Enormer Schaden für die deutsche Wirtschaft entsteht jedes Jahr durch Wirtschaftsspionage, Sabotage, Datendiebstahl und weitere Cyber-Angriffe.
Über die Hälfte der deutschen Unternehmen (53 Prozent) beklagt laut einer repräsentativen Umfrage des Bitkom einen wirtschaftlichen Schaden durch Angriffe auf ihre IT. Dabei ist allein für das Jahr 2016 ein Schaden von etwa 55 Milliarden Euro entstanden. Der Anteil der Geschädigten ist zwar gegenüber der ersten Studie vor zwei Jahren nur um zwei Prozent von ursprünglich 51 Prozent gestiegen, doch die Schadenssumme selbst nahm um acht Prozent von 51 auf 55 Milliarden Euro zu.
Bitkom-Präsident Achim Berg sagte hierzu bei der Vorstellung der Studie in Berlin: „Unternehmen müssen viel mehr für ihre digitale Sicherheit tun. Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist. Jeder kann Opfer von Spionage, Sabotage oder Datendiebstahl werden.“
Und der Präsident des Bundesverfassungsschutzes, der sich ebenfalls an der Studie beteiligt hatte, betonte: „Die Studie unterstreicht, dass wir in Zeiten von Digitalisierung und Industrie 4.0 unser besonderes Augenmerk auf die Abwehr von Spionageangriffen auf die deutsche Wirtschaft richten müssen. Im Sinne eines ganzheitlichen und nachhaltigen Wirtschaftsschutzes gehören dazu nicht allein IT-bezogene Maßnahmen, sondern risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung. Wichtig ist aber auch die intensive Zusammenarbeit zwischen Wirtschaft und Behörden sowie den Behörden untereinander – wie in der „Initiative Wirtschaftsschutz.“
Nur keine Polizei …. Quelle Bitkom
Digitalisierung, Industrie 4.0 und die fortschreitende Vernetzung über das Internet und durch diverse Cloud-Szenarien haben in der Tat zwei widersprüchliche Seiten: Die wirtschaftlichen Vorteile, was Geschwindigkeit und Kosten angeht, überwiegen, auf der anderen Seite nehmen aber die Gefahren für Cyber-Angriffe und Datendiebstahl fast im gleichen Tempo oder sogar schneller zu. Inzwischen zeigt sich niemand mehr überrascht, wenn neue massive Angriffe auf die Datennetze und Rechenzentren von großen Unternehmen bekannt werden. Die Attacken gehören zum Alltag, und dennoch hapert es oft genug am Engagement, etwas dagegen zu tun.
Laut der aktuellen Befragung wurden bei 17 Prozent der Unternehmen in den vergangenen zwei Jahren sensible digitale Daten gestohlen: davon Kommunikationsdaten wie E-Mails mit 41 Prozent, Finanzdaten mit 36 Prozent, Kundendaten mit 17 Prozent, Patente oder Informationen aus Forschung und Entwicklung mit 11 Prozent und Mitarbeiterdaten mit 10 Prozent.
Auffällig ist, dass nur 31 Prozent der betroffenen Unternehmen staatliche Stellen eingeschaltet haben. Maaßen vom Verfassungsschutz kommt deshalb zu diesem Urteil: „Es gilt der Grundsatz „Need to share“, wenn wir gemeinsam die deutsche Volkswirtschaft widerstandsfähiger gegen Wirtschaftsspionage machen wollen. Nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln.“
Viele Unternehmen sind schon heute aktiv im Kampf gegen Cyber-Attacken
Hauptgrund dafür, sich nicht an die Behörden zu wenden, sei die Angst vor Imageschäden. Das geben immerhin 41 Prozent der Unternehmen an, die auf das Einschalten staatlicher Stellen verzichtet haben. Als Begründung geben sie an, dass man „Angst vor negativen Konsequenzen“ habe (35 Prozent), weil „die Täter ohnehin nicht gefasst“ würden (34 Prozent) oder weil der „Aufwand zu hoch“ sei (29 Prozent).
Tipps von Bitkom und Verfassungsschutz zur Erhöhung der Sicherheit:
- Sicherheit zur Chefsache machen
- Sensibilisierung der Geschäftsführung
- Initiieren firmenspezifischer Schutzüberlegungen auf Leitungsebene
- Einrichtung eines Wirtschaftsschutz-Beauftragten oder eines Informations-Sicherheitsbeauftragten
- Technische IT-Sicherheit steigern
- Basisschutz ergänzt um Verschlüsselung und spezielle Angriffserkennung
- Security Information Event Management: Überwachung vernetzter Geräte und Erkennung von Anomalien
- Security by Design bei allen Schnittstellen und vernetzten Geräten
- Regelungen zum Umgang mit privaten und geschäftlichen mobilen Endgeräten
- Organisatorische Sicherheit erhöhen
- Präventives und permanentes Risikomanagement etablieren: Externe Gefahren identifizieren, interne Schwachstellen aufdecken und rechtzeitig beheben
- Praxisorientierung aller Sicherheitsregularien
- Zugriffsrechte auf Daten sowie physische Zugangsrechte für sensible Bereiche
- Besuchermanagement: Umgang mit Gästen und Delegationen
- Notfallmanagement: Schnelle Reaktion im Krisenfall mit Notfallplan und Zuständigkeitsregelungen
- Etablierung einer „clean-desk-policy“: Welche Daten sind am Arbeitsplatz wirklich nötig?
- Personelle Sicherheit verbessern
- Etablierung einer Sicherheitskultur
- Arbeitsplatzspezifische Schulungen/Sensibilisierungen
- Informationssicherheit auf Geschäftsreisen im Ausland beachten
- IT-Experten mit Produktions-Know-how
- Sicherheitszertifizierungen anstreben
