Eine Cyber-Attacke: Man liest darüber so häufig, fast täglich, die meisten von uns sind davon aber bislang verschont geblieben. Oder? Doch irgendwann ist es soweit, einmal ist immer das erste Mal! Aus heiterem Himmel steht der Krypto-Trojaner da und “klopft an den Monitor”. Oder das Corporate Blog auf WordPress-Basis hat nicht rechtzeitig ein Update bekommen und die Sicherheitslücke (der Backdoor-Trojaner) verteilt munter die Links auf den eigenen Blogartikeln zu pornografischen Seiten.
Bevor ich anfing diesen Artikel zu schreiben, habe ich gerade für verschiedene Kunden infizierte Websites gesäubert. Das hätte eigentlich nicht sein müssen, hätten sie regelmäßig Software Updates gemacht.
Sind Sie auch immer up to date? Nein? Lassen Sie die Sicherheit bitte nicht schleifen, installieren Sie schnell sicherheitsrelevante Updates – ganz gleich ob bei Onlinesoftware, bei installierten Programmen auf Ihrem Rechner oder beim Betriebssystem. Schützen Sie sich vor Infektionen. So wie Sie eine Winterjacke, Mütze und Schal anziehen, um sich vor der Kälte zu schützen und einem Schnupfen vorzubeugen. Gehen Sie nur mit Badehose in den Schnee, wenn Ihr Immunsystem abgehärtet ist! Doch gehen wir jetzt vom Thema Gesundheit wieder zurück zur Cyber-Security.
Die Mehrheit der Deutschen ist schlecht auf Cyber-Attacken vorbereitet
Woher ich das weiß? Ganz einfach, ich habe den Hiscox Cyber Readiness Report 2017 gelesen. Diese Studie ist repräsentativ, denn es haben 3.036 Führungskräfte, Abteilungsleiter, IT-Manager und andere Verantwortliche für Cyber-Sicherheit mitgemacht. Von den Unternehmen kamen die Antworten zur Studie von 1.001 Personen aus Deutschland, 1.006 aus Großbritannien 1.029 aus den USA.
Die Fragen und Antworten stammen aus den folgenden Kategorien: Strategie, Resourcen, Technologie sowie Prozesse. Anhand der Ergebnisse haben sich drei Gruppen herauskristallisiert: Cyber-Anfänger, Cyber-Fortgeschrittene und wirkliche Cyber-Experten.
Wie schätzen Sie sich ein? Die Zahlen für Deutschland stimmen mich nachdenklich. Die Cyber-Experten sind nämlich nur zu 20 Prozent vertreten. 18 Prozent der deutschen Befragten haben ein wenig Einblick in die Materie, so dass man sie als Cyber-Fortgeschrittene bezeichnen kann. Der größte Teil – erschreckende 62 Prozent – in Deutschland sind Cyber-Anfänger.
Woran könnte das liegen? Werden die Ausmaße einer Cyber-Attacke unterschätzt? Mehr Cyber-Experten müssen her! Die Entscheidung dafür muss “von oben” kommen. Eine geeignete Cyber-Strategie muss Chefsache sein oder entsprechend vom Management delegiert werden. Das Vorhandensein einer funktionierenden IT-Security sollte so selbstverständlich sein wie andere tägliche Routinen im Tagesablauf. Wenigstens planen weit über die Hälfte der deutschen Unternehmen mehr Budget für IT-Sicherheit, Cyber-Sicherheit und auch Cyber-Trainings für Mitarbeiter ein.
Mitarbeiter als Risikofaktor für eine Cyber-Attacke
Die meisten Angriffe erfolgen zwar von außen (in Deutschland 38 Prozent), doch auf den folgenden Plätzen sind Cyber-Unfälle, die durch Mitarbeiter verschuldet wurden. Die Zwischenfälle haben unterschiedliche Ursachen und sind auf mangelnde Kenntnisse zurückzuführen. Erschwerend hinzu kommen dann noch die Verluste der firmeneigenen Hardware, die mit Unternehmensdaten gefüttert sind. 14 Prozent der Befragten kommt das bekannt vor oder sie haben es selber erlebt, dass ein Firmen-Smartphone oder -Tablet verloren oder gestohlen wurde. Diese Zahlen sind alarmierend! Und trotzdem tun viel zu wenige deutsche Unternehmen etwas dagegen. Dabei könnten sie gerade mit Mitarbeitertrainings effektiv vorsorgen, in denen die Basics zur Internetsicherheit geschult werden.
Ein allzu lässiger Umgang mit der heutigen vernetzten und digitalen Welt muss ein Ende haben. So steht auf der langen To-Do-Liste der Cyber-Verantwortlichen – neben den Mitarbeiter-Trainings in Sachen Cyber – auch weitere Gefahren- und Schwachstellen in der Infrastruktur des Unternehmens zu eleminieren. Der Schutz und die Sicherheit sollten an erster Stelle stehen. Denn funktioniert die IT nicht mehr, stehen Großteile des Unternehmens still. Und gehen sensible Daten verloren, vervielfacht sich das Schadenausmaß noch einmal.
Kann man eine Cyber-Attacke überhaupt versichern?
Ja, man kann. Erstaunlich – so brachte die Studie hervor – dass 33 Prozent der Befragten in Deutschland kein Interesse an Cyber-Versicherungsschutz haben. 32 Prozent von ihnen bezweifeln sogar, ob eine Versicherung überhaupt so eine Cyber-Attacke als Schaden regulieren würde. Eine bestehende Versicherung in Sachen Cyber-Sicherheit konnten auch nur 30 Prozent bestätigen. Glücklicherweise planen 31 Prozent der Befragten die Cyber-Versicherung schnellstmöglich dieses Jahr noch abzuschließen.
Deutsche Unternehmen haben großen Nachholbedarf in Sachen Cyber-Sicherheit. Die beginnt bei der IT, hört damit aber noch lange nicht auf. Mit gezielten Mitarbeitertrainings können viele Cyber-Zwischenfälle verhindert oder im Ausmaß zumindest gemindert werden. Und die Restrisiken können mit einem spezifischen Cyber-Versicherungsschutz gedeckt werden.
Alle Infos zur Hiscox Cyber Readiness Studie 2017 gibt es hier.