Ein Viertel aller deutschen Firmen fürchtet um ihr geistiges Eigentum

Intel Security (ehemals McAfee) hat eine Studie zur Situation der Netzwerksicherheit in IT-Abteilungen europäischer Unternehmen veröffentlicht. Aus dieser geht unter anderem hervor, dass deutsche IT-Verantwortliche in Europa Spitzenreiter beim Unterschätzen von Risiken sind.

Im Zuge der Untersuchung ließ Intel Security im Juni je 300 IT-Entscheider in Deutschland, Frankreich und Großbritannien durch das Marktforschungsunternehmen Vanson Bourne Research befragen. Das Ergebnis: Anders als in Frankreich und Großbritannien werden die Mitarbeiter in Unternehmen hierzulande wenig zu IT-Sicherheitsrisiken geschult und Sicherheitsstrategien am seltensten überprüft. Zugleich fühlen sich deutsche IT-Abteilungen allerdings am sichersten: 95 Prozent der deutschen IT-Verantwortlichen sind demnach davon überzeugt, dass die Security-Strategie ihres Unternehmens stets auf die neuesten Angriffstechniken vorbereitet ist.

Der Intel-Security-Report beleuchtet überdies die fünf häufigsten Methoden für Netzwerkangriffe (PDF) aus der Perspektive eines Kriminellen. Zu den häufigsten Attacken auf Firmennetze zählen dabei Browser-Attacken mit schadhaften URLs respektive Links als Folge von Social-Engineering-Methoden sowie Netzwerkmissbräuche durch als Ablenkungsmanöver dienende DDoS-Attacken.

“IT-Spezialisten müssen sich eingehend mit den aktuell verbreiteten Netzwerkangriffen beschäftigen, wenn sie ihr Unternehmen erfolgreich schützen wollen”, erklärt Tuukka Helander, Senior Sales Systems Engineer bei Intel Security. “Unsere Studie deutet auf eine große Lücke hin zwischen der rasanten Entwicklung von Netzwerkbedrohungen und deren Einschätzung als Risikofaktor durch IT-Teams. Unternehmen dürfen die Bedeutung von Sicherheitstrainings nicht unterschätzen – auch und besonders für nicht-technisches Personal.”

Nach dem IT-Vorstand sind aus internationaler Sicht nämlich das Vertriebspersonal sowie Kundenservice-Mitarbeiter und Rezeptionisten, also Angestellte am Empfang, am ehesten Online-Angriffen ausgesetzt. “Die Bedrohungslage kommt meist nicht von extern, sondern von intern”, kommentiert Helander. Konkret heißt das, dass ein Großteil der Sicherheitsrisiken in Unternehmen von den Mitarbeitern ausgeht und diese häufig die eigentliche Schwachstelle darstellen.

Hierzulande hinkt man in puncto Mitarbeiterschulungen im internationalen Vergleich hinterher, wie die Intel-Security-Studie zeigt: Demnach schreiben 62 Prozent der befragten deutschen Unternehmen kein IT-Sicherheitstraining für ihre Sales-Mitarbeiter vor. Deutschland liegt diesbezüglich immerhin noch im Mittelfeld zwischen Frankreich mit 78 Prozent und Großbritannien mit 51 Prozent.

Auch Mitarbeitern am Empfang und im Kundenservice, die häufig online mit externen Personen kommunizieren, fehlt demnach oftmals das erforderliche Training: 72 Prozent der Unternehmen bieten ihren Service-Teams kein Sicherheitstraining an (Frankreich: 68 Prozent; Großbritannien: 52 Prozent). Empfangsmitarbeiter in Deutschland werden in 82 Prozent der Fälle nicht geschult, während in Frankreich immerhin ein Viertel aller Rezeptionisten ein Security-Training erhält und im Vereinigten Königreich sogar 60 Prozent. Immerhin 11 Prozent der deutschen Unternehmen offerieren überhaupt kein Sicherheitstraining für keine der genannten Mitarbeitergruppen.

“Man sollte beispielsweise den Rezeptionisten schon erklären, dass sie keine fremden USB-Sticks an ihre Rechner anschließen sollten, da diese Schadsoftware enthalten könnten. Auch sollten Mitarbeiter wissen, welche Applikationen sie überhaupt einsetzen dürfen oder wie sie auf einem sicheren Weg von außen ins Firmennetz gelangen können”, betont Helander.

Ein Viertel der deutschen Unternehmen sehen Social-Engineering-Angriffe durch Phishing-E-Mails sowie durch betrügerische Links hervorgerufene Drive-by-Downloads und Browser-Attacken als größte Sicherheitsgefahr an. Das wird durch Intels Sicherheitssparte insofern gestützt, als deren Spezialisten bei Browser-Angriffen allein zwischen 2013 und 2014 eine weltweite Zunahme um 87 Prozent dokumentieren konnten. Insgesamt verzeichnete Intel Security allein im vierten Quartal 2014 mehr als 83 Millionen dieser und anderer Netzwerkangriffe auf Unternehmen.

