BSI Bericht: IT-Sicherheit weiterhin gefährdet
Bild: @istock.com/xijian Posted on von Sicherheit

BSI Bericht: IT-Sicherheit weiterhin gefährdet

Keine Entwarnung vom Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Zahl der Cyberangriffe ist auch 2017 wieder gestiegen, ebenso die Schäden. Jeder Angriff kostet Unternehmen im Durchschnitt 9,4 Millionen Euro.

Die Zahl des Jahres 2017 zum Thema IT-Security lautet 1,4 Milliarden. So viele unverschlüsselte Account-Daten hat der Sicherheitsexperte Julio Casal Anfang Dezember in einer Datenbank im Darknet gefunden – eine Sammlung entwendeter Daten aus zahlreichen Sicherheitsbrüchen. Ein typisches Beispiel einen solchen Angriff ist der auf den US-Finanzdienstleister Equifax im März 2017. Das Unternehmen hatte eine Software-Schwachstelle längere Zeit nicht geschlossen, die dadurch von Hackern ausgenutzt werden konnte. Sie stahlen persönliche Daten von mehr als 143 Millionen Kunden aus den USA, Kanada und Großbritannien, in einigen Fällen auch Kreditkartendaten. Das war einer der größten Datenverluste im Jahr 2017, aber bei weitem nicht der einzige: Das Fachmagazin Computerwoche hat die zwölf haarsträubendsten Security-Desaster der jüngsten Vergangenheit zusammengestellt.

Mehr Angriffe mit Erpressungssoftware

Die meisten Sicherheitsvorfälle sind nicht sonderlich spektakulär, aber trotzdem gefährlich. Der aktuelle Bericht „Die Lage der IT-Sicherheit in Deutschland 2017“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) betont, dass jedes Unternehmen betroffen sein kann. Das BSI erkennt darin eine neue Qualität der Gefährdung: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge und der Industrie 4.0 bieten Cyberkriminellen neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich zu bereichern.

Der Bericht untersucht den Zeitraum von Juli 2016 bis Juni 2017. Das Fazit: „Die Lage ist weiterhin auf hohem Niveau angespannt. Bekannte Einfallstore für Cyberangriffe bleiben unverändert kritisch bestehen. Vor allem die gestiegene Zahl an IT-Sicherheitsvorfällen mit Erpressungssoftware (Ransomware) zeigt, dass Cyberkriminelle hier eine lukrative Möglichkeit gefunden haben, in großem Umfang Geld zu erpressen.“

Das BSI erkennt zwei Faktoren, die immer mehr zu einer Gefahrenquelle für die IT-Sicherheit werden. Der erste Faktor ist das Internet der Dinge. Bei vielen vernetzten Geräten wird die IT-Sicherheit weder bei der Herstellung noch bei der Kaufentscheidung des Kunden ausreichend berücksichtigt – egal ob Privatanwender oder Unternehmen. Zweitens spielt auch der Faktor Mensch eine Rolle: Phishing-Angriffe, die gezielt auf einzelne Mitarbeiter oder Unternehmen zielen, werden immer häufiger. Durch solch betrügerische Aktionen können Angreifer hohe Schäden verursachen. Das BSI betont: „Intensive Sensibilisierung der Mitarbeiter sowie die technische und organisatorische Absicherung von internen Prozessen schaffen hier Abhilfe.“

Ein Angriff kostet im Schnitt 9,4 Millionen Euro

Auf der Pressekonferenz zur Veröffentlichung des Lageberichts wurden auch Zahlen zu den meldepflichtigen Vorfällen mit kritischem Störpotenzial kommuniziert, wie das IT-Medium heise.de berichtet. Von den insgesamt 34 Meldungen im Berichtszeitraum kamen 18 von Unternehmen im Bereich Informationstechnik und Telekommunikation. Elf Meldungen entfielen auf den Bereich Energie, drei auf die Wasserwirtschaft und zwei auf den Sektor Ernährung. Als besonders kritisch wertete das BSI den Spionageangriff auf ThyssenKrupp, der allerdings erfolgreich abgewehrt werden konnte. Die Geschichte dieses Angriffs zeigt, dass auch Erfolge in der Abwehr von Cyberkriminellen für die Unternehmen hohe Kosten bedeuten: Über zehn Monate hinweg war ein IT-Team bei ThyssenKrupp allein mit diesem Angriff beschäftigt.

Die Folgekosten erfolgreicher Angriffe sind oft enorm hoch. Die Studie „Cost Of Cyber Crime“ der Unternehmensberatung Accenture hat die Erfahrungen von etwa 250 Unternehmen und anderen Organisationen weltweit ausgewertet. Sie beziffert die durchschnittlichen Kosten eines Cyberangriffs auf 2,4 Millionen US-Dollar. Dazu gehören Ausgaben für die Angriffserkennung, die Wiederherstellung von Daten und Systemen, forensische Untersuchungen sowie die Kosten von Betriebsunterbrechungen und Kundenverlusten. Da deutsche Unternehmen im letzten Jahr besonders stark von Ransomware-Attacken (WannaCry, Petya) betroffen waren, liegen die durchschnittlichen Kosten hier sogar bei 9,4 Millionen Euro.

Zu vergleichbaren Schlüssen kommt die Kapersky-Lab-Studie „IT Security: Cost-Center or Strategic Investment?“. Sie differenziert die Kosten nach kleineren Unternehmen (KMU) und Großunternehmen. Bei den KMU sind Vorfälle bei Outsourcing-Partnern der größte Risikofaktor. Der Grund dürfte hier sein, dass zahlreiche kleinere Unternehmen nur wenig eigene IT-Infrastruktur besitzen und sie dadurch praktisch die Folgekosten der Angriffe auf Infrastrukturanbieter erben. Bei Großunternehmen dagegen sind eher die Lieferanten das Problem. Sie sind häufig kleinere Unternehmen und in Sachen IT-Sicherheit nicht gut gerüstet, sodass hier auch für den Auftraggeber Folgekosten entstehen. Die Kaspersky-Studie kommt zu dem Schluss, dass sich angesichts der enormen Folgekosten von Sicherheitslücken die Ausgaben für verstärkte IT-Security lohnen. Unternehmen sollten sie deshalb in jedem Fall als strategisches Investment sehen.

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.