IDC-Studie

Unternehmen unterschätzen Sicherheitsrisiken

Deutsche Unternehmen sind auf die neuen Angriffsformen nur unzureichend vorbereitet, so das Fazit der jüngsten IDC-Studie.

Deutsche Unternehmen legen besonders großen Wert auf die Absicherung ihrer IT - doch auf die neuen Angriffsformen sind die Firmen dennoch nur unzureichend vorbereitet. Sie unterschätzen das Risiko, so das Fazit der aktuellen IDC-Studie "Vor dem Sturm: IT-Security in Deutschland 2013". Im Rahmen der Studie befragte IDC im über 300 deutschen Unternehmen mit mehr als 100 Mitarbeitern.

Gezieltes Vorgehen der Angreifer

IDC unterscheidet zwischen sechs verschiedenen Angreifertypen. Diese sind im Einzelnen Cyber-War, APT-Angriffe, Cyber-Kriminalität, E-Spionage, Hacktivismus und E-Vandalismus.

Aktuelle Angreiferlandschaft: Die Gefahr gezielter Angriffe wird unterschätzt, so IDC. (Quelle: IDC)
Aktuelle Angreiferlandschaft: Die Gefahr gezielter Angriffe wird unterschätzt, so IDC. (Quelle: IDC)
Foto: IDC

Die befragten Unternehmen bewerten ihr Bedrohungspotenzial sehr unterschiedlich: So betrachten sich im Schnitt 50 bis 60 Prozent der Unternehmen als sehr bis sehr stark bedroht. Dagegen erkennen 25 bis 40 Prozent nur ein geringes bis sehr geringes Risiko.

Unternehmen hierzulande schätzen die Gefahr, Opfer eines Cyber-kriminellen Angriffs zu werden, mit dem Wert 2,86 am höchsten ein (bei einer Skala von 1 = sehr hohes Bedrohungspotenzial bis 6 = sehr geringes Potenzial 2,58).

Ziel einer E-Spionage zu werden, halten die Befragten nahzu für ebenso wahrscheinlich (2,61) gefolgt von E-Vandalismus (2,83), Cyber-War (2,86), Hacktivismus (2,90) und APT-Angriffe (3,05). Nach Ansicht von IDC zeigt sich, dass insbesondere das Thema APT aus nicht die erforderliche Aufmerksamkeit erhält.

Verteilung: Anteil der Unternehmen, die sich als Zielgruppe für neuartige, komplexe Attacken (ATP) sehen. (Quelle: IDC)
Verteilung: Anteil der Unternehmen, die sich als Zielgruppe für neuartige, komplexe Attacken (ATP) sehen. (Quelle: IDC)
Foto: IDC

"37 Prozent der befragten Unternehmen verstehen sich nicht als Ziel von APT-Angriffen. Diese Einstellung kann fatale Folgen haben", warnt Matthias Zacher, Senior Consultant bei IDC. "Vielleicht besitzt der mittelständische Prozessfertiger wertvolle Produktunterlagen, die Ziel eines Angriffs sein könnten. Oder der lokal tätige Dienstleister hat Zugang zu einem Großunternehmen oder einer Behörde mit sensiblen Informationen. Dann ist dieser Dienstleister ein Element eines mehrstufigen Angriffs." Jedes Unternehmen sei damit potenziell gefährdet.

Branchen unterschiedlich sensibilisiert

Die Unternehmen der einzelnen Branchen bewerten das Bedrohungspotenzial durchaus unterschiedlich. Während die Dienstleistungsbranche, der Handel und Prozessfertiger die verschiedenen unterschiedlichen Angriffstypen in Gänze als Bedrohung sehen, ist das bei anderen Branchen nur punktuell der Fall. So sind im Gesundheitswesen, in der Branche Transport und Verkehr und beim Bildungswesen deutliche Spreizungen in der Bewertung festzustellen. IDC empfiehlt aber allen Unternehmen, die Gefährdungslage regelmäßig neu zu prüfen.