Phishing ist die häufigste Cyberattacke
Der TüV-Verband hat die Ergebnisse einer repräsentativen Ipsos-Umfrage zum Thema Cybersicherheit in deutschen Unternehmen vorgelegt. Die wohl alarmierndste Erkenntnis lautet: jedes zehnte Unternehmen war in der Vergangenheit schon einmal von den Folgen eines IT-Angriffs betroffen. Konkret handelt es sich bei einem solchen Ereignis sowohl um Cyberangriffe als auch um Sabaotage und Hardware-Diebstahl.
Für die Befragung wurden 501 Unternehmen befragt und in drei Gruppen aufgeteilt: kleine Unternehmen mit 10 - 49 Mitarbeitenden, mittlere Unternehmen mit 50 - 249 Mitarbeitenden sowie große Unternehmen mit 250 und mehr Beschäftigten. Es stellte sich heraus, dass kleine Unternehmen zwar am wenigsten betroffen waren (11 %), aber auch gleichzeitig zu 50 % die Bedeutung der Gefahr nicht richtig einschätzen bzw. erkennen. Große und mittlere Unternehmen hingegen gaben deutlich häufiger an, sich das Problems bewusst zu sein (80 % der großen Unternehmen und 76 % der kleinen Unternehmen).
Neben den Attacken einzelner krimineller Hacker haben die der organisierten Cyberkriminalität aber auch die von staatlicher Seite stark zugenommen. Insbesondere durch den vermehrten Einsatz von KI (künstlicher Intelligenz) und IoT (vernetzter smarter Dinge) sind die Möglichkeiten für Angriffe vielfältiger geworden. Politische Konflikte, diplomatische Krisen und nicht zuletzt der Krieg in der Ukraine tragen dazu bei, dass vermehrt Angriffe aus dem Ausland erfolgen. Ziel ist es, die Wirtschaft zu schwächen, sensible Daten zu stehlen und Einfluss zu nehmen.
Als beliebteste Methode, in ein IT-System einzudringen gilt das sogenannte Phishing. Mit Hilfe von E-Mails, die denen der echten Geschäftspartner, wie zum Beispiel Banken, täuschend ähnlich sehen, werden Passwörter und Zugangsdaten ausgespäht. Hier kommt seit Neuestem auch die Verwendung von KI-Helfern wie ChatGPT zum Einsatz, denn bisher konnten Phishing Mails zum Teil relativ einfach durch schlechte Formulierungen identifziert wreden. Mittels ChatGPT werden die Texte der Fake E-Mails in Zukunft deutlich professioneller wirken.
Auf Platz zwei im Ranking steht die Ransom-Software. Gelangt eine solche Software in das IT-System eines Unternehmens, werden Daten verschlüsselt und somit wichtige Programme lahm gelegt. Im Anschluss wird eine hohe Geldsumme verlangt, um die Verschlüsselung rückgängig zu machen. Häufig zahlen die Unternehmen dieses Geld, damit sie schnell wieder ihren Betrieb aufnehmen können.
Mittels sogenanntem social engineering versuchen Kriminelle, zum Beispiel durch gefakte Anrufe, an Daten und Passwörter zu gelangen oder das Durchführen bestimmter Handlungen wie Überweisungen zu erreichen. Im Telefonat geben sich die Angreifer beispielsweise als Vorgesetzte, Geschäftspartner oder Lieferant aus.
Angriffe auf die IT-Infrastruktur haben Produktionsausfälle und die temporäre Nicht-Erreichbarkeit von Diensten für die Belegschaft und Kunden zur Folge. Darüber hinaus ist Datendiebstahl und somit der Verlust wichtiger firmeneigener Informationen einhergehend. Der finanzielle Schaden ist immens.
Als Konsequenz haben sich die Ausgaben für Cybersicherheit in den letzten zwei Jahren deutlich erhöht. Jedes zweite Unternehmen gab an, deutlich mehr Geld für IT-Sicherheit ausgegeben zu haben. Dabei fiel der größte Anteil auf sichere Hardware (71 %), gefolgt von Sicherheits-Software (55 %). Rund 63 % der Investitionen standen im Zusammenhang mit der IT Sicherheit vernetzter Anlagen und Geräte. Als weitere, unumgängliche Maßnahme kristallisiert sich die Schulung von Mitarbeitenden heraus. Die beste Hard- und Software bringt keinen Nutzen, wenn die "Schwachstelle Mensch" unwissentlich Informationen preisgibt. Insofern hat die Stärkung des internen Know-how eine große Bedeutung.
Fazit
Die Sensiblisierung im Hinblick auf Cyberkriminalität ist speziell in den kleinen Unternehmen stark ausbaufähig. Neben den technischen Maßnahmen steht außerdem der Mensch im Fokus der Handlungsempfehlungen. Von Seiten der Politik wird auf EU-Ebene derzeit der Cyber Resilience Act geprüft, der im Kern die Cybersicherheit vernetzter Produkte behandelt. Weiterhin wurde ein Gesetzesentwurf zur Regulierung von künstlicher Intelligenz vorgelegt (Artificial Intelligence Act). Das Bundesministerium für Wirtschaft und Klimaschutz fördert mit seinem Programm go-digital außerdem Vorhaben von KMUs, die eine Verbesserung der IT Sicherheit und der Digitalisierung anstreben. Um den Anschluss nicht zu verpassen und hohe Verluste hinnehmen zu müssen, müssen deutsche Unternehmen schnellstmöglich ihre IT Infrastruktur und dessen Angreifbarkeit auf den Prüfstand stellen, um dann zeitnah Verbesserungen vorzunehmen.
Bild
erstellt mit https://www.canva.com/
Quelle
https://www.tuev-verband.de/pressemitteilungen/gut-jedes-zehnte-unternehmen-erfolgreich-gehackt