Führungskräfte investieren lieber in Lösegeld statt in IT-Sicherheit

Was oftmals in Unternehmen passiert, kann man schon fast skandalös nennen – und zwar auf mehreren Ebenen.

Aber von vorne. Der aktuelle Risk:Value-Report von NTT Security (1), der den IT-Sicherheitsstatus in Unternehmen auf der ganzen Welt ermittelt, kommt zu dem erschreckenden Ergebnis, dass fast die Hälfte der befragten Führungskräfte in deutschen und österreichischen Unternehmen lieber Ransomware-Angreifern ein Lösegeld zahlen, statt in die IT-Sicherheit zu investieren. Eine solche Vorgehensweise halten sie für – kostengünstiger.

Sind diese Unternehmen denn wirklich davon überzeugt, dass die Hacker nach Zahlung des Lösegelds den Datenzugriff wieder freigeben – vielleicht weil sie vertrauenswürdige Geschäftspartner sind? Können sie ausschließen, dass die Daten von den Angreifern nicht kopiert wurden und demnächst im Internet landen? Können sie sicher sein, das noch schlafende Ransomware-Viren auf den Rechnern nicht demnächst aktiv geschaltet werden, so dass das ganze Spiel von vorne beginnt? Und, vor allem, können die Verantwortlichen tatsächlich noch ruhig schlafen, wenn sie davon ausgehen müssen, dass Hacker jederzeit in ihre IT-Infrastruktur einbrechen können? Verkehrte Welt. Ransomware-Attacken sind übrigens gar nicht so selten, wie man denkt: deren Anteil an allen Malware-Angriffen in EMEA liegt bei rund 30 Prozent, so der Risk:Value-Report.

Mit der Entscheidung, Lösegeld zu zahlen statt in Security zu investieren, setzen diese Unternehmen nicht nur ihre IT und ihre Zukunft aufs Spiel, sondern riskieren auch den Diebstahl ihrer Kundendaten. Tatsächlich sind mehr als die Hälfte der Befragten in der Studie der Meinung, ihre kritischen Daten seien nicht wirklich sicher gespeichert. Noch beunruhigender ist allerdings, dass dieser Anteil gegenüber dem Vorjahr um fast zehn Prozent gestiegen ist.

Was auch immer der Grund für diese Zunahme ist, das Risiko ist bekannt, und Unternehmen müssten schnellstmöglich darauf reagieren. Wichtigste und dringendste Maßnahme wäre auf jeden Fall die Erhöhung des IT-Sicherheitsbudgets.

Genau das Gegenteil findet statt: Trotz der steigenden Gefahr für ihre kritischen Daten – sei es durch Datenklau oder die Korrumpierung der Infrastruktur – verringern Unternehmen den Anteil ihrer IT-Sicherheitsbudgets sogar (gemessen am Gesamt-IT-Budget). Allein in den 300 befragten Betrieben in Deutschland und Österreich sank er im Durchschnitt von 15 Prozent in 2017 auf 13 Prozent in 2018. Die Unternehmen investieren stattdessen in Lösegeld. Ist dies de facto ein Eingestehen der Handlungsunfähgkeit, um das Unternehmen gegenüber Cybercrime abzusichern?

Der Unterschied zwischen 15 und 13 Prozent mag zunächst marginal erscheinen, aber darum geht es gar nicht. Vielmehr verbirgt sich dahinter eine Entwicklung, die nachdenklich stimmt. Schließlich sollten sich Führungskräfte nicht mit der Frage beschäftigen, wieviel Budget sie zusammenstreichen können, sondern überlegen, was die Tragweite eines zu knappen IT-Sicherheitsbudgets ist. Sie kann sehr weitreichend sein, angesichts

  • immer mehr kritischer Daten, die nicht vollständig sicher gespeichert sind – zumindest nach Meinung der befragten Führungskräfte
  • immer aggressiverer und raffinierterer Cyberattacken von Hackern, die den Takt vorgeben, unter anderem deshalb, weil auch sie mittlerweile KI entdeckt haben und für ihre betrügerischen Zwecke nutzen
  • einer mittlerweile strengen Gesetzgebung (DSGVO) mit empfindlichen Geldbußen
  • einer sich verändernden Kundenwahrnehmung, die dem Unternehmensimage einen immer höheren Stellenwert einräumt und Datenverluste sehr kritisch bewertet – zumal es eigene Kundendaten sein können.

Die Haltung in den Unternehmen muss sich grundlegend ändern. 43 Prozent der befragten Führungkräfte haben angegeben, bereits Opfer von Sicherheitsvorfällen gewesen zu sein. Hier ist eine Bewusstseinsschärfung dringend notwendig: Es mag tatsächlich sein, dass 43 Prozent der Unternehmen einen Sicherheitsvorfall festgestellt haben. NTT Security geht aber davon aus, dass die große Mehrheit der Unternehmen bereits gehackt wurde: Viele haben es nur noch nicht bemerkt. Ein Grund mehr, über höhere IT-Sicherheitsbudgets nachzudenken – und nicht über eine größere Lösegeld-Kriegskasse.

* Kai Grunwitz ist Senior Vice President EMEA bei NTT Security

 

(1) Die Risk:Value-Studie wurde vom Marktforschungsunternehmen Vanson Bourne im Auftrag von NTT Security im Februar und März 2018 durchgeführt. Dabei wurden weltweit 1.800 Führungskräfte in Deutschland und Österreich, Benelux, Frankreich, Großbritannien, Norwegen, Schweden, der Schweiz sowie in Australien, Hongkong, Singapur und den USA zu Themen rund um IT und IT-Sicherheit befragt. Das „Risk:Value Executive Summary“ steht zum Download unter https://www.nttsecurity.com/de-de/risk-value-2018 zur Verfügung.