Kommentar: Deutsche Unternehmen haben noch nicht genug Angst vor Cyberangriffen
Viele Firmen machen sich Sorgen ĂĽber potenzielle Cyberangriffe. Aber trotzdem bleiben die Investitionen in IT-Sicherheit dĂĽrftig, findet Tobias Glemser.
(Bild: Song_about_summer/Shutterstock.com/Bearbeitung heise online)
- Tobias Glemser
Eigentlich müssten Ransomware-Banden, CEO-Fraud-Betrüger und andere Cybercrime-Akteure keine Chance mehr haben. Denn laut dem Risikobarometer des Versicherungskonzerns Allianz sehen die meisten deutschen Unternehmen Cybervorfälle als das größte Risiko für ihr Geschäft. Zu einem ähnlichen Ergebnis kommt auch der Global Risks Report 2025 des Weltwirtschaftsforums, bei dem Cyberspionage und -kriegsführung unter den Risiken immerhin noch auf Platz 5 rangieren. Und die Ausgaben für IT-Sicherheit (Software, Hardware, Beratung und Prüfung) übersteigen laut einer Umfrage von Statista und dem Bitkom sogar erstmals die Schwelle von zehn Milliarden Euro.
Laut einer weiteren Statista-Umfrage in Zusammenarbeit mit dem Bitkom belaufen sich die "Schäden durch Datendiebstahl, Wirtschaftsspionage oder Sabotage" in deutschen Unternehmen auf rund 266 Milliarden Euro. Moment mal. Die Schäden übersteigen also die Investitionen um gut das 26-fache? Lassen wir dieses Missverhältnis sacken und gehen wir weiter ins Detail: Wie sieht es denn mit der Wirksamkeit der im Vergleich zu den Schäden geringen Ausgaben aus? Wenn man so wenig ausgibt, ist die Effektivität vielleicht einfach sehr hoch.
Allheilmittel Awareness-Schulungen?
Schauen wir uns die Maßnahmen an und lassen wir mal "Virenschutz" und "Firewall" als Standard außen vor. Starke Passwörter als Standard scheinen es jedenfalls nicht zu sein. Das Cybersecurity-Start-up Identeco hat in Zusammenarbeit mit der Universität Bonn rund 30 Millionen im Jahr 2024 veröffentlichte Zugangsdaten analysiert und DAX-Konzernen zugeordnet. Auf Platz 1 und 2 waren Varianten des Firmennamens beziehungsweise Varianten von LinkedIn und auf Platz 3 "123456", gefolgt von "password" und – man höre und staune – "12345678".
Es ist davon auszugehen, dass Awareness-Schulungen in sehr vielen Unternehmen und auch in der öffentlichen Verwaltung auf der Liste der populärsten Maßnahmen stehen werden. Richtig gemacht kann Awareness bei Risiken helfen, die technisch nicht vermeidbar sind. So erhalten wir in unserem Unternehmen immer wieder vermeintliche Nachrichten von Kunden, die sich nach noch ausstehenden Rechnungen erkundigen. Dabei werden schöne Domains wie "sap-finanzbuchhaltung.de" verwendet.
Die Idee dahinter ist, dass die Betrüger nach Erhalt einer echten, noch offenen Rechnung neue Rechnungen im bekannten Layout an den echten Kunden schicken und auf eine geänderte IBAN hinweisen. Dies ist kein "Cyberangriff", sondern letztlich ein Angriff auf den Zahlungsprozess von Unternehmen. Nachhaltig hilft hier eine Prozessverbesserung, zum Beispiel dass bei geänderten IBANs der Lieferant/Dienstleister immer nochmals über eine bekannte Mailadresse/Rufnummer angefragt wird und die Änderung nochmals bestätigt. Vermutlich kann hier aber auch eine Sensibilisierung helfen.
"Klicke nicht auf betrügerische Anhänge"
Wie ist es jetzt bei technischen Angriffen? Dazu gibt es leider keine Zahlen, nur eine indifferente Studienlage. Dirk Häger, Abteilungsleiter beim BSI, hat dazu auf mehreren Veranstaltungen sinngemäß gesagt, dass es in über 20 Jahren keinen Beleg dafür gegeben hat, dass die Wahrscheinlichkeit eines erfolgreichen Cyber-Angriffs dadurch sinkt. Security-Awareness hält er in der Hinsicht für Geldverschwendung. Nun ist es naturgemäß schwierig bis unmöglich, Beweise für Dinge zu finden, die nicht passiert sind. Aber trainieren wir Dinge, die wir nicht nachhaltiger verhindern können?
"Klicke nicht auf betrügerische Anhänge." Das hat sicher jeder schon einmal gehört, der auch nur an einer Schulung teilgenommen hat. Coole Forderung. Wie sollen Lieschen Müller und Bernd Beispiel das machen? Wenn es so einfach zu erkennen wäre, dass es jeder kann, dann könnte es ein Programm sicher auch. Kann es aber nicht. Menschen haben leider auch eine Fehlerquote. Wenn also ein einziger falscher Klick eines einzigen Mitarbeitenden zur Katastrophe führen kann, sind die über 260 Milliarden auch weiterhin für Betrüger eine sichere Bank.
Das reicht? Nein, das reicht nicht
Für die Entscheidungsträger scheint das oft genug: Wir haben Basismaßnahmen und die Nutzer sind sensibilisiert. Die "Human-Firewall". Das reicht. Und was passiert, wenn etwas schiefgeht? Oft genug müssen Mitarbeiterinnen und Mitarbeiter in Kurzarbeit gehen. Damit werden die Kosten – zumindest große Kostenblöcke – in die Gesellschaft externalisiert. Das muss aufhören. Wer an den falschen Ecken spart und nachweislich daran scheitert, sollte auch in die Verantwortung genommen werden.
Videos by heise
Long story short: Unternehmen geben immer noch zu wenig Geld für Cybersicherheit aus, obwohl sie darin das größte Risiko sehen. Und wenn sie schon Geld ausgeben, stellt sich die Frage, warum immer noch ein falscher Klick auf eine E-Mail ausreicht und nicht Application Allowlisting aktiv ist. Ein Fund in fast allen Analysen, die wir von Standard-Office-Umgebungen machen.
Was hilft? Nun, Cybersicherheit ist fĂĽr viele Unternehmen immer noch optional. Unter NIS2 sollte das perspektivisch besser werden, weil es dann eben Pflicht wird. Nur leider hat es die deutsche Politik nicht geschafft, die Regelung umzusetzen. Aktuell ist auf dem Beratermarkt auch kein wirklicher Run auf dieses Thema zu erkennen. Wir werden also wohl auch in Zukunft mit dieser Diskrepanz leben mĂĽssen und uns ĂĽber jedes Unternehmen freuen, das sich freiwillig mit nachhaltigen CybersicherheitsmaĂźnahmen auseinandersetzt.
()
