Es muss nicht gleich der koordinierte Angriff durch Botnetze auf den Firmen-Server sein. Oft reicht eine unscheinbare E-Mail mit Schadprogramm im Anhang oder eine infizierte Datei auf dem privaten USB-Stick, um Kriminellen den Zugang zur digitalen Infrastruktur eines Unternehmens zu erlauben. Experten beziffern den Schaden durch digitale Angriffe pro Jahr in Deutschland auf eine zweistellige Milliardensumme. Allein Siemens muss Medienberichten zufolge Monat für Monat rund 1000 Cyber-Attacken abwehren.
Allerdings scheinen deutsche Unternehmen den Ernst der Lage immer noch nicht erkannt zu haben. Diesen Schluss legt eine Umfrage von Yougov im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) nahe. Dies sind die Haupterkenntnisse:
- Die meisten Angestellten bleiben bei der Cybersicherheit sich selbst überlassen. Nur 39 Prozent hatten laut der Umfrage schon einmal Schulung zu IT-Sicherheit oder Datenschutz.
- Sechs Prozent der Nutzer von Computern oder Smartphones sichern ihre Geräte nicht mit einer Zugangssperre.
- Viele in deutschen Firmen verwendete Passwörter könnten aber offenbar ebenso gut weggelassen werden. An 25 Prozent der geschützten Arbeitsplätze gibt es für die Passwörter keine Mindestanforderungen. An 31 Prozent dieser Arbeitsplätze müssen die Passwörter nie geändert werden.
- Mehr als jeder achte Arbeitnehmer (13 Prozent) hat schon einmal bei der Arbeit eine Spam-Mail geöffnet.
- Ein Grund dafür sind laut dem GDV die offenbar schlechten Spam-Filter in den Unternehmen. 48 Prozent der Befragten hätten mindestens einmal pro Woche Spam-Mails im regulären Posteingang.
- Besonders groß fallen die Sicherheitslücken laut der Umfrage bei kleinen Unternehmen aus. In Firmen mit weniger als zehn Mitarbeitern werde in 18 Prozent der Fälle am Arbeitsplatzrechner kein Passwort verlangt.
- Je größer das Unternehmen, desto ausgefeilter sind die Sicherheitsmaßnahmen. Allerdings attestierte der GDV auch Firmen mit mehr als 250 Mitarbeitern „teilweise eklatante Sicherheitslücken“, beispielsweise den Gebrauch privater USB-Sticks am Arbeitsrechner.
„Unternehmen müssen ihre Mitarbeiter besser auf die wachsenden Gefahren aus dem Netz vorbereiten“, bilanzierte GDV-Experte Peter Graß. „Cyberangriffe sind selten ausgefeilte Angriffe durch Netzwerklücken, viel öfter entstehen Schäden durch Mitarbeiter, die eine infizierte E-Mail öffnen.“ Für die repräsentative Erhebung wurden den Angaben zufolge 2038 Arbeitnehmer ab 18 Jahren online vom 28. Juni bis 4. Juli 2019 befragt.
