternehmen ist das Thema inzwischen Chefsache. Das ist angesichts der massiv gestiegenen Schäden ein logischer Schritt. Der Markt für Informationssicherheit ist und bleibt daher ein wachsender Markt. Gerade der Boom bei Smartphones und Tablets verlangt von den Firmen eine Reaktion im Bereich IT-Sicherheit. Auch versichern sich Organisationen heute häufiger gegen Cyber-Schäden«, sagt Andreas Plamberger, Head of Technology Consulting bei PwC Österreich.

Milliardenschäden. Der Studie zufolge entstand 2013 weltweit ein Verlust von geschätzten 2,7 Mio. Dollar pro Angriff, das ist zum Vorjahr ein Anstieg von 34%. Dabei sind große Verluste zunehmend an der Tagesordnung: Die Zahl der Fälle mit einem Verlust von mehr als 20 Mio. Dollar stieg 2013 sogar um 92%. In der Summe betrug der Schaden, der durch den Verlust von Geschäftsgeheimnissen entstand, zwischen 749 Mrd. und 2,2 Billionen Dollar. Da viele Angriffe nicht gemeldet werden, liegt die Dunkelziffer der globalen Kosten durch Cyberkriminalität jedoch wohl um einiges höher.

Insbesondere in Europa haben die Befragten einen signifikanten Anstieg von Cyberkriminalität beobachtet: So ist hierzulande 2013 die Anzahl der aufgedeckten Angriffe um 41% gestiegen. Wie die Umfrage weiter ergeben hat, werden große Unternehmen mit einem Bruttoumsatz von mehr als 1 Milliarde Dollar häufiger angegriffen als kleine Unternehmen. Für Hacker interessant sind vor allem Handelsstrategien, geistiges Eigentum wie Produktdesigns und große Mengen an Kundendaten, die verkauft oder sogar für militärische Vorteile genutzt werden können. Ebenso angestiegen sind die Angriffe auf vernetzte Verbrauchergeräte wie Baby-Phones oder Fernseher – ein Umstand, der das »Internet of Things« deutlich zurückwerfen könnte.

Mitarbeiter manchmal Täter. Wie die Studie zeigt, stehen am häufigsten Insider – derzeitige und ehemalige Mitarbeiter – hinter der Cyberkriminalität. Dabei geschehen jedoch viele Vorfälle unabsichtlich, z.B. durch den Verlust von mobilen Endgeräten, oder weil die Mitarbeiter Opfer von Phishing-Angriffen werden. Darauf sind jedoch viele Unternehmen nicht vorbereitet.

»Bedrohungen aus dem eigenen Ökosystem«, Christian Kurz, Forensic Solutions bei PwC Österreich.

»Bedrohungen aus dem eigenen Ökosystem«, Christian Kurz, Forensic Solutions bei PwC Österreich.

»Viele Organisationen übersehen gerade die Bedrohungen, die aus ihrem eigenen geschäftlichen Ökosystem stammen. Als Folge davon verfügen die wenigsten Unternehmen über eine geeignete Früherkennung und sind nicht in der Lage, auf den Ernstfall, der mit an Sicherheit grenzender Wahrscheinlichkeit eintreten wird, angemessen und schnell zu reagieren«, sagt Christian Kurz, Country Leader Forensic Technology Solutions bei PwC Österreich.

Zugenommen haben überdies die Angriffe auf Händler. Bei 467 Datenpannen bei Händlern weltweit waren in 95% der Fälle die Kredit- und Bezahlkartendaten das Hauptziel. Auch der Diebstahl von geistigem Eigentum ist 2013 um 19% angestiegen. Besonders betroffen war die Luftfahrt- und Verteidigungsbranche, wo ein Anstieg von 97% beim Diebstahl von »handfestem« geistigen Eigentum wie strategischen Geschäftsplänen, Vertragsdokumenten und sensiblen finanziellen Daten zu verzeichnen war sowie 66% bei »virtuellem« geistigen Eigentum wie Prozessen und Betriebskenntnissen.

