Von Sebastian Schmid, FrankfurtFür den Fall, dass in ihren Gebäuden ein Feuer ausbricht, haben die meisten Unternehmen selbst bei relativ geringer Gefährdung oft umfangreiche Brandschutzkonzepte entwickelt. Diese gehen weit darüber hinaus, an entsprechenden Stellen Feuerlöscher und Brandschutztüren anzubringen. In den meisten industrialisierten Ländern werden zudem in regelmäßigen Abständen Feuerschutzübungen durchgeführt. Brandschutzbeauftragte stellen sicher, dass die Konzepte auch eingehalten werden. Was beim Thema Brandschutz eine Selbstverständlichkeit ist, stellt beim Schutz vor Cyberkriminalität derweil noch die Ausnahme dar. Wenn es online brennt, fehlt oft der Feuerlöscher. Ein Großteil der Unternehmen ist auf den Ernstfall einer erfolgreichen Cyberattacke kaum vorbereitet, wie aus einer Studie des Beratungsunternehmens EY (ehemals Ernst & Young) hervorgeht. Wenig VertrauenObwohl sich die Cyberangriffe mit der voranschreitenden Digitalisierung in den Unternehmen laut Experten häufen werden, existiert nur in 58 % der befragten Unternehmen eine Kommunikationsstrategie für den Ernstfall. Dabei räumen fast neun von zehn IT-Sicherheitsexperten ein, kaum Vertrauen in die Fähigkeit ihrer Gesellschaft bei der Abwehr von Cyberattacken zu haben. Fast ebenso viele sehen den Bedarf, mindestens 50 % mehr in IT-Sicherheit zu investieren. Jeder zweite befragte Manager zweifelt daran, dass sein Unternehmen künftige Attacken aus dem Internet überhaupt feststellen kann. Ebenso groß ist der Anteil derer, die keine Ahnung haben, wie hoch der potenzielle finanzielle Schaden einer Cyberattacke ausfallen könnte (siehe Grafik).Doch die Erkenntnis, nicht ausreichend vorbereitet zu sein, bedeutet indes nicht, dass daraus ein Handlungsbedarf abgeleitet wird. 62 % erklären, selbst im Fall eines erfolgreichen Cyberangriffs auf das Unternehmen werde sich am IT-Sicherheitsbudget nichts ändern, wenn nicht auch ein signifikanter finanzieller Schaden entstanden sei.Dabei gehen Experten davon aus, dass mit der zunehmenden Digitalisierung der Welt – sowohl bei Konsumenten als auch in der Industrie – die Schäden aus Cyberkriminalität rasant wachsen werden. Eine Untersuchung von Juniper Research ging bereits 2015 davon aus, dass sich die Schäden weltweit bis 2019 auf mehr als 2 Bill. Dollar vervielfachen dürften. Andere Studien rechnen bereits für das abgelaufene Jahr mit 3 Bill. Dollar Schaden und tippen für Anfang der 2020er Jahre sogar auf mehr als 6 Bill. Dollar. In den schwankenden Werten zeigt sich, wie schwer die Schäden zu fassen sind. Echte Statistiken gibt es kaum. Die Studien verlassen sich fast immer auf Schätzwerte und dabei auf Angaben betroffener Firmen. Und diese schätzen die Schäden bei derartigen Umfragen im Schnitt eher zu hoch als zu niedrig ein, bemängeln Kritiker. Banken mit hohem ReifegradCybersecurity-Experte und EY-Partner Thomas Köhler sieht verschiedene Branchen dann auch sehr unterschiedlich aufgestellt, wenn es darum geht, ihre Onlinesicherheit realistisch einzuschätzen. “Banken beschäftigen sich schon seit Jahren sehr viel mit dem Thema Internetsicherheit und haben beim Monitoring und den Präventionsmaßnahmen entsprechend meist einen recht hohen Reifegrad”, befindet Köhler. “Das ist etwa im Maschinenbau oder in den Produktionsnetzwerken der Industrie natürlich noch ganz anders. Da gibt es zum Teil große Unterschiede.”Angefangen habe das Phishing – die Entwendung von Zugangsdaten argloser E-Mail-Nutzer – im Finanzdienstleistungssektor, weil dieser am gewinnträchtigsten erschien. Mit dem Thema “Internet of Things” kommt die Cyberkriminalität auch verstärkt in den industriellen Bereich, nachdem zuvor schon der Einzelhandel mit dem Ausbau des Onlinegeschäfts zunehmend betroffen gewesen ist, wie Köhler erläutert. Vielen Unternehmen fehle für einen adäquaten Schutz noch eine Risikoanalyse, aus der hervorgehe, welche Bereiche besonders zu schützen sind. “Großkonzerne haben zwar meist Risikoabteilungen, im Mittelstand fehlt es da aber oft. Aus unserer Sicht gilt es erst einmal, die eigenen Risiken vernünftig zu analysieren, um dann zu definieren in welchen Bereich Geld in Cybersecurity investiert wird, da die Budgets meist auch nicht unendlich groß sind”, so Köhler. Der EY-Partner geht allerdings davon aus, dass die Budgets in den kommenden Jahren wachsen werden. “Mit der zunehmenden Digitalisierung wächst auch das Bewusstsein für die Bedeutung der IT-Sicherheit in den Geschäftsleitungen. Daher wird dann auch kaum ein Weg daran vorbeigehen, künftig mehr für Security zu machen.” Mitarbeiterschulung nötigEine Schwachstelle bleiben die Mitarbeiter selbst – allerdings nicht unbedingt, weil diese zuweilen als Datendiebe auftreten. Vielmehr mangele es an der nötigen Schulung der Angestellten, damit diese Phishing- attacken erkennen könnten. “Darum kümmern sich noch immer die wenigsten Unternehmen”, befindet Köhler. Dabei zählt Phishing statistisch zu den häufigsten Attacken aus dem Netz und ist Experten zufolge oft keinesfalls so offensichtlich erkennbar wie vor einigen Jahren.