Schweizer Firmen unterschätzen die Cyberrisiken beim Internet der Dinge. In einer KPMG-Studie gaben über die Hälfte der befragten Firmen an, diesbezüglich keinen Überblick über ihre Risikosituation zu haben.

Das verunmögliche einen wirksamen Schutz vor Cyberattacken, hielt die Wirtschaftsprüfungs- und Beratungsgesesellschaft KMPG in ihrer Studie zur Cybersicherheit fest, die am Dienstag vor den Medien in Zürich veröffentlicht wurde. Die vierte industrielle Revolution und die immer stärkere Vernetzung verschiedener Geräte mit dem Internet bringe auch ein immenses Sicherheitsrisiko mit sich.

Denn vernetzte Technologielandschaften böten deutlich mehr Angriffsflächen. Durch das Internet der Dinge können Cyberattacken handfeste Schäden in der physischen Welt anrichten, hiess es in der Studie. So könnten etwa Produktionsanlagen, Energienetze, vernetzte Autos, Apparate in Spitälern oder Herzschrittmacher Ziel von Angriffen werden, sagte KPMG-Cybersicherheitsspezialist Matthias Bossardt.

Viele kümmern sich zu wenig

Heute seien über 13 Milliarden Geräte weltweit mit dem Internet vernetzt. Bis 2020 könnten es gemäss Schätzungen 25 bis 50 Milliarden Geräte sein. Zwar würden zwei Drittel aller befragten 60 Schweizer Unternehmen fürchten, dass die herkömmliche Kontrolle über die Geräte nicht mehr funktionieren würde. Dennoch würden sich viele Unternehmen viel zu wenig mit den Sicherheitsaspekten der Industrie 4.0 auseinandersetzen.

«Man müsste zuerst mal verstehen, welche Geräte man im Unternehmen hat», sagte Bossardt. Darunter sei beispielsweise die Gebäudeautomation, mit der man Gebäude schliessen könne. «Da machen sich nur wenige Unternehmen Gedanken.»

Dabei gebe es zwei Geschwindigkeiten: Es gebe Unternehmen, die sich der laufend ändernden Bedrohungslage anpassen wollten. «Andere hingegen drohen hier komplett den Anschluss zu verlieren und gefährden so mittelfristig die Grundlage ihrer Geschäftstätigkeiten», sagte Bossardt.

Opfer von Angriffen

Dabei grassiert die Internetkriminalität bereits jetzt: In den letzten zwölf Monaten seien über die Hälfte (54 Prozent) der befragten Unternehmen Opfer einer Cyberattacke geworden.

Bei 44 Prozent der betroffenen Betriebe sorgten die Angriffe für eine gravierende Störung der Geschäftsprozesse. Gut ein Drittel erlitt einen finanziellen Schaden. Ein Viertel der betroffenen Firmen befürchtet, durch die Attacken einen Reputationsschaden davongetragen zu haben.

Am häufigsten hätten die Kriminellen dabei Phishingmails (84 Prozent), Schadsoftware (80 Prozent) angewendet. Das ist eine deutliche Zunahme im Vergleich zum Vorjahr, als erst in 68 Prozent der Fälle Phishingmails und in 59 Prozent der Fälle Schadsoftware zum Einsatz kamen.

Auch das so genannte Social Engineering war bei 64 Prozent der Unternehmen deutlich häufiger im Einsatz als im Vorjahr (38 Prozent). Dabei werden die Opfer durch falsche Identitäten, durch das Vorgaukeln von sozialen Netzwerken oder durch das Vorspielen von falschen Chef- oder Amtsfunktionen manipuliert.

Anzeige

Vorgaukeln falscher Chefs

Während beispielsweise der Finanzchef wegen einer Übernahme in China weilt, erhält einer seiner Untergebenen einen Anruf von einem Kriminellen, der sich als Konzernchef ausgibt und die Überweisung eines Millionenbetrages angeblich an den betroffenen Verkäufer auf ein bestimmtes Konto verlangt.

Der angebliche Konzernchef versichert dem Angestellten, dass in einer Stunde die Wirtschaftsprüfungsgesellschaft des Unternehmens anrufen und die Transaktion sowie die Bankangaben bestätigen würde. In einer Stunde kommt tatsächlich ein Anruf von jemandem, der sich als Zuständiger der Wirtschaftsprüfungsgesellschaft vorstellt, tatsächlich aber ein Krimineller ist.

Darauf würden viele Angestellte von Unternehmen hereinfallen, hiess es. Das sei eine ausgeklügelte Variante des Enkeltrickbetrugs.

So können nicht nur Attacken von aussen grossen Schaden anrichten, auch interne Gefahrenquellen sind nicht zu unterschätzen. Viele Cyberkriminelle würden sich den Faktor Mensch zu nutze machen und so technische Abwehrhürden umgehen. Aus diesem Grund müssten Firmen in Zukunft vermehrt auch weichere Faktoren, wie etwa die Unternehmenskultur in ihren Sicherheitsüberlegungen berücksichtigen und nicht bloss die Technologie, hiess es.

(sda/ccr)