Cyber-Angriffe leider mit erhöhter Erfolgsquote
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zum zweiten Mal seine „Cyber-Sicherheits-Umfrage“ durchgeführt. Als Ergebnis hat sich herausgestellt, dass 58 % der befragten Unternehmen und Behörden innerhalb der letzten zwei Jahre zu Zielen von Cyber-Angriffen geworden sind. Dabei hat sich die Erfolgsquote der Angreifer interessanterweise erhöht: In 42 % der Fälle verlief die Attacke erfolgreich. Im direkten Vergleich mit der letzten Umfrage entspricht das einer Steigerung um immerhin 8 Prozentpunkte.
Dabei haben die Angriffe durchaus ernstzunehmende Schäden angerichtet: Die Firmen sprechen von Betriebs- und Produktionsausfällen sowie hohen Kosten für die Wiederherstellung ausgefallener bzw. kompromitierter Systeme. Durchgeführt wurde die Umfrage nicht allein vom BSI, sondern auch vom Bundesverband der Deutschen Industrie (BDI), dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom), dem Deutschen Industrie- und Handelskammertag (DIHK), der Gesellschaft für Informatik e.V. (GI), dem Bundesverband der IT-Anwender e.V. (VOICE), dem Verband deutscher Maschinen- und Anlagenbauer (VDMA) sowie dem Zentralverband Elektrotechnik- und Elektronikindustrie (ZVEI).
Die Zahlen zeigen, dass die Gefahren durch Cyber-Angriffe eher zu- als abnehmen und die steigenden Erfolgsraten auf Hacker wohl eher ermunternd wirken dürften. Dabei machen die Angriffe vor keiner Branche halt und erstrecken sich über klassische Infektionen durch ungezielte Schadsoftware (72 % der Angriffe) über teils sehr professionelle und gezielte Hackerangriffe (21 %).
Ursachen für die erfolgreichen Angriffe sind zumeist Fehlhandlungen der Mitarbeiter (54 %). Das zeigt, dass verbesserte Schulungen und Fortbildungen viele Attacken von vornherein zum Scheitern verurteilen könnten. 35 % der erfolgreichen Angriffe sind leider auf unstrukturiertes Patch-Management zurück zu führen. Nur jedes dritte Unternehmen (31 %) implementiert aktuell allerdings ein Managementsystem für Informationssicherheit bzw. ein Information Security Management System (ISMS). Immerhin plant ein Drittel der befragten Firmen die Einführung eines derartigen Systems.
Zu den Methoden der Cyber-Sicherheits-Umfrage 2015: Es wurden 18 geschlossene Fragen von Juni bis September 2015 an Unternehmen gerichtet. Die Antworten wurden anonymisiert übermittelt. Verantwortlich für die Durchführung war die Secumedia GmbH mit technischer Unterstützung der Otaris GmbH. Ziel der Umfrage war es, den Stand der Dinge zum Thema Cyber-Sicherheit zu erheben und Hinweise auf mögliche Lösungen zu erhalten. Wer alle Ergebnisse der Umfrage einsehen möchte, findet auf dieser Website alle weiteren Angaben.
Dass nur wenige Unternehmen aktive Systeme gegen Angriffe implementiert haben, zeigt, dass selbst Warnschüsse wie die massive Angriff Ende 2014 auf Sony in Deutschland noch nicht zu einem Umdenken geführt haben. Gleichzeitig deutet die steigende Erfolgsquote eventuell auch darauf hin, dass die Angreifer immer raffinierter und professioneller agieren.
„Im direkten Vergleich mit der letzten Umfrage entspricht das einer Steigerung um immerhin 8 %.“
34,5 + 8% = 37,26.
Da hast du dich aber verrechet. Es sind rund 25% mehr!
@crane:
Nimm du erst einmal die richtigen Zahlen und rechne dann noch einmal nach 😉
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Micro/Umfrage/umfrage2015.html
Im Grunde kann man das Ergebniss der Studie auch so interpretieren, dass mehr Angriffe aufgedeckt wurden – was auf eine Verbesserung der IT-Security hindeuten würde.
Von diesen 54% die durch Mitarbeiterfehler sind denn auf Dumm- und Blödheit zurückzuführen? Da hilft nämlich auch keine Schulung oder Fortbildung wenn ein öffentlich bekannter Angestellter z.B. einfache Passwörter nimmt und in einem Internetcafe seine Mails abruft.
@CroMarmot: Die Zahl 34,5 aus 2014 entstammt genau der von dir verlinkten Quelle. Liest du dort eine andere?
