Soccer team in a huddle

PwC-Studie: Stärkster Anstieg an Cyberattacken seit 10 Jahren

21. Januar 2016 von Andreas Schmitz 0

Hacking wird zum „Wirtschaftszweig“. Unternehmen beklagen mehr Attacken – besonders auf ihr geistiges Eigentum. Die Sicherheitsbudgets steigen. Die Ergebnisse des Global State of Information Security Survey 2016.

Die wichtigsten Ergebnisse des Global State of Information Security Survey 2016; Quelle: PwC, 2016

Die wichtigsten Ergebnisse des Global State of Information Security Survey 2016; Quelle: PwC, 2016

Die Finanzbranche gilt in Sachen Cybersecurity als fortschrittlich. Das zeigt sich auch in den aktuellen Zahlen des Global State of Information Security Surveys 2016 der Wirtschaftsprüfungsgesellschaft PwC. Die Cyberattacken haben sich im Finanzsektor in 2015 gegenüber dem Vergleichsjahr 2014 um drei Prozent verringert, die finanziellen Verluste sind sogar um 12 Prozent niedriger ausgefallen. Begleitende Maßnahmen wie die Schulung der Mitarbeiter haben dazu geführt, dass die derzeit Beschäftigten nur noch in jedem dritten Fall (34 Prozent) für Sicherheitsvorfälle verantwortlich sind, gegenüber 44 Prozent im Vorjahr. Und trotzdem hat der Diebstahl „geistigen Eigentums“ um 183 Prozent zugenommen.

1. Wirtschaftszweig Internetkriminalität etabliert sich

„Angreifer industrialisieren und organisieren sich“, erläutert Derk Fischer, der als Partner bei PwC in Deutschland für Informationssicherheits­beratung zuständig ist: „Es ist quasi ein Wirtschaftszweig entstanden, der untereinander hervorragend vernetzt ist.“ Über alle Branchen hinweg verzeichnet die Studie einen Anstieg der Sicherheitsvorfälle von 38 Prozent. Einen höheren Zuwachs hatte es in den letzten zwölf Jahren, seit diese globale Studie durchgeführt wird, nicht gegeben. Besonders haben es die Angreifer auf das geistige Eigentum der Firmen abgesehen. Hier registrierten die Analysten einen Anstieg um 56 Prozent. Und ausgerechnet jene Branche, die vermeintlich mit zu den bestgeschütztesten gehört, die Finanzbranche, gerät hier besonders ins Visier der Angreifer, mit einer Zunahme der Diebstähle um 183 Prozent. „Das ist ein Zeichen dafür, dass die Angreifer zielgerichtet vorgehen“, deutet PwC-Partner Fischer diese Zahlen. Ob es um den Verkauf von Email-Adressen, um systematische DDoS-Attacken oder eine Auftragsspionage geht: „Geeignete Zahlungswege vorausgesetzt, BITCOINS wären eine Möglichkeit, lässt sich ein solches Geschäft anonym – und sicher – abschließen“, so Fischer.

2. Unternehmen nehmen IT-Sicherheit als Wettbewerbsfaktor wahr

Doch zeigt die Studie auch, dass die Unternehmen immer wachsamer werden: Während sie die Informationssicherheit vor zehn Jahren in erster Linie als IT-Thema behandelt haben, ist es nicht zuletzt durch die auch für den Unternehmenserfolg wichtigen Themen Digitalisierung, Zusammenarbeit, Cloud und Industrie 4.0 in der Vorstandsetage angekommen. Die IT-Sicherheit ist heute als wichtiger Wettbewerbsfaktor akzeptiert. Fast jedes Unternehmen (91 Prozent) hat einen Managementprozess gemäß des IT-Sicherheitsstandards ISO 27001 eingeleitet und die Sicherheitsbudgets sind über alle Branchen hinweg im aktuellen Untersuchungszeitraum der Studie 2014/2015 um 24 Prozent gestiegen.

