Demnach waren die Unternehmen unterschiedlich stark von der Cyberkriminalität betroffen. In den Branchen Transport und Verkehr sowie Wasserwirtschaft haben mehr als die Hälfte aller Unternehmen einen Angriff erlitten. Im Ernährungssektor sind sogar 80 Prozent betroffen. Nachholbedarf in Sachen Schutz vor Cyberkriminellen haben zudem vor allem KRITIS-Unternehmen aus den Bereichen Ernährung, Transport und Verkehr sowie der Wasserversorgung.
Phishing-Attacken sind die häufigsten Angriffe
Auch mangele es vielen Unternehmen an grundlegenden oder geeigneten Schutzmaßnahmen gegen Angriffe aus dem Internet. Knapp die Hälfte der befragten Unternehmen setzt bei der Abwehr gegen schädliche Links und Anhänge in E-Mails auf die Vorsicht der Mitarbeitenden. Diese erhielten demnach den Hinweis, prinzipiell keine Anhänge zu öffnen. Gleichzeitig sind laut der Studie die häufigsten Angriffe auf KRITIS-Unternehmen so genannte Phishing-Attacken (56 Prozent) – also eine Angriffsart, die Mitarbeitende dazu verleiten sollen, infizierte Anhänge oder Links zu öffnen.
Jedes dritte Unternehmen gab an, dass das Anklicken einer solchen E-Mail bereits zu einem Sicherheitsvorfall geführt habe. In den Sektoren Gesundheit, Finanz- und Versicherungswesen, sowie Medien- und Kulturinstitutionen war das sogar bei sieben von zehn der Befragten der Fall.
Nicht-Öffnen von Anhängen völlig unzureichender Schutz
„Ein Hinweis auf das Nicht-Öffnen von Anhängen ist ein völlig unzureichender Schutz vor Cyberangriffen“, warnt Peter Burghardt, der Geschäftsführer von techconsult: „Der Mensch macht Fehler und solche Fehler können gravierende Folgen haben. Das ist vor allem bei Kritischen Infrastrukturen der Fall. Denn ein Ausfall odereine schwere Beeinträchtigung von Lebensmittelhandel, Krankenhäusern, Banken oder Energieversorgern kann zu Störungen der öffentlichen Sicherheit oder zu Versorgungsengpässen führen.“ Falk Herrmann, der Geschäftsführer von Rohde & Schwarz Cybersecurity, rät KRITIS-Unternehmen: „Um sich vor schädlichen Anhängen oder Links in E-Mails zu schützen, sollten diese Unternehmen stattdessen geeignete technische Mittel einsetzen.“
Surfen im Internet birgt große Gefahren
Auch das Surfen im Internet birgt laut der Studie große Gefahren für KRITIS-Unternehmen. Dessen seien sich die meisten Studienteilnehmer bewusst: Nur vier Prozent der befragten Unternehmen ergreifen gar keine Maßnahmen, um sich vor Angriffen aus dem Internet zu schützen. Doch die für den Schutz gewählten Mittel sind meist ungeeignet. So schränken mehr als ein Viertel der Unternehmen die Möglichkeiten der Internetnutzung für die Mitarbeiter ein, indem sie bspw. keine aktiven Elemente wie Flash, ActiveX, JavaScript zulassen. Solche Maßnahmen hätten erhebliche Folgen für die Produktivität. 40 Prozent der Teilnehmer, die aktive Elemente gesperrt haben, gaben an, dass sie nur noch einen Bruchteil der für ihre Tätigkeit relevanten Internetseiten nutzen können, was mit einem erheblichen Informationsverlust einhergehe.
