Schon zwei von drei Unternehmen in der DACH-Region Opfer von Cyberkriminellen – Mitarbeiter als Sicherheitsrisiko
Die Anzahl von erfolglosen Angriffsversuchen Cyberkrimineller auf Unternehmen lässt sich seit langem nicht mehr beziffern. Doch trotz aller Vorsichtsmaßnahmen aufseiten der Organisationen sind die Attacken aus Sicht der Kriminellen regelmäßig von Erfolg gekrönt. Das legen die Aussagen von mehr als 200 Cybersecurity-Verantwortlichen in Deutschland, Österreich und der Schweiz nahe, die an einer Umfrage im Auftrag von Proofpoint teilgenommen haben. Dabei zeigt sich, dass Hacker in den aller seltensten Fällen die technischen Schwachstellen von Systemen ausnutzen. Viel mehr versuchen sie überwiegend E-Mails unmittelbar an einzelne Mitarbeiter zu schicken, oft mit gefälschtem Absender und frei erfundenen Inhalten. Durch diese Betrugs-E-Mails sollen die Angestellten dazu verleitet werden, sensible Daten preiszugeben oder direkt Geld auf die Konten der Kriminellen zu überweisen. So stimmten ganze 70 Prozent der befragten IT-Sicherheitsverantwortlichen aus D/A/CH zu, dass der Faktor Mensch und mangelndes Sicherheitsbewusstsein die größten Risiken für Unternehmen darstellen.
Langfristige Konsequenzen
Fallen Mitarbeiter auf die Tricks der Betrüger herein, sind die Schäden oft noch sehr lange spürbar. So hatten vier von zehn der befragten Unternehmen den Verlust sensibler Daten zu beklagen. Etwa genauso viele verzeichneten Störungen in den Betriebsabläufen.
Doch auch neben diesen direkten Auswirkungen gibt es weitere Folgen, mit denen die betroffenen Organisationen langfristig zu kämpfen haben. So hatte ein Drittel der Unternehmen Reputationsverluste im Markt zu verzeichnen, und bei jedem vierten Betroffenen verabschiedete sich ein Teil der Stammkundschaft.
Eine weitere Erkenntnis der Studie ist, dass drei von vier Unternehmen nicht optimal auf digitale Angriffe vorbereitet sind. Lediglich 24 Prozent aller Befragten konnten die Frage, ob sie auf eine Cyberattacke vorbereitet seien, vorbehaltlos bejahen. Für die Hacker besonders lohnenswerte Ziele sind dabei große Unternehmen mit mehr als 5.000 Mitarbeitern, denn von ihnen gaben lediglich 12 Prozent an, vorbereitet zu sein. Und auch der öffentliche Sektor gibt eher ein trauriges Bild ab: Während sich immerhin fast drei von vier privatwirtschaftlichen Unternehmen teilweise auf digitale Attacken vorbereitet haben (72 Prozent), konnte dies in der öffentlichen Verwaltung mit 46 Prozent noch nicht einmal jeder Zweite von sich behaupten.
Geringes Vertrauen in eigene Mitarbeiter und zu wenig Weiterbildung
„Unsere Studie zeigt, dass Cyberkriminelle sehr erfolgreich sind, Menschen in Unternehmen zu unbedachten Handlungen zu bewegen“, erklärt Michael Heuer, Vice President DACH von Proofpoint. „Die Schäden, die erfolgreiche Cyberattacken nach sich ziehen, sind oft gravierend und können das Überleben einer ganzen Organisation langfristig in Frage stellen. Da sich die Angreifer fast nur noch auf das Manipulieren der Mitarbeiter konzentrieren, sollten viele Unternehmen ihre Sicherheitsstrategie dringend anpassen. Sicherheitslösungen, die sich lediglich auf technische Aspekte konzentrieren, reichen längst nicht mehr. Nur das Zusammenspiel von Mensch und Technik bringt den Organisationen nachhaltige Verbesserung der digitalen Sicherheit.“
Bemerkenswert ist hierbei, dass 53 Prozent der befragten CSOs und CISOs der Meinung sind, dass ihre Mitarbeiter anfällig für Cyberangriffe seien. 77 Prozent jedoch genau hier an Schulungen sparen – in drei von vier Organisationen wird höchstens zwei Mal pro Jahr eine Cybersicherheits-Schulung durchgeführt. Auch hier bildet der öffentliche Sektor das Schlusslicht: ganze fünf von sechs Organisationen führen zu diesem Thema höchstens zwei Mal im Jahr entsprechende Trainings durch.
Phishing bleibt größtes Problem
Für die IT-Verantwortlichen bleibt in puncto Cybersicherheit Phishing das häufigste Problem. Dieser Ansicht ist zumindest jeder zweite Befragte. Auf Platz 2 liegt interessanterweise ein Bereich, der in der Vergangenheit nicht ganz so große Beachtung fand: Die Rede ist von Insider Threats. Jeder dritte (35 Prozent) sieht darin künftig ein großes Sicherheitsproblem, noch vor Ransomware mit 32 Prozent.
Und auch die COVID-19-Pandemie hat einen Einfluss hinsichtlich der Einschätzung zur gegenwärtigen Bedrohungslage von Unternehmen – allerdings in unterschiedlichem Ausmaß. Zwar beobachteten 34 Prozent der Unternehmen eine Zunahme von Phishing-Attacken seit Beginn der Pandemie, doch immerhin 29 Prozent der Befragten konnten diesen Trend nicht bestätigen.
Ferner zeigen sich massive Unterschiede zwischen den unterschiedlichen Branchen: So waren es im öffentlichen Sektor gerade einmal 15 Prozent der CIOs/CISOs, die eine Zunahme der Attacken wahrgenommen haben, wohingegen es in der Fertigungsindustrie und dem Einzelhandel mit 45 Prozentpunkten drei Mal so viele waren. Spitzenreiter im negativen Sinne war die Logistik-Branche. Mehr als 56 Prozent der Unternehmen hatten während der Pandemie einen Zuwachs an Phishing-Attacken zu verzeichnen.
Für diese Studie haben die Marktforscher von techconsult mehr als zweihundert CSOs und CISOs in Deutschland, Österreich und der Schweiz im Juli und August 2020 befragt. Diese waren in Unternehmen beschäftigt, die mindestens 250 Angestellte hatten. Berücksichtigt wurde darüber hinaus, dass diese Organisationen aus unterschiedlichen Branchen stammten wie der industriellen Fertigung, dem Einzelhandel, dem Dienstleistungssektor, der Logistik, Versorgungsunternehmen, dem Finanz- und Versicherungsbereich sowie der öffentlichen Verwaltung.
Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.
Weitere Informationen finden Sie unter www.proofpoint.com/de.
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com