Erst Anfang November gab es wieder einen Cyberangriff, zumindest einen, von dem öffentlich berichtet wurde: Dieses Mal war der Elektronikhändler Media Markt Saturn das Ziel. Online-Bestellungen mit Markt-Abholung (Click & Collect) sowie weitere Leistungen wie Finanzierungen, Lieferungen auf Rechnung, Online-Abholungen und Retouren, Rücknahmen, Auszahlungen und der Umtausch von Produkten, Belegerstellungen, die Einlösung von Gutscheinkarten und Coupons
sowie der Kauf von Gutscheinkarten waren nicht mehr möglich. (1)
Angriffe auf Umwegen: Über die Zulieferer ...
Der neueste Trick der Hacker: Sie attackieren Firmen auf Umwegen. Und zwar über deren Zulieferer, dies ist eines der Ergebnisse der neuen Studie „Digital Trust Insights 2022“ des Wirtschaftsprüfungs- und Beratungsunternehmens PwC zur Cybersicherheit in Unternehmen.
Dass Hacker Firmen immer häufiger attackieren und so Millionen erpressen, liegt aber auch daran, dass es ihnen viel zu leicht gemacht wird – obwohl es wirksame Abwehrstrategien gibt. (2)
Dazu kommt: Rund ein Drittel (32 Prozent) der Führungskräfte in Deutschland verstehen die IT- und Software-Risiken in ihrer Lieferkette wenig oder gar nicht. Auch die Verhältnisse zu Sub-Dienstleistern sind für 30 Prozent der Befragten undurchsichtig, ebenso wie zu Anbietern von Cloud-Lösungen (29 Prozent), Internet of Things (IoT) oder anderer Technologien (28 Prozent). (3)
Hacken „über Bande“
Ein Beispiel: Im Juli dieses Jahres gelang es Hackern beim Unternehmen Kaseya Schadcode in die IT eines wichtigen Softwareanbieters einzuschleusen, dessen Programme wiederum bei anderen Unternehmen im Einsatz sind. Damit wird so ein Angriff quasi „über Bande“ für Cyberkriminelle zum Selbstläufer. Denn über die eingebauten Updatemechanismen der regulären Software verbreitet sich auch der eingeschleuste Schadcode ebenso automatisch wie unauffällig in die Rechner der ahnungslosen Kunden.
Schalten die Hacker dann diese „digitale Bombe“ scharf, werden ihre Verschlüsselungsprogramme mitunter bei Tausenden von Opfern zugleich aktiv! „Auf diese Weise können sich dann schlagartig geradezu lawinenartige Schadensszenarien entwickeln“, sagt Joachim Mohs, Partner bei PwC Deutschland und Experte für Cybersicherheit in Lieferketten.
Schon mehr als 200 Millionen Euro Lösegeld an Hacker gezahlt ...
Im Fall der Attacke auf Kaseya gehen Sicherheitsexperten davon aus, dass auf einen Schlag mehr als 1.000 Unternehmen betroffen waren. Die Hacker der REvil Gruppe forderten 70 Millionen Dollar Lösegeld für eine Art Generalschlüssel, um alle blockierten Server wieder zu entschlüsseln. US-Justizminister Merrick Garland sagte kürzlich, bislang sei REvil-Software bei Attacken auf etwa 175.000 Computer weltweit eingeschleust worden, mindestens 200 Millionen US-Dollar Lösegeld seien bei Angriffen mit der Software schon gezahlt worden.
84 Prozent der Führungskräfte wegen extremer Komplexität besorgt
Kein Wunder also, dass solche in der Branche als „Supply-Chain-Attacks“ – zu Deutsch „Lieferkettenangriffe“ – benannten Szenarien auch in den Führungsetagen deutscher Unternehmen zu den meistgefürchteten Cybergefahren zählen. Laut der aktuellen Studie des Wirtschaftsprüfungs- und Beratungsunternehmens PwC zur Cybersicherheit in Unternehmen haben derartige Attacken für immerhin 78 Prozent der befragten Führungskräfte in Deutschland eine „besorgniserregende Bedeutung“; 84 Prozent der Befragten fürchten sie zudem wegen der extremen Komplexität der Materie. Aber dazu später …
