Sicherheitsexperten: Bedrohungslage erreicht Fünfjahreshoch

Mehr als jede zweite Organisation (52 Prozent) im DACH-Raum war bereits von Cyberangriffen betroffen.

54 Prozent der Befragten im SoSafe Human Risk Review   schätzen das Risiko, dass Cyberangriffe erhebliche negative Auswirkungen auf ihr Unternehmen haben, als hoch ein. Nur 44 Prozent sind der Auffassung, dass die Cyberangriffe auf den Faktor Mensch zurückzuführen sind, während Forrester prognostiziert, dass 2024 bei 90 Prozent aller Datenschutzverstöße der menschliche Faktor beteiligt sein wird. Außerdem geben 3 von 4 Befragten (75 Prozent) an, dass die Zufriedenheit ihrer Mitarbeitenden eine zentrale Rolle für die Cybersicherheit des Unternehmens spielt.

Der Report stellt drei Hauptursachen für die zunehmende Gefährdung fest: neue Technologien, globale Instabilität und Interkonnektivität.

• 76 Prozent der Sicherheitsverantwortlichen im DACH-Raum gaben an, dass die Nutzung generativer KI durch Cyberkriminelle ein Grund zur Besorgnis ist. Laut 71 Prozent der Befragten stellt insbesondere die Deepfake-Technologie ein Risiko für Unternehmen dar.
  
• Die zunehmende globale Unsicherheit befeuert Cyberkriminalität: 73 Prozent der Sicherheitsbeauftragten sind der Meinung, dass die geopolitische Situation die Sicherheitsrisiken ihrer Organisation erhöht hat.
  
• Die digitale Welt ist zunehmend miteinander verflochten, was Cyberkriminelle vermehrt in vernetzte Systeme wie Lieferketten eingreifen lässt. 74 Prozent der Sicherheitsexpertinnen und -experten gaben an, dass die Sicherheit von Lieferketten für sie zu einem wichtigen Thema geworden ist.
  Mensch bleibt entscheidender Faktor in der Cybersicherheit.

Standard-Phishing-E-Mails, die es schon seit Jahrzehnten gibt, sind immer noch wirksam. Zu Beginn eines Cybersecurity-Trainings stellte SoSafe fest, dass 37 Prozent der Menschen auf schädliche Links klicken, wobei 38 Prozent von ihnen nach diesem Klick weiter damit interagieren, indem sie beispielsweise Formulare ausfüllen und persönliche Daten weitergeben. Inhalte, die mit Autorität, Druck oder Angst sowie mit Vertrauen zu tun haben, weisen die höchsten Klickraten auf. Die erfolgreichste Betreffzeile simulierter Phishing-Mails war "Gehaltsabrechnungsfehler"; sie spielt mit dem Auslösen von Druck und Angst und erzielte eine Klickrate von 62 Prozent.

Die fünf häufigsten Angriffsarten, die von Unternehmen genannt wurden, sind Phishing, Malware, DDoS, Ransomware und Social-Engineering-Angriffe, die über Phishing und Vishing hinausgehen. Interessant dabei: Auch Angriffe wie Malware und Ransomware beginnen in der Regel (in 80 Prozent der Fälle) mit Phishing oder anderen Arten der menschlichen Manipulation.

Angriffe erfolgen zunehmend über mehrere Kanäle. In diesem Jahr hat SoSafe QR-Codes, Lieferketten oder Drittanbieter und physische Sicherheitsverletzungen als wachsende Bedrohungsvektoren gemessen, die von Cyberkriminellen genutzt werden. E-Mail bleibt der beliebteste Kanal für Phishing-Angriffe, die Dominanz geht hier tendenziell zurück (von 61 Prozent auf 51 Prozent von 2022 bis 2023), da eine Diversifizierung stattfindet.

Starke technische Sicherheitsmaßnahmen sind zwar unerlässlich, aber sie allein schützen nicht vor den Taktiken moderner Cyberkrimineller. Bereits 87 Prozent der Sicherheitsbeauftragten sehen den Aufbau einer ganzheitlichen Sicherheitskultur im Unternehmen - unter Einbezug ihrer Mitarbeitenden - als klare Priorität.

Nahezu alle Unternehmen (99 Prozent der Befragten) gaben an, dass leitende Angestellte und der Vorstand an der Verwaltung und Entscheidungsfindung im Bereich der Cybersicherheit beteiligt sind. Gleichzeitig gaben weniger als die Hälfte der Befragten im DACH-Raum (43 Prozent) an, dass der Fokus auf Cybersicherheit aufseiten der Geschäftsleitung ansteigt. Zum Vergleich: In Großbritannien sind es 73 Prozent und in Spanien 66 Prozent. Ein Fünftel im DACH-Raum sagte, dass der Fokus nachlässt; bei 10 Prozent der Befragten im DACH-Raum ist Cybersecurity noch gar keine Unternehmenspriorität.

Gleichzeitig gab über die Hälfte der Befragten (53 Prozent) an, dass das Budget für Cybersecurity in den letzten zwei Jahren angestiegen ist, der Großteil (47 Prozent) reagierte damit auf die aktuelle Bedrohungslage und 40 Prozent auf konkrete Sicherheitsvorfälle oder -verstöße.