(verpd) Ein Großteil der Firmenmanager fühlt sich beziehungsweise ihr Unternehmen durch Cyberkriminalität bedroht. Gleichzeitig glaubt die Mehrheit, dass Maßnahmen für Cybersicherheit den Aktivitäten der Hacker hinterherhinken.

Für die Studie „Catch 22: Digital transformation and its impact on cybersecurity“ der RSM, ein internationales Netzwerk von Wirtschaftsprüfungs-, Steuer- und Beratungsgesellschaften, wurden knapp 600 Unternehmensmanager in 33 europäischen Ländern befragt. Alle befragten Führungskräfte sind in Firmen unterschiedlichster Branchen und Größen tätig, die sich derzeit in einem digitalen Wandel befinden und neue Technologien einführen.

61 Prozent der Befragten vertraten die Meinung, dass Hacker raffinierter seien als die Softwareentwickler und daher im Kampf gegen Cyberkriminalität gewinnen. 64 Prozent glauben zudem, dass sie möglicherweise ohne ihr Wissen gehackt wurden. 39 Prozent sagten, in ihrem Unternehmen sei schon einmal ein Sicherheitsleck aufgetreten. Knapp zwei Drittel davon reagierten mit Investitionen in neue Sicherheitstechnologie, die Hälfte mit Investitionen in die Mitarbeiterschulung, 37 Prozent suchten die Hilfe externer Fachleute.

Wenig Vertrauen in die eigene Sicherheitsstrategie

Dass ihre Sicherheitsstrategie sie schützen wird, glauben nur 48 Prozent und damit nicht einmal jeder Zweite. 21 Prozent und damit mehr als jeder Fünfte erklärten sogar, über keinen Cybersicherheitsplan zu verfügen. „Wenn es um Cybersicherheit geht, ist der Mangel an Vertrauen von Unternehmen verständlich, denn die Realität sieht heute so aus, dass die Bedrohungen größer sind als der Schutz – der Hacker ist immer zwei Schritte voraus“, meint Gregor Strobl, Head of Technology and Cyber Risk Assurance bei RSM Deutschland.

Außerdem gebe es nicht nur mehr Hacker. Man habe  „auch einen Trend zu Syndikaten gesehen, in denen sich kriminelle Organisationen auf der ganzen Welt zusammenschließen und oft über das Dark Web geopolitisch zusammenarbeiten“, so Strobl. Dies verstärke die Bedrohung. „Nichts zu tun, ist jedoch keine Option“, fügt der Experte hinzu. „Investitionen in Kontrollen zur Verhinderung, Aufdeckung, Eindämmung und zum Aufbau von Vertrauen können der Unterschied sein zwischen einer kontrollierten Reaktion mit geringen Auswirkungen oder einem öffentlichen Skandal mit erheblichen finanziellen Verlusten.“

RSM listet in der Studie auch einige sinnvolle Maßnahmen auf. Dazu zählt beispielsweise Firewalls, Betriebssysteme und Antivirensoftware aktuell zu halten, einen sicheren Passwortschutz für das Netzwerk zu haben, aber auch, sich über eine Cyberversicherung Gedanken zu machen.

Cybersicherheit ist nicht für jeden Vorstand ein Thema

Die Studie verdeutlicht zudem, dass das Engagement des Firmenmanagements bezüglich der Cybersicherheit lückenhaft ist. So werde das Thema Cybersicherheit in nur 54 Prozent der Unternehmen auf Vorstandsebene diskutiert, und hier teils nur gelegentlich oder sogar selten. 65 Prozent der Befragten waren der Ansicht, dass dieses Thema auf der Ebene des oberen Managements stärker diskutiert werden muss.

Die Verantwortung für die Bekämpfung der Cyberkriminalität liegt nach Dafürhalten von 31 Prozent beim CEO, 20 Prozent sehen sie beim IT-Manager. „Das Cyber-Risikomanagement muss auf Vorstandsebene durchgeführt werden“, ist Strobl überzeugt.

Er erklärt weiter: „Allzu oft erkennt die Unternehmensleitung die Notwendigkeit von Investitionen in die Cybersicherheit nicht und hält an dem gefährlichen Glauben fest, dass es, da sie noch keinen Verstoß erlebt haben (soweit sie wissen), niemals passieren wird. Dies ist ein besonderes Problem für kleine Unternehmen mit begrenztem Budget, in denen es keinen CIO oder IT-Direktor gibt und der CEO nur eingeschränkte Kenntnisse über Cyberkriminalität hat.“ Strobl ist sich sicher, dass sich dies wegen der zunehmenden Zahl von Verstößen und deswegen verhängter Geldbußen ändern wird.

Zum besseren Schutz des Unternehmens

Tipp: Umfassende IT-Sicherheitstipps für Unternehmen enthalten die Webauftritte des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Vereins „Deutschland sicher im Netz e.V.“ (DsiN).

Allerdings garantieren auch die besten Sicherheitsmaßnahmen keinen 100-prozentigen Schutz vor Cyberkriminellen. Unternehmen, die die möglichen Folgen eines Cyberangriffs so gering wie möglich halten wollen, können sich mit einer sogenannten Cyberversicherung, die mittlerweile einige Versicherer anbieten, absichern.

Der Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) erklärt: „Eine Cyberversicherung tritt nach Angriffen auf die Daten oder die IT-Systeme eines Unternehmens ein. Sie übernimmt nicht nur die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte, sondern steht den Kunden im Ernstfall mit einem umfangreichen Serviceangebot zur Seite: Nach einem erfolgreichen Angriff schickt und bezahlt die Versicherung Experten für IT-Forensik, vermittelt spezialisierte Anwälte und Krisenkommunikatoren.“