Die unternehmensübergreifende Absicherung von Lieferketten gegen Cyberangriffe ist bislang nur ein Randthema für die meisten Unternehmen. Lediglich 42 Prozent der Unternehmen geben an, Cybersicherheit bereits für die gesamte Supply Chain zu betrachten, insbesondere kleine und besonders große Unternehmen haben hier noch keinen Überblick. Diese sind auch selbstkritisch und konstatieren, dass der Schutz ihrer eigenen Materialflüsse gegen Cyberangriffe nicht zufriedenstellend ist.
Gleichzeitig vertraut das Management vieler Unternehmen auf die Lösungsfähigkeit ihrer IT und nimmt ihre eigene Rolle in der Cybersicherheit nur unzureichend wahr.
Dies sind Erkenntnisse einer neuen Studie, die von der BVL in Zusammenarbeit mit der Universität der Bundeswehr München, der Otto-von-Guericke-Universität Magdeburg sowie den Unternehmenspartnern One Identity, Schunck Group und secida erstellt wurde. In diesem Rahmen wurde eine Befragung von über 150 Mitgliedsunternehmen der BVL durchgeführt.
Cyberkriminalität gehört 2023 zum Alltag
Deutlich geworden ist, dass Cyberangriffe zu einer Alltagskriminalität geworden sind fast die Hälfte der befragten Unternehmen wurde in den letzten fünf Jahren mindestens einmal Opfer von Cyberkriminellen, etwa ein Drittel war mehrfach betroffen. Häufig waren Webseiten (30 Prozent) und sensible Daten (25 Prozent) das Ziel, auch Datenverschlüsselung mit anschließender Erpressung kam häufig vor (15 Prozent). Bei der Analyse der Angriffsfälle hat sich herausgestellt, dass vielfach Beschäftigte in den Unternehmen dazu gebracht wurden, Schadsoftware zu installieren (37 Prozent). Auch aus dem Internet zugängliche Schwachstellen waren ein Einfallstor (28 Prozent). Benutzerkennungen und Passwörter wurden in 15 Prozent der Fälle missbraucht.
Was passiert nach einem Hackerangriff?
Nach einem Cyberangriff reagieren die befragten Unternehmen in der Regel professionell. 98 Prozent verbesserten ihre technischen Maßnahmen, 83 Prozent verstärkten Mitarbeiterschulungen, 66 Prozent veränderten ihre Richtlinien und immerhin 48 Prozent stellten zusätzliches Fachpersonal ein.
Die Auswirkungen von Cyberangriffen sind dennoch dramatisch: Fast die Hälfte der Befragten (49 Prozent) gab an, dass die Wiederherstellung der Betriebsfähigkeit nach einem Cyberangriff mehrere Tage oder länger gedauert hat, bei 24 Prozent waren es sogar mehrere Wochen, Monate oder über ein Jahr. Insbesondere bei kleinen Unternehmen mit wenig Kompetenz in der Cybersicherheit oder bei sehr großen Unternehmen mit komplexer IT-Landschaft dauert es lange, bis wieder gearbeitet werden kann.
Prävention gegen Cyberkriminalität wird immer noch unterschätzt
Dass das Management vieler Unternehmen seine Rolle beim Thema Cybersicherheit noch nicht ausreichend wahrnimmt, verdeutlichen einige Antworten. Obwohl eine Zugehörigkeit zur gesetzlich regulierten kritischen Infrastruktur deutlich höhere Anforderungen an das Management von Cyberrisiken stellt, kann ein Viertel der befragten Manager nicht sagen, ob das eigene Unternehmen zur kritischen Infrastruktur gehört. Über 40 Prozent der Manager konnten nicht sagen, ob das Unternehmen gegen Cyberangriffe versichert ist oder nicht. 28 Prozent der Befragten wissen nicht, ob das Unternehmen in den letzten fünf Jahren Opfer von Cyberangriffen wurde, 18 Prozent wissen nicht, ob das Risikomanagement im Unternehmen IT-Risiken mitberücksichtigt. Nur jeweils ein gutes Drittel der Unternehmen steuert die Cybersicherheit über entsprechende KPIs oder führt Cybersicherheitsübungen durch.
Wenig überraschend ist, dass kleinere Unternehmen meist weniger der verfügbaren Schutzmaßnahmen gegen Cyberangriffe nutzen, als größere Unternehmen, dabei können Angriffe bei ihnen schneller existenzbedrohend sein.
Es gibt aber auch positive Botschaften: die in der Cybersicherheit führenden Unternehmen wurden in den letzten fünf Jahren deutlich häufiger gar nicht gehackt als andere Unternehmen (42 Prozent versus 26 Prozent). Die Investition in eine bessere Cybersicherheits-Performance zahlt sich also aus.
"Die Ergebnisse der Studie zeigen sehr klar, dass sowohl das Management vieler Unternehmen, aber auch alle Mitarbeitenden noch mehr für das Thema Cybersicherheit sensibilisiert werden müssen. Als BVL möchten wir dazu beitragen, dass die Unternehmen unseres Wirtschaftsbereichs dabei verstärkt die gesamte Supply Chain in den Blick nehmen", so der BVL-Vorstandsvorsitzende Thomas Wimmer.