70 Prozent unternehmen dennoch – nichts ...
Doch trotz dieses eindeutigen Gefahrenbewusstseins ist die deutsche Wirtschaft bei Schutzmaßnahmen offenbar erschreckend nachlässig. „70 Prozent der befragten Manager in Deutschland geben an, gegen Supply-Chain-Attacken bisher nichts Konkretes unternommen zu haben“, sagt PwC-Experte Mohs. Dabei mangele es vielfach nicht einmal an gutem Willen bei den Verantwortlichen. „In vielen Fällen liegt der Fokus aber zunächst einmal auf vermeintlich näherliegenden Aufgaben, nämlich der Absicherung der IT in den Unternehmen selbst“, so Mohs.
Die IT-Sicherheit der Zulieferer hingegen sei für viele Verantwortliche – in den IT-Abteilungen und mehr noch in den Geschäftsleitungen – eine große Unbekannte. „Vielen Beteiligten ist noch nicht einmal bekannt, welche Risiken aus welcher Ecke drohen können“, sagt der PwC-Experte. „Geschweige denn, dass Firmen konkrete Informationen hätten, wie es um die Gefahrenlage oder das Schutzniveau bei ihren Zulieferern tatsächlich aussieht.“
Meldepflicht für Cyberangriffe fehlt
Grund dafür ist auch, dass in vielen Vertragsbeziehungen das Thema Cybersicherheit in der Vergangenheit noch keine nennenswerte Rolle gespielt hat. „Meldepflichten bei IT-Vorfällen oder die Vereinbarung eines Mindestniveaus für IT-Sicherheit beim Zulieferer sucht man bis heute in vielen Verträgen vergeblich“, so Mohs. „Da müssen viele Firmen ganz dringend nachverhandeln, um den Cyberblindflug in ihren Lieferketten abzustellen.“ (2)
Vier von fünf IT-Führungskräften in Deutschland, so die Studie weiter, halten die Technologie, Daten und Betriebsumgebungen in ihren Unternehmen für zu komplex. Und: Laut Studie erwartet mehr als die Hälfte der Befragten eine Zunahme von Cyberkriminalität. Und dennoch setzen nur 21 Prozent relevante Technologien wie Real-Time-Threat-Intelligence als Bestandteil ihres Betriebsmodells ein.
Insbesondere die Regulierung von Investitionen in Technologien sowie Cloud-Umgebungen halten 85 beziehungsweise 77 Prozent der deutschen Befragten für zu komplex.
Die meisten befürchten durch die hohe Komplexität fehlende Resilienz, finanzielle Verluste und mangelnde Innovationsfähigkeit. Innerhalb des eigenen Unternehmens konnten zwar 72 Prozent ihre Geschäftsumgebung in den letzten zwei Jahren vereinfachen, indem sie Technologien komplett oder teilweise rationalisiert haben.
Prozesse effizienter gestalten
Moritz Anders, Partner im Bereich Cyber Security & Privacy bei PwC Deutschland, sieht dennoch deutlichen Handlungsbedarf: „Unternehmen nutzen zu selten Daten und Automatisierung, um ihre Prozesse effizienter zu gestalten. Dabei führt die Vereinfachung des Betriebs, der Prozesse und der zugehörigen Systeme dazu, dass sie Cyberrisiken schneller erfassen und IT-Sicherheit besser gewährleisten können.“
Richtige Auswahl von Dienstleistern für Cybersicherheit wichtiger Faktor
Für Grant Waterfall, EMEA Cyber Security & Privacy Leader bei PwC, ist daher auch die passende Auswahl von Dienstleistern ein zentraler Faktor für Cybersicherheit: „Organisationen haben einen großen blinden Fleck, was Risiken durch Dritte und die Lieferkette angeht. Zu viele Unternehmen versäumen es, die wichtigsten kritischen Beziehungen zu entschlüsseln oder Anbieter hinsichtlich Performance-Standards zu prüfen, um die Schwachstellen in der Lieferkette zu finden.”
