Gefahr durch verspätete Reaktion: Vorstände vernachlässigen Cybersicherheit

Zwar sind die Manager in großen Unternehmen heute gut über die Gefahren durch Cyberkriminalität informiert. Trotzdem tun sie nur wenig, um der Bedrohung entgegenzutreten. Die meisten reagieren erst nach einem Sicherheitsvorfall.

Die meisten Führungskräfte kümmern sich erst im Ernstfall um die Sicherheit.
(Foto: Nmedia - Fotolia)

Viele Führungskräfte vernachlässigen die Gefahren durch Cyberkriminalität. Dabei wissen die Manager durchaus, dass etwa die Nutzung diverser Cloud Services zusätzlich zu ihrer internen IT-Infrastruktur zusätzliche Risiken schafft, wie eine aktuelle Umfrage von Radware zeigt. Über 90 Prozent nutzen der Studie zufolge bereits mehr als einen Cloud Service, und 96 Prozent aller befragten Führungskräfte zeigen sich besorgt wegen Sicherheit in solchen Konstellationen. Trotzdem benötigen die meisten von ihnen ein einschneidendes Erlebnis, etwa einen erheblichen Sicherheitsvorfall im eigenen Netzwerk oder in dem eines Partners oder Wettbewerbers, um ihre Sicherheitsstrategie zu überdenken.

So haben 61 Prozent der Befragten ihre Sicherheitsrichtlinien nach einem Vorfall beim Mitbewerb geändert. 59 Prozent taten dies nach einem Vorfall im eigenen Netzwerk. Regulierungen wie die DSGVO (48 Prozent) oder staatlich gesteuerte Attacken (41 Prozent) wurden ebenfalls zum Anlass genommen, die Sicherheitsrichtlinien zu ändern. Angst um den eigenen Job war für 37 Prozent ein Grund für neue Initiativen bei der Netzwerksicherheit.

»Letztlich bedeutet dies, dass viele Führungskräfte sich erst dann im erforderlichen Maß um die Sicherheit kümmern, wenn das Kind bereits im Brunnen liegt«, sagt Michael Tullius, Regional Manager DACH bei Radware. Viele Möglichkeiten, das Risiko von vornherein zu minimieren, würden dabei nicht gesehen oder nicht konsequent genug umgesetzt.

Deutlich mehr Cybererpressung

So hat die Hälfte der befragten Unternehmen die Cybersicherheit nicht durchgängig in ihre Prozesse zur Anwendungsentwicklung (DevOps) integriert. Nur 18 Prozent der Befragten geben an, zwischen Ende der Entwicklung und vor Einführung einer Anwendung noch einmal umfassende Sicherheitstests durchzuführen. Das nutzen Hacker für sich aus: Die Folge ist ein dramatischer Anstieg von Ransom-Attacken. In diesen Lösegeldforderungen drohen Cyberkriminelle bei Nichtzahlung mit ernsthaften Beeinträchtigungen des Unternehmensnetzes.

Während im Jahr 2017 nur zwölf Prozent aller Befragten angaben, bereits Opfer von Ransom-Angriffen geworden zu sein, sind es in diesem Jahr bereits 69 Prozent. Über die Hälfte davon hat tatsächlich Lösegeld bezahlt. Zwei Drittel aller befragten Führungskräfte halten ihre IT-Infrastruktur tatsächlich für angreifbar und wollen den Schaden durch Lösegeldzahlung minimieren. »Eine Lösegeldzahlung kann das Problem vorerst beseitigen, aber diese Art von Reaktionen wird ein Unternehmen nicht voranbringen«, mahnt Tullius. Eine reaktive Sicherheitsstrategie schränke die Fähigkeit eines Unternehmens ein, Kundendaten und seinen Ruf zu schützen und Geschäftsziele zu erreichen.

»Die Investition in geeignete Sicherheitslösungen ist nicht mehr nur ein IT-Aufwand, sondern eine wesentliche Voraussetzung für den langfristigen Erfolg eines Unternehmens«, so Tullius. Immerhin wollen laut Studie viele Unternehmen (71 Prozent) stärker in automatisierte Sicherheitslösungen investieren, die vor allem durch die Nutzung Künstlicher Intelligenz besonders schnell auf neue Bedrohungen reagieren können.