Grösste Cyber-Risiken: Sicherheitslücken in Software und Datendiebstahl

Bild: 123rf/Fractal Verlag

Typography
  • Smaller Small Medium Big Bigger
  • Default Helvetica Segoe Georgia Times

Hacker nutzen eine Vielzahl von Methoden, um gezielt nach Sicherheitslücken in Software zu suchen. Von Phishing über das Ausspähen von Open-Source-Informationen (OSINT) bis hin zu Datenlecks bei Dritten sind sicherheitskritische Zugangsdaten meist das Hauptziel. Das zeigt der Cyber Security Report 2024 für DACH von Horizon3.ai.

Demnach stufen weit über die Hälfte der Firmen (54 Prozent) gestohlene Benutzer- und Admin-Zugangsdaten als eines der grössten Bedrohungspotenziale auf der Cyber-Risikoskala ein. Eine weitere Erkenntnis ist, dass mehr als ein Drittel (37 Prozent) der Angreifer über N-Day-Schwachstellen in Unternehmensnetzwerke eindringt. Dabei handelt es sich um bereits bekannte, ausnutzbare Software-Schwachstellen, die von den Unternehmen, die die Software verwenden, noch nicht gepatcht (behoben) wurden. Ein weiteres Viertel verschafft sich Zugang über sogenannte Zero-Day-Schwachstellen, die vom Softwarehersteller noch nicht entdeckt wurden, den Cyberkriminellen aber bekannt sind und für die es daher noch keinen Patch des Softwareherstellers gibt. 

Penetrationstests als Lösung

Die Ergebnisse des „Cyber Security Report“ verdeutlichen die Relevanz von Cyberbedrohungen. Laut eigenen Angaben wurden rund 60 Prozent der befragten Unternehmen in der DACH-Region in den letzten zwei Jahren mindestens einmal Opfer einer Cyberattacke. Die 300 befragten Führungskräfte und IT-Verantwortlichen repräsentieren ein breites Spektrum an Branchen und kritischen Infrastrukturen, darunter Telekommunikation, Maschinenbau, Automobilindustrie, Gesundheitswesen, Bildung und Forschung. „Angesichts von teilweise Hunderten von Programmen im Einsatz kommen die meisten Unternehmen gar nicht mehr hinterher, die beinahe täglich neu aufkommenden Softwareschwachstellen und andere Sicherheitslücken zu beheben“, sagt der Cyber-Sicherheitsexperte Rainer M. Richter. Als Abhilfe empfiehlt er Penetrationstests, also Selbstangriffe auf die eigene Infrastruktur zur Aufdeckung von Schwachstellen im Vorfeld. Laut Umfrage führen fast ein Drittel der Unternehmen (32 Prozent) keine Penetrationstests durch. Dabei sind autonome Penetrationstests für jede Unternehmensgröße unaufwändig, kostengünstig und vor allem proaktiv – genau das, was angesichts der rasant steigenden Cyberkriminalität notwendig ist, argumentiert Rainer M. Richter.

Sammelsurium von Risikofaktoren

Als weitere Bedrohungspotenziale wurden von den befragten Führungskräften folgende Punkte genannt (Zweifachnennung war erwünscht): falsch konfigurierte Software oder Hardware (16 Prozent), zu wenig Aufmerksamkeit für Sicherheit in der Firma (15 Prozent), Schatten-IT, also die Verwendung von Software oder Hardware abseits der Firmen-IT (13 Prozent), schwache und/oder nicht durchsetzbare Sicherheitsrichtlinien (9 Prozent), mangelndes Budget für Sicherheit (9 Prozent), unzureichend gesicherte Daten (8 Prozent) und schlechte oder unzureichende Sicherheitskontrollen (7 Prozent).

Wenn Daten in falsche Hände geraten

„Es ist kein Wunder, dass die Allianz in ihrem Risk Barometer 2024 Cyberattacken als das Top-Risiko für Unternehmen in Deutschland und weltweit einstuft“, erklärt Rainer M. Richter. „Die zunehmende Häufigkeit und Komplexität dieser Angriffe verdeutlicht, dass es für Unternehmen dringend notwendig ist, ihre Massnahmen zur Cyber-Sicherheit zu verstärken, um sich vor wirtschaftlichen Schäden und Reputationsverlust zu schützen.“

Horizon3.ai Gestohlehstellen Grafik

Gelangen sicherheitskritische Daten in die Hände von Kriminellen, kann dies zu erheblichen finanziellen Schäden führen. Dies äussert sich unter anderem in Lösegeldforderungen, mit denen 29 Prozent der befragten Unternehmen bereits konfrontiert waren. Darüber hinaus entstehen Kosten für die aufwändige Wiederherstellung der Daten, ganz zu schweigen von den Ausfallzeiten und möglichen rechtlichen Konsequenzen für das Unternehmen. Für kritische Infrastrukturen sind Datenverletzungen besonders problematisch, da sie die Funktionsfähigkeit essenzieller Systeme beeinträchtigen können. Die Hälfte der befragten Unternehmen gab zu, dass ihr Schutz gegen Cyberangriffe kaum oder gar nicht ausreichend ist. Weitere 32 Prozent erklärten, bereits Massnahmen ergriffen zu haben, die sie jedoch für unzureichend halten. Lediglich 12 Prozent der Befragten gaben an, dass ihr Schutz vor Cyberattacken vollständig sei.

Wir verwenden Cookies auf unserer Website. Einige von ihnen sind für den Betrieb der Website von wesentlicher Bedeutung, während andere uns dabei helfen, diese Website und die Benutzererfahrung zu verbessern (Tracking-Cookies). Sie können selbst entscheiden, ob Sie Cookies zulassen möchten oder nicht. Bitte beachten Sie, dass Sie möglicherweise nicht alle Funktionen der Website nutzen können, wenn Sie sie ablehnen.