@kOOk
Könnte auch bedeuten, dass die Angriffe nur auf Grund eines entstandenen Schadens aufgefallen sind. Also wenn es faktisch bereits zu spät war. Wovon ich einfach mal ausgehen würde, bei der hohen Zahl erfolgreicher Angriffe.
@Basti Zello
Der muss doch nur auf eine Mail mit schadhaftem Inhalt reinfallen, die es an der Firewall durch den Scanner geschafft hat. Eine gefälschte Anfrage als PDF, eine Mail mit gefälschten Angaben im Namen eines Kunden oder Lieferanten etc. Den Rest erledigen schlecht geschützte Netzwerke dann quasi von selbst.
Auf was sind solche Hacker denn überhaupt aus? Entwicklungspläne neuer Produkte, um diese an Konkurrenten zu verkaufen? Bankdaten, um die Konten der Firmen leer zu räumen? Daten von Kunden und Lieferanten?
Bis auf Geld würde ich Industriespionage tippen. Im Auftrag. Oder ebenfalls im Auftrag, Schädigung eines Konkurrenten.
Mich wundert das übrigens nicht, wenn ich da an zwei Fälle in der Lebensmittelindustrie denke, die ich selbst erleben durfte.
Da läuft teils so alte Hardware, dass beim Ausfall eines Rechners die gesamte Abfüllung eines großen Getränkezulieferers für Aldi und andere Discounter für einen halben Tag still stand. Da wurden einige hundert m³ Saft etc nicht abgefüllt. Das dürfte einiges gekostet haben. Eine Lizenz der benötigten Software für aktuelle Hardware wäre günstiger gewesen. Und wenn an diesen Stellen schon gespart wird…
In einem anderen Fall wurde von einer kleineren, nicht direkt produktionsrelevanten Maschine durch einen Fehler der Programmspeicher mit den diversen Arbeitsprogrammen gelöscht. Hat immerhin zwei Stunden gedauert, bis man die Produktion so umgestellt hatte, dass diese Maschine nicht mehr im Ablauf benötigt wurde. Das einzige Backup der Arbeitsprogramme befand sich auf einem defekten Laptop, der bisher nur wegen der Backups nicht entsorgt worden war.
Bei solchen Erlebnissen würde mich eine schlecht geschützte Infrastruktur nicht überraschen.
Zeitarbeit halte ich in dem Zug auch für ein Sicherheitsrisiko. Die können auch oft überall dran. Bietet man da einem genug Geld, schließt der auch mal eben einen USB Stick an einer Maschine oder einem Rechner in der Produktion an. Stuxnet und so.
@ Es geht um die Rate der erfolgreichen Angriffe und dabei wird dann ja auch die Gesamtzahl der Angriffe, der Anteil der erfolgreichen und der Anteil der nicht-erfoilgreichen einbezogen. Die ist laut BSI selbst um 8 % gestiegen. Letztes Jahr waren ca. 34,5 % der Angriffe erfolgreich, dieses Jahr mehr als 42 % – also Steigerung der Erfolgsrate um ca. 8 %. Natürlich nicht mann da nicht die 100 % aus dem letzten Jahr als Vorlage, sondern die 100 % diesen Jahres – alles andere wäre doch Quatsch.
Was du gemacht hast, ist total krude: Du hast einen Prozentwert genommen (34,5 %) und daraus nochmal Prozente berechnet…Ohne die Anzahl der Angriffe und die Erfolgsanteile einzubeziehen. Das macht nun wirklich keinen Sinn.
@Andre Unterschied % und Prozentpunkte schonmal gehört. Ach was solls. Lohnt nicht über so ne Kleinigkeit zu diskutieren. Alles okay 😉
Ich weiß schon was du meinst, aber die Rechnung ab den 34,5 % vom letzten Jahr machen ja trotzdem nicht so viel Sinn (die stehen ja quasi für die Gesamtzahl der erfolgreichen Angriffe aus dem letzten Jahr). Wenn müsste man dann ja mit der Zahl dahinter arbeiten und die mit der Zahl diesen Jahres vergleichen, wenn man nochmal anders rechnen wollen würde.
Aber ich ändere das mal auf 8 Prozentpunkte – streng genommen hast du da natürlich auch recht. Und an sich stimmt auch, dass man es lieber zu genau als zu ungenau schreibt :-).
Wird sogar bei den Nachrichten im Radio oder der Tagesschau falsch gemacht. Manchmal.
Und ansonsten: Mein erster Post war von kurz nach 7 Uhr heute morgen. Da darf man jetzt auch nicht zu viel erwarten 🙂
@ crane Alles gut, war ne berechtigte Kritik und ist geändert :-). Korrigiere und bessere bei solchen Sachen immer gerne aus :-).