Zu einer ernstzunehmenden Bedrohung – oder auch zu einem Warnsignal – sind laut Studie gleichermaßen DDoS-Angriffe geworden. Damit lenken Hacker ein Unternehmen ab, während sie sich an anderer Stelle und mittels einer anderen Attacke Zugang zum Firmennetzwerk verschaffen und Unternehmensdaten erbeuten.

Immerhin 21 Prozent der hierzulande ansässigen Unternehmen betrachten diese häufig mit massiven Netzwerkausfällen verbundenen Attacken, von denen Intel Security nach eigenen Angaben im vergangenen Jahr 109 Millionen registrierte, als die größte Bedrohung für Ihre Infrastruktur. DDoS-Angriffe gehen laut Intel Security oftmals auch mit Ransomware und zugehörigen Lösegeldforderungen einher. Dennoch ist die Zahl derjenigen deutschen IT-Entscheider, die Erpressersoftware als echte Gefahr für ihr Netzwerk ansehen, mit 1 Prozent verschwindend gering.

In Frankreich sind es dagegen zumindest 7 Prozent der befragten Unternehmen, die Ransomware für die größte Bedrohung ihrer Infrastruktur halten. Tuukka Helander zufolge ist die höhere Sensibilisierung französischer IT-Verantwortlicher diesbezüglich darauf zurückzuführen, dass die dortigen auf dem Bildschirm erscheinenden Lösegeldforderungen besser lokalisiert sind, das heißt in französischer Sprache angezeigt werden.

Deutlich sensibler reagieren deutsche Unternehmen hingegen, wenn es Cyberkriminelle auf deren geistiges Eigentum abgesehen haben. 25 Prozent der IT-Entscheider hierzulande sehen einen solchen Datendiebstahl daher auch als die größte Bedrohung für die Existenz ihres Unternehmens an, womit dieser gemeinsam mit Social-Engineering-Angriffen an der Spitze steht: “‘Made in Germany’ ist noch immer ein Qualitätsmerkmal im Ausland. Daher haben Unternehmen hierzulande ein verstärktes Bewusstsein dafür entwickelt, ihre Unternehmensdaten so gut wie möglich zu schützen”, erklärt Helander. “Kein deutsches Unternehmen möchte, dass in Fernost plötzlich eine billige Kopie seines Produkts auftaucht, was einen erheblichen wirtschaftlichen Schaden für die Firma bedeuten kann.”

Erwähnenswert ist zudem, dass verschlüsselt übertragene Malware laut Studie ebenfalls zu den subjektiv am größten empfundenen Bedrohungen der deutschen IT-Abteilungen zählt: Immerhin 15 Prozent fürchten sich demnach vor via HTTPS ausgelieferten Schaddateien. Helander zufolge sind diese Befürchtungen der IT-Verantwortlichen auch nicht ganz unbegründet: “Es ist nur logisch, dass Hacker ihre Malware inzwischen nicht mehr im Klartext, also per HTTP, in die Firmennetzwerke einschleusen wollen. Fortschrittliche IT-Sicherheitssysteme könnten diese schließlich erkennen.”

Aber auch solche Systeme, zu denen laut Tuukka Helander etwa Firewalls mit Deep Packet Inspection zählen, können Probleme mit zielgerichteten, getarnten Attacken (Advanced Evasion Techniques respektive AETs) bekommen, welche wiederum 14 Prozent der deutschen Unternehmen am meisten beunruhigen: “Dort sind echte Profis am Werk”, warnt Helander.

Trotz solch fortgeschrittener Attacken prüfen Unternehmen ihre Sicherheitsstrategie der Studie zufolge im Schnitt lediglich alle neun Monate. Knapp 40 Prozent sehen sich ihre Sicherheitsstrategie sogar weniger als einmal im Jahr an. Dennoch glauben 95 Prozent der IT-Experten in Deutschland, die Sicherheitsstrategie ihres Unternehmens sei stets auf die neuesten Angriffe vorbereitet.  

83 Prozent der deutschen Befragten sind sich nichtsdestotrotz darin einig, dass ihre Abwehrmaßnahmen von einer optimal orchestrierten Sicherheitsinfrastruktur profitieren würden, die an allen Punkten des Netzwerks Informationen sammelt und diese mit all ihren Komponenten austauscht. “Es fehlt leider eine Schnittstelle, die dafür sorgt, dass auch Komponenten unterschiedlicher Hersteller miteinander kommunizieren, um vor Sicherheitsbedrohungen zu warnen”, sagt Helander.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de