Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
So unterstützen wir Sie
-
Die Experten für Datenschutz & Cyber Response von EY können Ihrem Unternehmen dabei helfen, komplexe Cyberangriffe zu bewältigen. Erfahren Sie mehr.
Mehr erfahren
Das heißt, die Wahrnehmung der Studienteilnehmer entspricht nicht Ihren Erfahrungen aus der Praxis?
Koch: Tatsächlich nicht immer, manchmal besteht sogar ein echter Widerspruch. Beispielsweise sagt die Mehrheit der Führungskräfte, dass bei Cyberangriffen auf ihr Unternehmen keine personenbezogenen Daten entwendet wurden. Das ist das Gegenteil dessen, was wir in der Praxis sehen. Denn die Angreifer sind nicht wählerisch und nehmen alles mit, was sie können. Wir konnten in praktisch keinem Fall mit letztendlicher Sicherheit ausschließen, dass personenbezogene Daten abgeflossen waren.
Meseke: Das gilt insbesondere für die Ransomware-Attacken. Es gab nicht einen einzigen Angriff, den wir untersucht haben, bei dem nicht vor der Verschlüsselung auch Daten ausgeleitet wurden – davon sind auch personenbezogene Daten betroffen. Eine mögliche Erklärung für diese Diskrepanz zwischen Umfrage und Praxis könnte sein, dass viele Angriffe rechtzeitig erkannt und der Datenklau dadurch verhindert wurde. Erst wenn die Angriffe erfolgreich waren und wir zu Hilfe gerufen werden, wurde erkannt, dass auch personenbezogene Daten betroffen waren.
Wissen die befragten Unternehmen, wer sie angegriffen hat? Wie lässt sich das feststellen?
Koch: Bei Ransomware-Attacken geben sich die Angreifer zumindest durch die Nachricht auf dem Bildschirm, in der zur Zahlung von Lösegeld aufgefordert wird, zu erkennen. Hacktivisten möchten mit ihren Aktionen natürlich insbesondere Aufmerksamkeit erregen und reklamieren daher öffentlichkeitswirksam Angriffe auch für sich. In gewisser Weise versuchen aber alle kriminellen Gruppen, sich eine Reputation erarbeiten – selbstverständlich aus unterschiedlichen Motiven. Entsprechend überrascht es nicht, dass die Unternehmen die Angreifergruppen überwiegend kennen; nur ein Viertel sagt hier, die Täter seien gänzlich unbekannt.
Fast alle Unternehmen haben in Präventionsmaßnahmen wie Virenschutz, VPN und Firewalls investiert. Viele andere Möglichkeiten werden weit weniger berücksichtigt. Wie ist das zu bewerten?
Meseke: Hier hat sich das Bild über die letzten beiden Studien nur wenig verändert. Zum einen werden hier nicht nur Investitionen in neue Maßnahmen genannt, sondern auch Updates von Bestehenden. Zum anderen ist die Fokussierung auf VPN immer noch vor dem Hintergrund der Corona-Zeit zu verstehen. Die gute Nachricht ist: Die Unternehmen bleiben mit ihren Investitionen am Ball und schaffen sich eine gute Grundsicherheit.
Koch: Im direkten Vergleich zur vorherigen Studie hat sich das Thema Security Operations Center (SOC), in dem die sicherheitsrelevanten Informationen im Unternehmen ausgewertet werden, erheblich weiterentwickelt. Allerdings hat eben nicht jedes Unternehmen die Ressourcen und Budgets, die dafür benötigt werden. Dasselbe gilt für Information-Security-Management-Systeme (ISMS), die bei weitem nicht flächendeckend zum Einsatz kommen.
Wenn der Ernstfall eingetreten ist, kommt es auch auf eine schnelle Reaktion an. Sind die Unternehmen darauf gut vorbereitet?
Koch: Was die Krisenpläne angeht, sehen wir durchaus messbare Fortschritte: Deutlich mehr als noch im Jahr 2021, nämlich sieben von zehn Unternehmen, haben einen Krisenplan, und 45 Prozent testen dessen Umsetzbarkeit auch mindestens einmal im Jahr. Überrascht hat mich jedoch im Vergleich zu 2021, dass über die Hälfte der Unternehmen angab, gar kein zentrales Krisenteam zu haben, und 11 Prozent der Befragten wissen nicht einmal sicher, ob ein definiertes Krisenteam existiert.