BSI Umfrage zur Cyber-Sicherheit 2015 – Licht und Schatten

 

Nach 2014 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun zum zweiten Mal seine Umfrage zur Cyber-Sicherheit in Deutschland durchgeführt. Befragt wurden kleine, mittlere und große Unternehmen unterschiedlicher Branchen. 59% der Unternehmen gaben an, in den letzten beiden Jahren das Ziel von Cyber-Angriffen gewesen zu sein. Diese Zahl belegt, dass die Sicherheitslage nach wie vor kritisch ist. Die Risiken sind gegenüber dem Vorjahr sogar deutlich gewachsen. Positiv zu verzeichnen ist, dass die Unternehmen zunehmend den Ernst der Lage verstehen und Maßnahmen zu ihrem Schutz ergreifen.

Die Umfrage erfolgte durch die Allianz für Cyber-Sicherheit, eine Initiative des BSI. Die vollständigen Ergebnisse können unter dem Link Cyber-Sicherheits-Umfrage 2015 - Allianz für Cyber-Sicherheit / BSI  abgerufen werden.

Dieser Artikel befasst sich mit einer Auswahl interessanter Zahlen und Fakten.

 

Opfer sind nicht nur die Großen

Die Zahlen der Umfrage belegen, dass nicht nur die Großen Opfer von Cyber-Angriffen werden. Es trifft auch die kleinen und mittleren Unternehmen. Kleine Unternehmen mit bis zu 50 Mitarbeitern und mittlere Unternehmen mit bis zu 500 bzw. 1000 Mitarbeitern wurden in 2014 und 2015 je zu etwa 50% Opfer von Cyber-Angriffen.  

→zur Grafik

Wachsende Zahl erfolgreicher Cyber-Angriffe

42% der Cyber-Angriffe auf Unternehmen in 2015 waren erfolgreich. Im Jahr 2014 waren es nur 34% - eine Zunahme von 8%. Diese Zahlen stimmen bedenklich. Denn die Ursachenforschung zeigt, dass erfolgreiche Cyber-Angriffe zum größten Teil vermeidbar wären. Das Bundeskriminalamt spricht in seinem Lagebericht für 2014 sogar von 99% vermeidbarer Schäden, wenn die einschlägigen Sicherheitsrichtlinien, wie z.B. die IT-Grundschutz-Kataloge eingehalten worden wären. 

→ zur Grafik

Erhebliche Kosten durch erfolgreiche Cyber-Angriffe

Ein erfolgreicher Cyber-Angriff verursacht einem Unternehmen erhebliche Kosten. An erster Stelle stehen hier die direkten Kosten, die bei einem Produktions- und Betriebsausfall entstehen. Ebenfalls erheblich sind die Kosten für die Aufklärung von Cyber-Angriffen und die Wiederherstellung der angegriffenen IT-Komponenten.

Die indirekten Kosten, die einem Unternehmen entstehen, sind naturgemäß weniger präzise zu erfassen. Dazu gehören Verluste, die dem Unternehmen durch den Diebstahl strategischen oder technischen Wissens entstehen. Signifikant können auch die Kosten sein, die durch den Diebstahl vertraulicher Daten entstehen, gerade auch dann, wenn es sich um Daten der eigenen Kunden handelt. Schwer einzuschätzen ist der Schaden, der mit dem Verlust der eigenen Reputation einhergeht. Nach Einschätzung der befragten Unternehmen, sind die indirekten Kosten eines erfolgreichen Cyber-Angriffs erheblich. Die Zahlen des BSI belegen das eindrucksvoll.

→ zur Grafik

Wachsendes Risikobewußtsein der Unternehmen

In wachsendem Maße werden sich die Unternehmen dem Bedrohungspotenzial durch Cyber-Kriminalität bewusst. Immerhin sehen 72% eine zunehmende Tendenz bei den Cyber-Risiken. Das größte Bedrohungspotenzial für die nächsten zwei Jahre sehen die Unternehmen in der  Wirtschaftskriminalität und dem organisierten Verbrechen.  Nach wie vor tragen aber auch Hacker als Einzeltäter aus Sicht der Unternehmen signifikant zum Bedrohungspotential bei.

In wachsendem Maße werden in den Unternehmen Maßnahmen zum Schutz vor Cyber-Kriminalität umgesetzt. Dazu gehört die Absicherung der eigenen IT-Infrastruktur durch technische Mittel, die Zentralisierung des Update- und Patchmanagements, die Regulierung von Zugriffsrechen auf sensitive Daten und Verschlüsselung. Die Schulung der eigenen Mitarbeiter spielt ebenfalls eine wichtige Rolle. Immerhin belegen die Zahlen des BSI, daß das unbeabsichtigte Fehlverhalten der Mitarbeiter die Ursache Nummer 1 für erfolgreiche Cyber-Angriffe ist.

Qualitätssichernde Maßnahmen vervollständigen zunehmend den Maßnahmenkatalog. Dazu gehören regelmäßige Security-Audits und Penetrationstests. Die Unternehmen überprüfen damit das Sicherheitsniveau der eigenen IT und können ggf. korrigierende Maßnahmen einleiten.

→ zur Grafik

Fazit

Insgesamt zeigt die Lage der IT-Sicherheit in deutschen Unternehmen Licht und Schatten. Das Bedrohungspotenzial ist nach wie vor signifikant. Die Unternehmen verstehen die Risiken aber zunehmend besser und zeigen eine wachsende Bereitschaft in die Sicherheit der eigenen IT-Infrastruktur zu investieren. 

 

Zurück