3. Datenanalyse als Schlüsselfaktor

Ein besonderes Augenmerk gilt in den Unternehmen dabei der Analyse. „Merken, wenn was passiert, schnell Maßnahmen ergreifen und die Folgen beseitigen“, nennt das PwC-Mann Fischer, der den Markt für derartige Lösungen aktuell als sehr heterogen beschreibt. Mit seiner Lösung SAP Enterprise Threat Detection (SAP ETD) fokussiert beispielsweise SAP auf das sofortige Erkennen externer Angreifer. Die Mustererkennung filtert Auffälligkeiten heraus, etwa wenn Mitarbeiter sich anders verhalten als sonst – möglicherweise aufgrund eines Hackerangriffs. „Die Zukunft liegt in der Kombination aus Lösungen zur musterbasierten Erkennung von Sicherheitsvorfällen und der Massenanalyse aktueller Laufzeitdaten, die etwa auch Aktivitäten im Netzwerk mit einbeziehen“, erläutert Fischer. Die Studie zeigt, dass die Einsicht für datengestützte Analysen immer mehr zunimmt. Fast jedes Unternehmen (86 Prozent) geht heute erfolgreich auf die Suche nach Schwachstellen im System. Im Vorjahr war es gerade einmal jedes Dritte. Fast zwei Drittel der weltweit befragten Unternehmen versprechen sich von Massendatenanalysen ein besseres Verständnis der externen Cyber-Bedrohungen und darüber hinaus der internen Gefahren (49 Prozent) sowie Erkenntnisse über das Nutzerverhalten.

4. Security as a Service von Mehrheit akzeptiert

Nicht so klar wie das Bekenntnis zur daten-gestützten Analyse ist den Entscheidern in den Unternehmen der Weg, der zu mehr Cybersicherheit führt. Ein „Security Operating Center“, das sich in Konzernen auf Cybervorfälle spezialisiert, scheint in vielen Unternehmen besonders aus dem Mittelstand schon allein aus Kostengründen nicht zu realisieren. Deshalb sind in der Umfrage bereits 69 Prozent der Befragten offen gegenüber Cyber-Security-Lösungen aus der Cloud. Ganz oben auf der Akzeptanzskala steht das „Real Time Monitoring“. Es fokussiert darauf, Angriffe sofort zu entdecken und zu analysieren. „In der Zukunft werden sich immer mehr Unternehmen fragen, ob sie die Dienstleistungen nicht als Security as a Service einkaufen können“, ist Sicherheitsexperte Fischer von PwC überzeugt.

Natürlich ist über alle Branchen hinweg noch einiges zu tun. Zwar gibt es Rahmenwerke für IT-Sicherheit nach ISO 27001, doch werden sie nach Ansicht von PwC-Partner Fischer nur bei 20 bis 30 Prozent der Unternehmen ganzheitlich gelebt. Die kurzen Entwicklungszyklen für neue Produkte verlangen ein schnelles Operativsetzen von Systemen, manchmal auf Kosten der Sicherheit. Cyber-Resilienz als Fähigkeit, nach einer Cyberattacke schnell wieder zum Normalbetrieb überzugehen, sei bis dato „noch bei zu wenigen Unternehmen in den Köpfen“, so Derk Fischer. Hiervon wird auch die Entwicklung des „Internet der Dinge“ beeinflusst: „Das Internet der Dinge ist noch jung, aber die Front-Runner tun gut daran, vertrauensbildende Sicherheitseigenschaften schon in der Design- und Entwicklungsphase zu berücksichtigen – später wird das teuer, wenn nicht sogar im Einzelfall unrealisierbar.“

Die Kernbotschaft der Studie jedoch ist: Unternehmen nehmen die Gefahr ernst. Selbst die Handelsbranche rüstet sich mit einer Budgeterhöhung um 67 Prozent von 2014 auf 2015 nun massiv gegen die Diebe von Kundendaten aus dem Netz. Es wurde bitter nötig: Denn im gleichen Zeitraum registrierte die Branche 154 Prozent mehr Cyberattacken und 159 Prozent höhere Verluste als im Vorjahr.

Weitere Informationen:

SAP ist auf den diesjährigen DSAG-Technologietagen 2016 in Hamburg mit einem Stand vor Ort. Besonderheit: Ein Arbeitsplatz zum Thema Security.

Auf dem SAP Security Day 2016 in Walldorf zeigen Security-Experten von NTT Com Security im Rahmen einer Live-Demo, wie sich Angriffe abwehren lassen, wie Sicherheitsverletzungen vermieden und Compliance-Anforderungen erfüllt werden. Zudem berichten SAP-Kunden wie Fresenius und Ferrero von ihren Erfahrungen mit SAP-Security-Produkten. Mit dabei: Bruce Schneier, renommierter US-Experte für Kryprographie und Computersicherheit.

Auf der Cebit 2016 in Hannover wird SAP u.a. mit einem Arbeitsplatz zum Thema Security vor Ort sein.

Foto: Shutterstock

Tags:

Leave a Reply