Mehr Cyberkriminalität in 2022 befürchtet
Rund drei von fünf Befragten in Deutschland (57 Prozent) sind der Ansicht, dass Cyberkriminalität im kommenden Jahr im Vergleich zu 2021 zunehmen wird – vor allem in den Bereichen Mobile (56 Prozent), IoT (59 Prozent) und Cloud (58 Prozent). 59 Prozent erwarten einen Anstieg von Ransomware-Angriffen, fast genauso viele gehen von zunehmender Malware durch Software-Updates (58 Prozent) und mehr Angriffen auf Cloud-Services (57 Prozent) aus.
„Cyberrisiken sind Unternehmensrisiken ...“
Für 21 Prozent (global: 26 Prozent) stellt die Quantifizierung von Cyberrisiken einen integralen Bestandteil ihres Betriebsmodells dar. Moritz Anders hierzu: „Cyberrisiken sind auch Unternehmensrisiken. Idealerweise sollten Unternehmen die Sicherheitslage immer ganzheitlich betrachten. Die reine Risikobewertung als Momentaufnahme hat bei der heutigen Bedrohungslage ausgedient. An ihre Stelle tritt ein Risiko-Reporting in Echtzeit.“
Engagierte CEOs machen mehr Fortschritte bei Digitalisierung
Eine Vorreiterrolle bei der Cybersicherheit kommt CEOs zu. Laut den befragten Führungskräften aus Deutschland engagieren sich ihre CEOs vor allem bei der Berichterstattung zu Cybervorfällen für Aufsichtsbehörden. Auch nach Cyberangriffen auf die eigene Organisation oder die gesamte Branche werden CEOs aktiv. Unternehmen, deren CEOs sich engagieren und den Bereich Cybersicherheit für wachstums- und vertrauensrelevant halten, haben in den letzten zwei Jahren signifikant häufiger Fortschritte bei der Digitalisierung gemacht. Für Grant Waterfall ist klar: „CEOs geben in puncto IT-Sicherheit und Datenschutz die Richtung für die ganze Organisation vor. Sie haben die Möglichkeit, Cybersicherheit als wichtigen Faktor für das Unternehmenswachstum und das Vertrauen der Kunden zu etablieren und unternehmensweit ein Sicherheitsbewusstsein zu schaffen.”
Über die PwC-Studie
Für die „Global Digital Trust Insights 2022“ wurden zwischen Juli und August 2021 insgesamt 3.602 Führungskräfte (CEOs, Corporate Directors, CFOs, CISOs, CIOs und C-Suite-Verantwortliche) aus den Bereichen Wirtschaft, Technologie und Sicherheit zur Entwicklung und Zukunft von Cybersicherheit befragt. 33 Prozent der jeweiligen Unternehmen sind in Westeuropa ansässig, davon 258 in Deutschland, gefolgt von Nordamerika (26 Prozent), Asien-Pazifik (18 Prozent), Lateinamerika (10 Prozent), Osteuropa (4 Prozent), Naher Osten (4 Prozent) und Afrika (4 Prozent).
62 Prozent der Befragten sind Führungskräfte in Unternehmen mit einem Umsatz von einer Milliarde US-Dollar und mehr, 33 Prozent in Betrieben mit einem Umsatz von zehn Milliarden Dollar und mehr. Die Teilnehmenden sind in einer Vielzahl von Branchen tätig: Technik, Medien, Telekommunikation (23 Prozent), industrielle Fertigung (22 Prozent), Finanzdienstleistungen (20 Prozent), Einzelhandels- und Verbrauchermärkte (16 Prozent), Energie, Versorgungsunternehmen und Ressourcen (8 Prozent), Gesundheit (7 Prozent) und öffentlicher Dienst (3 Prozent). (4)
Schützen Sie Ihr Business! Wir sind für Sie da!
Dass IT komplex ist, wissen wir. Denn dafür sind wir da. Als Ihr professioneller Dienstleister sorgen wir dafür, dass Ihr Unternehmen vor digitalen Angriffen ausreichend abgeschirmt ist. Und zwar immer! Zu 100 Prozent! Das Beste daran: Sie müssen sich um gar nichts kümmern! Für die Sicherheit Ihrer Daten sind wir zuständig. Und das jeden Tag, 24 Stunden lang. Probieren Sie es aus! Rufen Sie uns an. Wir stehen für eine erste kostenfreie Beratung zur Verfügung.
Telefon: 0511 6766898-0
