Logos des Kriminologischen Forschungsinstituts Niedersachsen (KFN) und des Forschungszentrums L3S

Insgesamt 41 % der Unternehmen ab zehn Beschäftigten in Deutschland erlebten innerhalb eines Jahres mindestens einen Cyberangriff, auf den sie reagieren mussten. Aber nicht alle Unternehmen sind gleichermaßen betroffen. Dies gehört zu den zentralen Ergebnissen einer großangelegten repräsentativen Befragung von 5.000 Unternehmen. Unterschieden nach Angriffsarten zeigt sich, dass vergleichsweise viele Unternehmen in den letzten zwölf Monaten von Phishing (22 %) und Schadsoftwareangriffen (Ransomware: 13 %, Spyware: 11 % und sonstige Schadsoftware: 21 %) betroffen waren, gefolgt von CEO-Fraud (8 %), (D)DoS (6 %), Defacing und manuellem Hacking (jeweils 3 %).

Das Kriminologische Forschungsinstitut Niedersachsen e.V. (KFN) und das Forschungszentrum L3S der Leibniz Universität Hannover und der Technischen Universität Braunschweig haben die Ergebnisse einer großen, deutschlandweiten Erhebung zum Thema Cyberangriffe veröffentlicht. Demnach scheinen KMU von Cyberangriffen insbesondere betroffen zu sein, wenn sie zum Beispiel mehrere Standorte in Deutschland haben oder international aktiv sind (Auslandsstandorte beziehungsweise Export von Gütern oder Dienstleitungen). Weitere signifikante Unterschiede hinsichtlich der Betroffenheit der Unternehmen zeigen sich, neben der Unternehmensgröße, zwischen verschiedenen Branchen beziehungsweise Wirtschaftszweigen. Unternehmen der Daseinsvorsorge waren zum Beispiel seltener betroffen (31,1 %) als Unternehmen der übrigen Branchen (42,3 %) und scheinen demzufolge tendenziell besser geschützt zu sein oder entgegen der Erwartung weniger angegriffen zu werden.

Die Untersuchung ergab zudem, dass technische IT-Sicherheitsmaßnahmen bereits sehr weit verbreitet sind. Maßnahmen, die sich auf die Organisation der Unternehmen beziehen, zum Beispiel IT-Sicherheitsschulungen für Beschäftigte oder schriftlich fixierte Richtlinien zur IT-Sicherheit, werden hingegen seltener eingesetzt. Unternehmen, die nicht nur auf Technik setzen, sind tendenziell seltener von Cyberangriffen betroffen. „Es wird also in Zukunft darum gehen, IT-Sicherheitsmaßnahmen besser in organisatorische Abläufe und Prozesse der Unternehmen einzubinden und das Zusammenspiel von Mensch und Technik stärker in den Blick zu nehmen“, schlussfolgert Prof. Dr. Sascha Fahl (Teilprojektleiter, Leibniz Universität Hannover).

Die Befragung wurde im Rahmen des Forschungsprojekts „Cyberangriffe gegen Unternehmen“ durchgeführt, das über die Initiative „IT-Sicherheit in der Wirtschaft“ vom Bundesministerium für Wirtschaft und Energie gefördert wird. Eine praxisnahe Kurzfassung des Forschungsberichts mit Handlungsempfehlungen für KMU ist in der Infothek dieser Internetseite verfügbar. Die Langfassung des Forschungsberichts ist hier ebenfalls veröffentlicht.