Neue Sorgenquelle. Ebenfalls in die Höhe ging es mit Angriffen durch Geheimdienste von Nationalstaaten. Hier stieg die Fallzahl um 86% an, verursacht u.a. durch geopolitische Ereignisse in Osteuropa und dem Mittleren Osten. Als Folge der Snowden-Leaks zeigen Nationen, Unternehmen und die Gesellschaft zunehmend Skepsis gegenüber inländischen Geheimdiensten und dem möglichen Einfluss auf Datenschutz und Datensicherheit. 59% der Befragten sagten, dass ihre Führungskräfte die Regierungsüberwachung sehr besorgt sehen. Besonders hoch sind die Bedenken in China (93%), Indien (83%) und Brasilien (77%). Rund 42% der Befragten überprüfen daher den Verkauf ihrer Produkte in verdächtige Staaten; 29% verkaufen deshalb sogar weniger in diese Länder.

Industriespionage. Laut der Corporate Trust Studie »Cybergeddon« entsteht in Deutschland jährlich ein wirtschaftlicher Schaden von etwa 12 Mrd. Euro durch Industriespionage. Etwa die Hälfte davon resultiert aus schlechtem Berechtigungsmanagement. Das ist die Meinung von 38% der für den „Trendreport: Berechtigungsmanagement im Mittelstand« befragten Fach- und Führungskräfte der IT und Sicherheit. Mit der Umfrage im Rahmen der Sicherheitsmesse it-sa 2014 gibt die Berliner Protected Networks einen aktuellen Überblick über den Status quo sowie das Potenzial innerer Datensicherheit.

Menschliches Problem. »Das ist ein unhaltbarer Zustand«, fasst Stephan Brack, CEO der Protected Networks, zusammen. »Unternehmen müssen sich dringend den Bedrohungen in der Datenwelt bewusst werden und jeden einzelnen Arbeitnehmer unbedingt zu den möglichen Gefahren sensibilisieren. Nur wenn Daten strukturiert, Zugriffe auf Interna bei Bedarf beschränkt und Mitarbeiter geschult werden, können wirtschaftliche Milliardenverluste auch langfristig minimiert werden.«

»Dringend den Bedrohungen bewusst werden«, Stephan Brack CEO von Protected Networks.

»Dringend den Bedrohungen bewusst werden«, Stephan Brack CEO von Protected Networks.

Viele wirtschaftliche Schäden werden tatsächlich unbewusst durch den Mitarbeiter verursacht. Die momentan wahrscheinlich größte Gefahr liegt dabei im so genannten »Social Engineering«. Hierbei entwenden Trickbetrüger Unternehmensdaten, indem sie menschliche Eigenschaften wie Mitleid oder Höflichkeit ausnutzen. Datenjäger täuschen beispielsweise bei Anrufen eine falsche Identität vor und fragen ganz simpel nach den gewünschten Informationen. Login-Daten werden gerne über Phishing-Mails abgefragt. Mit solchen Attacken war Social Engineering in Deutschland laut der aktuellen Corporate Trust Studie mit 38,4% im vergangenen Jahr sogar schon die dritthäufigste Angriffsform auf Firmengeheimnisse.

Enorme Schäden. Und das Potenzial für die Angreifer scheint noch lange nicht ausgeschöpft: Laut dem Trendreport führen weitere 38% der befragten Experten immer noch 3 Mrd. Euro wirtschaftlicher Verluste auf schlechte oder zumindest unglückliche Datenstrukturen und falsch vergebene Zugriffsrechte zurück. Jeder Fünfte der IT- und Sicherheitsexperten vermutet sogar Schäden von über 6 Mrd. Euro durch fehlende Daten- oder Berechtigungsstrukturen.

Comments are closed.