82 Prozent der deutschen Unternehmen, die in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall zu verzeichnen hatten, hielten diesen geheim. So das Ergebnis einer Studie der Marktforschungsorganisation Ipsos im Auftrag des TÜV-Verbands, für die rund 500 Unternehmen befragt wurden. Demnach informierten lediglich 15 Prozent der Firmen die Öffentlichkeit über einen Vorfall, vier Prozent davon, weil sie gesetzlich dazu verpflichtet sind. Dies ist zum Beispiel der Fall, wenn personenbezogene Daten abfließen.
Fast drei Viertel der Befragten gaben an, dass sie es vermeiden, einen Cybersicherheitsvorfall öffentlich zu machen, weil sie einen Reputationsschaden befürchten (74 Prozent). Dem gegenüber sind 83 Prozent der Meinung, dass mehr Unternehmen Cybersicherheitsvorfälle öffentlich machen sollten, um das Risikobewusstsein zu schärfen.
Transparenz schärft Bewusstsein für Cyberattacken
Die Studie verdeutlicht: Bei den meisten Unternehmen fehlt es an Transparenz, wenn sie Opfer eines Cyberangriffs geworden sind. "In der öffentlichen Warnehmung wird die Schuld oft bei den Betroffenen gesucht", erklärt Marc Fliehe, Fachbereichsleiter für Digitalisierung und Bildung beim TÜV-Verband. "Auch wenn ein Unternehmen ein hohes Maß an Sicherheitsvorkehrungen trifft, kann es Opfer eines Cyberangriffs werden."
Transparenz könne hier ein Umdenken bewirken. Fliehe: "Das Publikmachen solcher Angriffe zeigt anderen Betroffenen, dass Cyberattacken ein weit verbreitetes Phänomen sind." Er fordert: "Unternehmen sollten eine aktive Informationspolitik betreiben und nicht zum Spielball von Hackern werden. Wir brauchen eine Kultur, in der auch der öffentliche Umgang mit Cybersicherheitsvorfällen selbstverständlich ist."
Cybersicherheit sei nicht nur ein Thema für die IT-Abteilung eines Unternehmens, sondern sollte auch eine Priorität für das Management sein, betont der TÜV-Experte. "Unternehmen sollten in moderne Hard- und Software investieren und sich gegebenenfalls von externen Experten beraten lassen." Auch Praxistests würden immer wichtiger, um Schwachstellen aufzudecken und in Notfallübungen den Ernstfall zu proben.
Neben der Prävention von Cyberangriffen sei es wichtig, Angriffe zu erkennen, schnellstmöglich zu reagieren und die IT-Systeme nach einem Sicherheitsvorfall wiederherzustellen, ergänzt Fliehe. Um einen Angriff so schnell wie möglich abzuwehren, sollte bereits im Vorfeld klar sein, welche Maßnahmen in welcher Reihenfolge ergriffen werden müssten. "Hacker greifen auch gerne an Feiertagen an, deshalb müssen Reaktionszeiten, Erreichbarkeiten und Kommunikationsabläufe vorher festgelegt werden." Um hier routiniert agieren zu können, sollten Unternehmen den Ernstfall vorher geprobt haben.
Lesetipp: Cybersicherheitslage in Deutschland weiterhin kritisch