Deutsche Unternehmen haben Nachholbedarf bei IT-Sicherheit
Immer mehr Firmen fühlen sich von Angriffen auf ihre digitale Infrastruktur bedroht, zeigt eine Studie. Nicht alle haben einen Krisenplan.
Seitdem Bitmarck, IT-Dienstleister vieler Krankenkassen, Ende April Opfer eines Angriffs auf seine IT-Infrastruktur wurde, müssen Versicherte viel Geduld haben. Die Kontaktaufnahme mit den Krankenkassen kann sich hinziehen, Zahlungen verzögerten sich, und die Apps für die elektronischen Patientenakten funktionierten oft nicht.
Meldungen wie diese häufen sich. Im Zuge der fortschreitenden Digitalisierung verlagern sich immer mehr Geschäftsbereiche in IT-Infrastrukturen. Ein lohnendes Geschäftsfeld für kriminelle Gruppen, staatliche Geheimdienste und Industriespione, die in fremde Systeme eindringen, um Wissen zu erbeuten, Informationen zu sammeln und Lösegeld zu erpressen. Besonders nach Beginn des Ukraine-Kriegs stieg das Bewusstsein für die Bedrohung, die von derartigen Angriffen ausgeht.
Immer mehr Unternehmen in Deutschland fürchten um ihre IT-Sicherheit
Das bestätigt auch eine Befragung der Beratungsgesellschaft EY, die am Dienstag vorgestellt wurde. Seit 2011 befragt die Studie deutsche Unternehmen zu ihren Erfahrungen im Zusammenhang mit IT-Sicherheit.
Zum ersten Mal geht im Jahr 2023 kein einziges Unternehmen davon aus, dass die Bedeutung des Problems in Zukunft sinken wird. Über die Hälfte der Teilnehmenden rechnet sogar mit einem starken Anstieg. Insbesondere in der Gesundheits- und Pharmaindustrie sind die Befürchtungen hoch, berichtet Bodo Meseke von EY. Immer wieder berichten Krankenhäuser, Forschungseinrichtungen oder Krankenkassen von digitalen Angriffen. Die Folgen können in dieser Branche besonders gravierend sein, wenn Gesundheitsdaten veröffentlicht werden oder im Notfall nicht abgerufen werden können. Auch die Gefahr eines Patentdiebstahls bewertet Meseke in der Pharmabranche als hoch.
Sein Kollege Thomas Koch berichtet, dass fast drei Viertel der befragten Unternehmen die größte Bedrohung im organisierten Verbrechen sehen. Auch die gefühlte Gefahr durch sogenannte Hacktivisten, also politisch motivierte Angreifer:innen, ist im Vergleich zur letzten Erhebung 2021 auf knapp fünfzig Prozent gestiegen.
Manche Konzerne haben keinen Krisenplan für Angriffe auf ihre IT-Infrastruktur
Den Ursprung der Bedrohung vermuten die Konzerne immer häufiger in Russland. Das bedeutet nicht, dass die Angriffe tatsächlich von Russland aus gesteuert sind, betont Meseke. „Die Antworten sind immer dem geschuldet, was auf der Welt passiert. Außerdem agieren Angreifer oft international, suchen sich aber für die Attacke einen Server in Russland, weil sie dort wenig Strafverfolgung zu befürchten haben.“
Obwohl das Bewusstsein in den Unternehmen gestiegen ist, dass Investitionen in IT-Sicherheit notwendig sind, sieht sich immer noch ein Drittel aller Befragten nicht ausreichend geschützt. 17 Prozent der Firmen haben keinen Krisenplan für einen möglichen Angriff; 13 Prozent der Befragten, in den meisten Fällen ein Mitglied der Geschäftsführung oder der Fachbereiche für IT-Sicherheit, wussten nicht einmal, ob es einen Krisenplan gibt. Nur knapp die Hälfte gab an, eine Versicherung gegen Angriffe auf die IT-Sicherheit abgeschlossen zu haben. Meseke sieht dringenden Nachholbedarf: „Es ist unsicher, ob diese Versicherungen noch lange am Markt bestehen werden, weil sie oft zahlen müssen und sich das Geschäftsmodell bald nicht mehr rechnen könnte.“