Das Kriminologische Forschungsinstitut Niedersachsen e.V. (KFN) hat in Kooperation mit dem L3S Forschungszentrum der Leibniz Universität Hannover im Rahmen des großangelegten Projekts „Cyberangriffe gegen Unternehmen“ insgesamt 5.000 Betriebe ab zehn Mitarbeiter*innen zum Thema Cyberangriffe befragt und nun die ersten Ergebnisse veröffentlicht.
Repräsentative Befragung mit 5.000 Unternehmen
Die repräsentative Befragung, die im Zeitraum August 2018 bis Januar 2019 stattfand, wurde durch die Initiative „IT-Sicherheit in der Wirtschaft“ des BMWi sowie durch die Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (PwC) und die VHV Stiftung gefördert. Im Fokus der Untersuchung stand dabei die Verbreitung von unterschiedlichen Cyberangriffsarten innerhalb des betrachteten Jahres, deren Folgen sowie mögliche Risikofaktoren. Zentrale Forschungsfragen waren u.a.:
- Welche IT-Sicherheitsmaßnahmen gegen Cyberangriffe haben die Unternehmen eingerichtet?
- Auf welche Cyberangriffsarten mussten Unternehmen in den letzten zwölf Monaten reagieren?
- Wie ist das Anzeigeverhalten von betroffenen Unternehmen?
- Gibt es einen Zusammenhang zwischen der Häufigkeit von Cyberangriffen mit dem Vorhandensein bestimmter IT-Sicherheitsmaßnahmen?
Zwei Fünftel der befragten Unternehmen betroffen
Die Ergebnisse zeigen, dass etwa zwei Fünftel der befragten Unternehmen im Betrachtungszeitraum von Cyberangriffen betroffen waren. Hinsichtlich der Unternehmensgröße ist dabei festzustellen, dass grundsätzlich eher große Unternehmen ab 500 Mitarbeiter*innen von den Vorfällen betroffen waren. Die Unternehmensgröße allein war hier jedoch nicht der ausschlaggebende Faktor: Zusätzliche Risikofaktoren waren beispielsweise mehrere Standorte (im In- und Ausland) oder Exporttätigkeit. Waren diese Faktoren gegeben, kamen auch Angriffe auf kleinere und mittlere Unternehmen häufiger vor.
Eine weitere Erkenntnis ist, dass technische Maßnahmen alleine – die im Übrigen von den meisten befragten Unternehmen vorgehalten wurden – keinen ausreichenden Schutz geboten haben, da die Unternehmen dennoch von Vorfällen betroffen waren. Dadurch seien diese Maßnahmen jedoch nicht nutzlos, vielmehr sei entscheidend diese in Verbindung mit weiteren organisatorischen Maßnahmen zu implementieren.
Die durch Cyberangriffe verursachten Kosten waren im Ergebnis sehr unterschiedlich. Zur Anzeige der Vorfälle kam es nur in zwölf Prozent der Fälle, obwohl zur Erstattung einer Anzeige geraten wird, da diese neben Ermittlungserfolgen auch zum weiteren Problembewusstsein führen könnte. Meldestellen sind zum Beispiel die Zentralen Ansprechstellen Cybercrime (ZAC) in den Landkriminalämtern.
(Quelle: KFN, Bild: madartzgraphics/pixabay)
Hat Ihnen dieser Inhalt gefallen?
Mit dem Digitalagentur-Newsletter informieren wir Sie regelmäßig über Neuigkeiten, Events und Ausschreibungen im Kontext der Digitalisierung.