Jeder vierte CEO unterschätzt Hackerattacken

Jeder vierte CEO unterschätzt Hackerattacken

Die Digitalisierung beschäftigt das Gros der Firmenlenker: Viele CEOs haben jedoch noch nicht ihre Hausaufgaben gemacht, wissen kaum etwas über die Gefahren im Netz. Der CEO Outlook 2015 hat ergeben, dass jeder vierte Firmenlenker noch nie an einem Seminar zur Cybersicherheit teilgenommen hat.

Ansprechpartner

Partner, Forensic

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

Mann am PC

Industrie 4.0, Big Data, Digitalisierung und Cybersecurity – neue Fachbegriffe wabern durch die Vorstandszimmer großer Konzerne, sollen Geschäftsfelder neu aufrollen und milliardenschwere Unternehmen fit für die Zukunft machen. Allem Anschein nach gehen nicht wenige Firmenchefs davon aus, dass ihnen die neuen Möglichkeiten risikolos serviert werden. Die Zahlen des CEO Outlook 2015 machen jedoch deutlich, dass das Risiko einer Hackerattacke noch nicht realistisch eingeschätzt wird. Denn jeder vierte CEO hat noch nie an einer Sitzung zu Cybersicherheit teilgenommen.

Für Alexander Geschonneck, der bereits in vielen Unternehmen Sicherheitslücken aufgespürt und Cyberkriminelle verfolgt hat, ist die laxe Einschätzung der Vorstandsvorsitzenden nicht verwunderlich: „Die Selbstauskunft, die die CEOs in der Studie gegeben haben, ist nachvollziehbar und erschreckend zugleich. Aus unser e-Crime Studie 2015 haben wir die Erkenntnis gewonnen, dass sich Unternehmen zwar durch Cyberrisiken allgemein bedroht fühlen, aber dennoch zu selten erkennen, dass sie konkret auch betroffen sein könnten.“ Erst nach einem Vorfall kommt es laut Geschonneck zu einem Sinneswandel. Ob es künftig reicht, einfach abzuwarten und die Daumen gedrückt zu halten, dass es das eigene Unternehmen nicht trifft, ist fraglich. Der Branchenkenner beobachtet: „Die kritischen Nachfragen von Aktionären und Aufsichtsräten nehmen zu. Im Prinzip kann sich kein CEO mehr erlauben, lediglich auf den IT-Maschinenraum zu verweisen. Das IT-Sicherheitsgesetz (ITSiG) ist da ein wegweisender Schritt, der zum Umdenken anregen wird – zumindest bei kritischen Infrastrukturen (KRITIS).“

Zu sorglos im Urlaub

Wie stark Unwissenheit und Desinteresse ausgeprägt sind, lässt sich besonders am Urlaubsverhalten von Arbeitnehmern ablesen. Sieben von zehn Arbeitnehmern beantworten laut Umfrage von Bitkom dienstliche Anrufe, E-Mails, WhatsApp-Nachrichten und denken allem Anschein nach zu wenig über das Netz nach, in dem sie sensible Daten austauschen. Wer sich beispielsweise für Urlaubsgrüße in sein E-Mailkonto über ein öffentliches W-LAN-Netz einloggt, hat womöglich sein Passwort mit einem Hacker geteilt. 

Hacker attackieren Hotels mit Trojanern

Im November 2014 hatte Kaspersky mit einer Enthüllung einen Coup gelandet. Der russische Anbieter von Sicherheitssoftware hatte darüber berichtet, dass wohl seit 2007 professionelle Kriminelle gezielt asiatische Luxushotels hacken und sensible Daten von den Gästen abschöpfen. Das Haupteinfallstor für die Schadsoftware war auch hier das hoteleigene W-LAN-Netz.

Die Cyberkriminellen verwendeten Spyware sowie Trojaner, die Lücken in gängigen Anwendungen wie Adobe Flash ausnutzen. Besonders tückisch: Bei der Software handelte es sich wohl um sogenannte Zero-Day-Exploits – also Schadsoftware, für die zum Zeitpunkt des ersten Auftretens noch kein Gegenpatch existiert, weil sie den Sicherheitstoolanbietern noch nicht bekannt sind. Geschonneck dazu: „Wenn ich als Angreifer mein Ziel nicht in seinem Firmennetz schaden kann, gehe ich dahin, wo es ohne vermeintliche Schutzmechanismen unterwegs ist. Dies betrifft eben nicht nur den physischen Diebstahl von IT, sondern auch den Angriff in unsicheren Umgebungen.“

Der Datenklau im Urlaub wird durch die digitale Unvernunft vieler Hotel- und Restaurantbetreiber sogar noch verstärkt. WatchGuard hatte international nachgefragt und herausgefunden, dass 71 Prozent aller weltweit befragten Hotels und Restaurants keine Einmal-Passwörter vergeben, die in kurzen Abständen geändert werden würden. Somit kann sich ein Angreifer in diese Netze einschleichen und auf die Lauer legen. Geschonneck berichtet noch von einer anderen Angriffsform: „Versierte Hacker müssen lediglich einen sogenannten W-LAN-Rogue Access Point im Hotel platzieren, also dem Nutzer vorspielen, dass er im Begriff ist, sich in das Netz des Hotels einzuwählen, dabei handelt es sich jedoch um eine Attrappe. Viele Anwender speichern die verwendeten W-LAN-SSIDs, bei erstmaliger Anwendung bereits fest im Smartphone, dem Notebook oder dem Tablet. Das Gerät verbindet sich dann automatisch mit diesem W-LAN, wenn man in der Nähe ist. Wer dann freimütig sensible Daten von A nach B schiebt oder selbst Daten empfängt, kann schnell Opfer werden.“

Der deutsche CEO Outlook 2015

Der deutsche CEO Outlook 2015

Was in den kommenden drei Jahren auf der Agenda der deutschen Unternehmenslenker steht, zeigt die Umfrage CEO Outlook 2015.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform