IT-Sicherheit in der Wirtschaft

Wirtschaftsspionage, Sabotage oder Datendiebstahl - die zunehmende Digitalisierung birgt für die Wirtschaft ein großes Sicherheitsrisiko. Zahlreiche Unternehmen digitalisieren ihre gesamte Wertschöpfungskette: von der Geschäfts- oder Konstruktionsidee über das Produkt und die Dienstleistung bis hin zur Logistik. Damit steigt die Gefahr, über das Internet Opfer krimineller Angriffe zu werden. Gerade in kleinen und mittleren Unternehmen gibt es auf dem Gebiet der Cybersicherheit sehr viel Handlungsbedarf. Studien zeigen auch für größere Unternehmen und für einzelne Bereiche der Wirtschaft, etwa der Finanzbranche, dass eine große Zahl der Unternehmen von Cyberangriffen betroffen ist.

Auf diese Bedrohungslage muss die gesamte deutsche Wirtschaft angemessen reagieren und sich mit dem Thema der Informationssicherheit gezielt auseinandersetzen. Dies kann besonders gut gelingen, wenn die Unternehmen anhand aktueller und sorgfältig erarbeiteter Informationen erkennen können, auf welche Weise die Cyberangriffe erfolgen und wie man sich effektiv dagegen schützen kann.

Größte Studie zu Cyberattacken

Am L3S führt die Forschungsgruppe von Prof. Dr. Sascha Fahl gemeinsam mit dem Kriminologischen Forschungsinstitut Niedersachsen e.V. (KFN) zum Thema Cyberangriffe gegen Unternehmen eine breit angelegte Untersuchung durch. Sie soll differenziertes Wissen zu den Angriffsarten und ihren Häufigkeiten liefern. Zudem wollen die beteiligten Forscherinnen und Forscher herausfinden, wie verbreitet Präventionsmaßnahmen und IT-Sicherheitsstandards in Unternehmen sind. Damit der Transfer der daraus hergeleiteten wissenschaftlichen Erkenntnisse in die Praxis gelingt, entwickeln die Wissenschaftler Präventionsstrategien und konkrete Handlungsempfehlungen für Unternehmen.

Ein Schwerpunkt des Projekts liegt auf der Informationssicherheit kleiner und mittelständischer Unternehmen (KMU). Insbesondere geht es um die Frage, welche Faktoren die Angriffswahrscheinlichkeit und die IT-Sicherheit beeinflussen. Das könnten etwa die Mitarbeiterzahl, die finanzielle Situation, die Arbeitsorganisation oder die Arbeitsabläufe sein. Dazu wurden im Rahmen des Forschungsprojektes 5.000 Unternehmen befragt. Die repräsentative Umfrage zählt derzeit zu den größten und aussagekräftigsten Studien zum Thema Cyberangriffe gegen Unternehmen, die unabhängig und nach wissenschaftlichen Gütekriterien durchgeführt und transparent dokumentiert wurde.

40 Prozent der Unternehmen betroffen

Demnach wurden in den letzten zwölf Monaten etwa 40 Prozent der befragten Unternehmen Opfer mindestens eines Cyberangriffs. Wie stark Unternehmen betroffen sind, hängt nicht nur vom Wirtschaftszweig und der Unternehmensgröße ab. Die Forscher fanden heraus, dass sich die Betroffenheitsraten kleiner und mittlerer Unternehmen zum Teil deutlich erhöhen, wenn sie mehrere Standorte in Deutschland oder mindestens einen zusätzlichen Standort im Ausland haben oder Güter beziehungsweise Dienstleistungen exportieren. Die Befragung befasste sich auch mit den Folgen des jeweils schwerwiegendsten Cyberangriffs. Bei 70 Prozent der Unternehmen entstanden direkte Kosten, insbesondere durch Sofortmaßnahmen zur Abwehr und Aufklärung, Wiederherstellung oder Wiederbeschaffung sowie externe Beratung.

Mitarbeiter sensibilisieren

Überraschenderweise sind technische Maßnahmen bereits weit verbreitet. Daher sollte es bei vielen Unternehmen jetzt darum gehen, diese noch besser in organisatorische Abläufe und Prozesse einzubinden und das Zusammenspiel von Mensch und Technik stärker in den Blick zu nehmen. Eine zentrale Erkenntnis lautet: Es reicht nicht aus, IT-Sicherheitsmaßnahmen zu implementieren. Vielmehr müssen diese auch innerhalb des Unternehmens von den Beschäftigten mitgetragen und umgesetzt werden.

Mehr dazu hier in der Kurzfassung des Forschungsberichtes.

Darüber hinaus steht hier eine Langfassung zur Verfügung.