„Die meisten deutschen KMUs haben einen soliden technischen Grundschutz gegen Cyber-Attacken“, sagt Nicolas Huaman Groschopf. Um ein Aber kommt der 27-Jährige nicht herum: „Vielen fehlt aber noch das nötige Bewusstsein für Cybersicherheitsrisiken“, sagt der CISPA-Forscher. Zusammen mit Kolleg:innen hat Huaman Groschopf Daten und Auskünfte von 5000 Unternehmen mit 10 bis zu mehr als 500 Mitarbeiter:innen zusammengetragen. Mehr als ein halbes Jahr hat es Ende des Jahres 2018 und Anfang 2019 gedauert, die IT-Verantwortlichen der Firmen computerassistiert zu ihren Sicherheitsmaßnahmen, ihrem Risikobewusstsein und sicherheitsrelevanten Vorfällen in der Vergangenheit zu befragen.
„Interessant fanden wir, dass eine überwiegende Mehrheit von 83 Prozent der Firmen die Pflege ihrer IT-Infrastruktur und damit auch deren Sicherheit in die Hände von externen Dienstleistern legen.“ Keine schlechte Entscheidung, wie es scheint. Denn: Regelmäßige Backups, Antiviren-Software und der Einsatz von Firewalls gehören laut Huaman Groschopf in nahezu allen befragten Firmen längst zum Standard. Anders sieht es bei eher organisatorischen Maßnahmen aus: Informationssicherheitstrainings bieten laut Studie zum Beispiel nur rund 60 Prozent der Unternehmen an, etwas mehr als ein Drittel bereitet sich auf Notfälle mit Übungen vor und nur etwa ein Viertel der Firmen strebt ein Zertifikat an, das ihnen sichere IT-Strukturen bescheinigt.
„Die Studie hat uns gezeigt, dass die jeweilige Branche, die Anzahl der Mitarbeiter:innen und das Alter der Unternehmen einen Einfluss auf den Einsatz technischer und organisatorischer Sicherheitsmaßnahmen hat und auch, auf welche Absicherung in den Unternehmen besonderen Wert gelegt wird“, sagt Huaman Groschopf. Unternehmen im Finanz- und Energiesektor setzen laut Studie am ehesten zusätzlich zu technischen auf organisatorische Sicherheitsmaßnahmen. „Banken haben insgesamt oft umfassende Kompetenzen gezeigt, was Cybersicherheitsmaßnahmen angeht.“
40 Prozent der interviewten Unternehmen waren in den 12 Monaten vor der Befragung mit Cyberkriminalität konfrontiert und mussten aktiv werden. Die meisten Unternehmen meldeten Vorfälle wie Phishing und Malware. CEO-Fraud, eine Betrugsmasche bei der Angreifer:innen sich als eine bekannte Person ausgeben und ihre Opfer zur Überweisung von Geldern manipulieren, schien ebenfalls ein häufigeres Problem zu sein. Ebenso (D)DoS-Angriffe, bei denen die Computersysteme gezielt überlastet und so außer Funktion gesetzt werden. „Je nach Branche waren bestimmte Arten von Angriffen häufiger“, sagt Huaman Groschopf.
Zudem habe sich gezeigt, dass gerade kleinere Unternehmen ihr Risiko, gezielt angegriffen zu werden, zu niedrig einschätzen. Sie rechnen, wenn überhaupt, eher mit Massenangriffen. „Das geringer wahrgenommene Risiko von gezielten Angriffen könnte kleine Unternehmen anfälliger für Angriffe wie CEO-Fraud, gezielte Ransomware-Angriffe und Insider-Bedrohungen machen.“ Aus einem Massenangriff kann laut dem CISPA-Forscher schnell ein gezieltes Ausspähen einer Firma resultieren. „Die Schadsoftware Emotet ist hierfür das beste Beispiel“, sagt Huaman Groschopf. Der Computervirus gilt noch immer als eine der größten Bedrohungen durch Schadsoftware weltweit und verursachte in den vergangenen Jahren laut Einschätzung des Bundesamtes für Informationssicherheit (BSI) in Deutschland hohe Schäden. Das Schadprogramm wird über Spam-Mails verteilt und kann etwa Kontakte und Mail-Inhalte aus den Postfächern infizierter Systeme auslesen. Ist der Computer erst infiziert, lädt Emotet weitere Schadsoftware nach. Diese Schadprogramme ermöglichen es Angreifer:innen Daten zu stehlen oder sogar das System vollständig zu kontrollieren. „Die Angreifer:innen gehen oft vorsichtig vor und bleiben so sehr lange unbemerkt“, sagt Huaman Groschopf.
Das Forscher:innenteam um Huaman Groschopf kommt zu dem Schluss, dass das Risikobewusstsein von KMUs noch zu gering ist und Gesetzgeber aktiv daran arbeiten sollten, mehr Bewusstsein für Informationssicherheit und die Risiken der Internetkriminalität zu schaffen. „Unternehmen sollten zudem organisatorische Maßnahmen wie Informationssicherheitsrichtlinien und Mitarbeiterschulungen prüfen und bewerten, welche dieser Maßnahmen für ihr Geschäftsmodell sinnvoll sind“, rät Huaman Groschopf.
Der 27-Jährige Saarländer forscht unter der Leitung von CISPA-Faculty Sascha Fahl und ist Teil des mittlerweile 15-köpfigen Teams, das seit Jahresbeginn in Hannover die Forschung des CISPA zu Web- und Industriesicherheit sowie anwenderorientierter IT-Sicherheit vorantreibt. „Eine solch großangelegte Studie auf Forschungsebene hat bislang gefehlt und gibt uns viele Ansatzpunkte für weitere Untersuchungen“, sagt Huaman Groschopf.
