Es kann jeden treffen …

Warum es ausgerechnet einen Traktorenhersteller und ein Essensunternehmen traf? Unklar. Aber so viel ist sicher: Florierende Unternehmen – Apetito macht Milliarden-Umsätze – sind für Cyberkriminelle überaus lukrative Ziele.

„In unserem ,State of Ransomware Report 2022‘ haben wir festgestellt, dass 67 Prozent der in Deutschland befragten Unternehmen im Jahr 2021 von einem Ransomware-Angriff betroffen waren“, kommentiert Michael Veit, Security Specialist bei Sophos, die aktuelle Situation. Und von den angegriffenen Unternehmen wiederum hätten 65 Prozent verschlüsselte Daten gehabt – „also wurden über 43 Prozent der befragten Unternehmen Opfer eines erfolgreichen Ransomware-Angriffs.“

Zu den Faktoren, die erfolgreiche Cyberangriffe begünstigen, zählen laut Richard Werner historisch gewachsene und meist unübersichtliche IT-Umgebungen, mittelständische Unternehmensstrukturen mit Schwierigkeiten, IT-Security-Fachpersonal einzustellen, sowie Dienstleister, auf die bei Lieferschwierigkeiten enormer Druck ausgeübt werden kann. „Gerade in Deutschland findet sich eine große Anzahl an Unternehmen, auf die diese Beschreibung zutrifft“, so der Business Consultant bei Trend Micro.

Udo Schneider, IoT Security Evangelist bei Trend Micro, weist auf den Aspekt hin, dass deutsche Unternehmen beim Thema Industrial Security hinsichtlich der Einführung technischer Lösungen sehr viel zurückhaltender seien als etwa amerikanische. „Deutsche Unternehmen sind deutlich methodischer bei der Einführung. Dies hat vielleicht den Nachteil einer langsameren Einführung – diese ist dafür oft umso durchdachter und langlebiger.“

Deutschland steht, so die von com! professional befragten Experten des auf Microsoft spezialisierten Sicherheitsanbieters Hornetsecurity, bei der IT-Sicherheit im internationalen Vergleich relativ gut da. Die Unternehmen seien sensibilisiert und investierten immer mehr in die Sicherheit ihrer Systeme. „Ein Grund dafür ist, dass Angriffe auf deutsche Unternehmen oft in den Medien thematisiert werden und so die Sensibilität für das Thema erhöht wird.“

Etwas anders sieht das Michael Scheffler, Country Manager DACH bei Varonis Systems. Ihm zufolge ist das IT-Sicherheitsniveau und vor allem die Awareness in Deutschland deutlich niedriger als etwa in den USA und Großbritannien. „Hierzulande ist zwar der Datenschutz als wichtiges ideelles Gut hoch angesiedelt, wird in der praktischen Umsetzung jedoch eher als Checkbox begriffen, die es abzuhaken gilt. Vor allem wird hier leider auch häufig der immanente Zusammenhang zwischen Datenschutz und Datensicherheit nicht erkannt“, so seine Erklärung.

In Branchen, die wie der Finanzsektor oder die Energiewirtschaft einer sehr strikten Regulierung unterliegen, sei das Sicherheitsniveau hoch, sagt Sebastian Ganschow, Director Cybersecurity Solutions beim IT-Dienstleister NTT. Im Gesundheitswesen und in der öffentlichen Verwaltung gebe es hingegen noch einigen Nachholbedarf – „nicht unbedingt, weil es am Bewusstsein für IT-Sicherheit mangelt, denn das ist mittlerweile wahrscheinlich überall vorhanden. Vielmehr fehlen den Unternehmen, Einrichtungen und Behörden oft die benötigten Budgets oder Fachkräfte und bisweilen hindern sie auch verkrustete Strukturen und langwierige Prozesse an der Verbesserung der IT-Sicherheit.“ Ihre Herausforderungen seien definitiv vielfältig und erforderten große Anstrengungen, zumal es sich um Bereiche handele, in denen die Arbeit mit sensiblen Daten an der Tagesordnung sei.

Grundsätzlich lasse sich feststellen, dass im Hinblick auf Cyberbedrohungen „kein Sektor oder keine Branche immun“ ist, so Roger Scheer, Regional Vice President für Central Europe beim Cybersicherheits-Unternehmen Tenable. „Angreifer werden nach einfachen Gelegenheiten suchen und sich auf bewährte Angriffsmethoden konzentrieren, von denen sie wissen, dass sie funktionieren. Bei einer Stärkung der Verteidigung eines Unternehmens werden sie wahrscheinlich zu einem anderen Ziel übergehen.“

Ob kleine Firma oder Großunternehmen und unabhängig von der Branche – die Herausforderungen sind meist gleich. Einem kleinen Unternehmen fällt es allerdings in der Regel schwerer, diesen zu begegnen, als einem Großunternehmen wie einer Bank. „Unter gleichen Herausforderungen bestehen verschiedene Unternehmenskulturen und ein Unterschied zwischen extrinsischer und intrinsischer Motivation“, weiß Christian Borst, Chief Technical Officer EMEA beim Cybersicherheits-Unternehmen Vectra AI. Letztere sei bei vielen Unternehmen wohl sehr ähnlich ausgeprägt, während erstere unterschiedliche Reifegrade aufweise.

Ransomware ist mit Sicherheit momentan die Nummer eins bei Cyberangriffen – die Gefahr wird aber von vielen Unternehmen noch immer nicht in ihrer gesamten Tragweite begriffen. Viele Unternehmen sehen nur die Verschlüsselung der Daten und die daraus resultierenden Probleme beziehungsweise Störungen. Doch Varonis-Manager Michael Scheffler weist darauf hin, dass sich Angreifer mitunter lange und ungestört in den Systemem ihrer Opfer bewegen und natürlich auch Daten entwenden können. „Während man kompromittierte Systeme recht schnell wiederaufbauen kann, lassen sich Daten eben leider nicht ,unkompromittieren‘. Im schlimmsten Fall landen sie im Dark Web oder beim Wettbewerb.“ Entsprechend sieht er im Datendiebstahl auch die größte Herausforderung für Unternehmen. Dabei spiele es zunächst keine große Rolle, ob Daten im Rahmen einer Ransomware-Attacke entwendet werden, durch Cyberspionage gezielt abfließen oder von Mitarbeitern exfiltriert
werden.