Die Cyberattacken auf die heimische Wirtschaft werden immer heftiger – diese Entwicklung lässt sich dem „Cyber Security Report DACH 2025“ der Sicherheitsfirma Horizon3.ai entnehmen. Laut einer Umfrage unter 300 Führungskräften überwiegend mittelständischer Firmen, sind zwei Drittel der Unternehmen in Deutschland, Österreich und der Schweiz (DACH-Region) in den letzten zwei Jahren mindestens einmal Opfer eines Cyberangriffs geworden. Das entspricht einer Ausweitung um sechs Prozentpunkte gegenüber der Vergleichsstudie von Horizon3.ai ein Jahr zuvor (60 Prozent). „Die Angriffe werden aber nicht nur häufiger, sondern auch zunehmend heftiger und aggressiver“, erklärt Dennis Weyel, International Technical Director bei Horizon3.ai.
So konnte nicht einmal ein Viertel (23 Prozent) der Unternehmen die Angriffe erfolgreich abwehren. 44 Prozent der Firmen mussten laut eigenen Angaben einen Schaden hinnehmen. Am häufigsten kam es zu Ausfallzeiten (58 Prozent), gefolgt von (Mehrfachnennungen waren erlaubt) negativen Auswirkungen auf das Geschäft (46 Prozent), Datenverlust (37 Prozent) oder rechtlichen Konsequenzen (31 Prozent).
Ein Drittel der attackierten Unternehmen wurden aufgefordert, Lösegeld zu zahlen, um die von Cyberkriminellen verschlüsselten eigenen Firmendatenbestände wieder freizukaufen. „Wahrscheinlich liegt die Dunkelziffer deutlich höher“, mutmaßt Sicherheitsexperte Dennis Weyel.
„Kein Angriff ist so gut wie ausgeschlossen“
Ein gutes Zehntel (11 Prozent) der befragten Unternehmen ist sich eigenen Angaben zufolge sicher, in den letzten zwei Jahren keinem einzigen Angriff ausgesetzt gewesen zu sein. „Das ist so gut wie ausgeschlossen“, urteilt Dennis Weyel, „vermutlich wurden die Angriffsversuche einfach nicht bemerkt, was per se gut aussieht, weil sich augenscheinlich keine Schäden bemerkbar gemacht haben.“ Der Sicherheitsfachmann betont jedoch: „Es gibt zahlreiche Formen von Cyberkriminalität, die sich über Monate oder Jahre hinziehen können, ohne dass sie auffallen.“
So können Angreifer beispielsweise dauerhaft und unbemerkt im Netzwerk eines Unternehmens Fuß fassen, was zu einer Datenexfiltration oder Systemkompromittierung führt. In einigen Fällen werden infizierte Computer zu „Zombies“ in einem Botnet, die ferngesteuert werden, um bösartige Aktivitäten wie die Verbreitung von Spam oder koordinierte Angriffe auszuführen. Ein knappes Fünftel (19 Prozent) der überwiegend mittelständischen Führungskräfte gibt zu: „Es sind uns keine Angriffe bekannt, denen wir ausgesetzt waren“, will heißen, es könnten aber dennoch welche stattgefunden haben.
Die Frage ist nicht „ob“, sondern „wie oft“
„Viele Unternehmen segeln durch den Cyberspace wie ein Schiff bei Dunkelheit durch den Nebel“, vergleicht Dennis Weyel. Er fährt fort: „Kapitän und Mannschaft wissen, dass da draußen Piraten lauern, die es auf sie abgesehen haben und sie haben auch eine ganze Reihe von Vorsichtsmaßnahmen ergriffen. Aber Schiff und Mannschaft haben sich noch niemals in einem ernsthaften Angriff bewährt, so dass die Unsicherheit entsprechend groß ist.“ Auf Cyberkriminalität bezogen empfiehlt der Sicherheitsfachmann den Unternehmen, ihre IT-Netzwerke regelmäßig sogenannten Penetrationstests zu unterziehen. „Das ist wie ein simulierter Piratenangriff mit allen Mitteln, bei dem aber sichergestellt ist, dass Mann und Maus die Sache gut überstehen. Bei einer solchen Simulation wird offengelegt, welche Schwachstellen bestehen, so dass man diese im Anschluss schnellstmöglich beheben kann.“
Dabei geht es nicht nur um die Frage „ob“, sondern auch „wie oft“: Über die Hälfte (51 Prozent) aus der Stichprobe von 300 Unternehmen hat in den letzten zwei Jahren zwei oder mehr Angriffsversuche ausgemacht. Ein Drittel ist sogar dreimal oder noch häufiger attackiert worden. Bei der Vorjahressstudie hatte „lediglich“ ein knappes Viertel drei oder mehr Attacken binnen zwei Jahren festgestellt. „Die Bedrohungslage spitzt sich zu“, bringt Dennis Weyel die Situation auf den Punkt.
„Prinzip Hoffnung“ statt Planung und Vorsorge
Dennoch verfügen laut Umfrage nicht einmal ein Fünftel (18 Prozent) der überwiegend mittelständischen Unternehmen über einen getesteten Notfallplan, um nach einem Cyberangriff den ordnungsgemäßen Betrieb wieder herzustellen. Weitere 19 Prozent bewahren laut Eigenangabe zwar einen solchen Plan „in der Schublade“ auf, haben ihn aber noch nicht ein einziges Mal in der Praxis getestet. „Das ist wie eine Feuerwehrtruppe, die noch nie im Leben ein Feuer gelöscht hat“, zieht Dennis Weyel erneut einen anschaulichen Vergleich. Er sagt: „Es kann gutgehen, aber die Wahrscheinlichkeit, dass es schief geht, ist um ein Vielfaches höher.“ Mehr als ein Drittel (37 Prozent) der Firmen ist sich des Risikos offenbar bewusst: Es gibt noch keinen Notfallplan für „the day after“, aber immerhin den Plan, einen solchen Plan aufzustellen. Ein knappes Viertel (24 Prozent) hat gar keine Vorkehrungen für den „schlimmsten Fall“ getroffen und geht offenbar davon aus, dass es nie zu nennenswerten betrieblichen Beeinträchtigungen durch cyberkriminelle Aktivitäten kommen wird.
„Das Prinzip Hoffnung herrscht in weiten Teilen vor allem der mittelständischen Wirtschaft vor, obgleich das Prinzip Vorsorge durch eine regelmäßige Überprüfung und Bewertung der Cyberresilienz angesagt wäre“, schüttelt Dennis Weyel den Kopf.
