Cybersecurity-Ökosystem: Die neue Verantwortung der Chefs

Was genau braucht es, um die zunehmend komplexen und vernetzten IT-Strukturen und die wertvollen Daten vor Cyberangriffen zu schützen? Darüber sprechen der Herausgeber von it management Ulrich Parthier und der Sophos Director Channel Sales für Sophos EMEA Central Stefan Fritz.

Behörden wie das BSI oder Organisationen wie der Bitkom warnen von immer komplexeren Angriffen und fordern Unternehmen und Organisationen intensiv auf, sich gegen die Cybergefahren zu schützen. Ich gehe davon aus, dass Sie diese Meinung teilen?

Stefan Fritz: Ja, die Warnungen von offiziellen Stellen und auch aus der Sicherheitsbranche sind berechtigt. Dem immer noch zunehmend professionellen Verhalten der Cyberkriminellen und den Folgen eines Angriffs kann nur mit einer ausgefeilten Sicherheitsstrategie begegnet werden. Unsere Forensik-Teams und weltweite Studien bestätigen das hohe Gefahrenpotenzial für jede Art von Unternehmen und Organisation.

Wenn man Ihren letzten State of Ransomware Report liest, wird gleich am Anfang über einen leichten Rückgang der Ransomware-Angriffe berichtet. Heißt das, dass sich die Lage entspannt?

Stefan Fritz: Es gibt einen leichten Rückgang der Cyberattacken mit Ransomware im Vergleich zur Vorjahresstudie. Wir reden hier aber von einem sehr hohen Niveau. 2022 wurde 66 Prozent aller weltweit befragten Unternehmen mit Ransomware angegriffen, 2023 waren es nach wie vor 59 Prozent – sprich noch deutlich mehr als die Hälfte. Das ist aber nicht der springende Punkt.

Mittlerweile werden in nahezu allen Fällen die Backups in Mitleidenschaft gezogen, sodass Unternehmen kaum noch in der Lage sind, daraus ihre Systeme wiederherzustellen. Nur 68 Prozent der im vergangenen Jahr angegriffenen Unternehmen konnten aus den Backups die Daten und Systeme wiederherstellen, 2022 waren es noch 73 Prozent. Dieser Umstand führt dazu, dass Unternehmen dazu neigen, die Erpressungssummen zu bezahlen und diese haben sich um mehr als das 2,5-fache auf durchschnittlich 3,0 Millionen Dollar erhöht.

Aber dafür gibt es ja zum Glück Cyberversicherungen.

Stefan Fritz: So einfach ist es leider nicht, denn es ist heutzutage sehr schwer, überhaupt einen Versicherungsschutz zu bekommen und wenn, dann werden seitens der Versicherung extrem hohe Ansprüche an die getroffenen Security-Maßnahmen gestellt. Auch in diesem Bereich haben wir in unserer aktuellen Studie einige Daten erhoben. Über 70 Prozent der befragten privatwirtschaftlichen Unternehmen gaben an, eine Cyberversicherung zu haben. Hingegen nur 19 Prozent der angegriffenen Unternehmen bezahlten die Lösegeldsumme über die Versicherung. Das gibt zu denken.

Lassen Sie uns einen Blick auf die Verantwortlichkeiten richten. In der Vergangenheit war Cybersecurity hauptsächlich eine Aufgabe der IT. Es scheint jedoch Verschiebungen hin zum Management zu geben. Welche Verantwortlichkeit treffen Sie bei Ihren Kunden an?

Stefan Fritz: Richtig, die Security wird aus strategischer Sicht mehr zum Managementthema – je nach Unternehmensgröße, Unternehmensstruktur und Branche ein wenig unterschiedlich in der Ausprägung. Das ist auch richtig so, denn die Schäden, die einem Unternehmen durch Cyberangriffe entstehen, sind ein Managementthema, sowohl wirtschaftlich als auch aus Reputationsperspektive.

Einen Ruck in Richtung Managementverantwortlichkeit gibt es auch durch Gesetze und Vorgaben wie NIS2. Dass jetzt die Geschäftsleitung persönlich im Falle eines Cyberangriffs haftbar gemacht werden kann zeigt klar, welche Wertigkeit von Politik und Gesetzgeber in eine gute Cyberresilienz gelegt wird. Allerdings zeigen unsere Erhebungen in DACH, dass im vergangenen Jahr trotz der teils existenzbedrohenden Angriffe und trotz der neuen Gesetze die Security erst bei 16 Prozent der deutschen Unternehmen Chefsache ist.

Das vollständige Interview lesen Sie auf it-daily.net