Informationsdefizite fördern Cyberkriminalität – Information deficits promote cybercrime

Besorgniserregend ist jedoch, dass sich viele Unternehmen trotz bekannter Sicherheitsrisiken nicht ausreichend gegen Hackerangriffe schützen. Woran liegt es, dass Unternehmen nach wie vor erhebliche Sicherheitslücken aufweisen? Das aktuelle Nevis Security Sicherheitsbarometer geht dieser Frage auf den Grund und untersucht die aktuelle Stimmung im Bereich der IT-Security. Die Ergebnisse zeigen auch Unterschiede zwischen Ost- und Westdeutschland.

Entwicklung der Cyberkriminalität in Deutschland

Unternehmen spüren zunehmend die negativen Auswirkungen der steigenden Cyberangriffe. Gerade in Branchen, die mit sensiblen Daten arbeiten, können Angriffe schwerwiegende Folgen haben. Denn neben direkten finanziellen Verlusten können auch das Vertrauen der Öffentlichkeit und die Kundenbindung betroffen sein, wenn Hacker Zugriff auf Unternehmensdaten erlangen. Die Folgen von Cyberkriminalität sind auch den IT-Entscheidern bewusst. So gaben fast 60 Prozent bei der aktuellen Studie von Nevis an, dass sie eine verschärfte Bedrohungslage wahrnehmen. Dennoch haben viele Unternehmen mit erheblichen Sicherheits- und Wissenslücken zu kämpfen.

So wurden im vergangenen Jahr knapp 55 Prozent der befragten Unternehmen Opfer einer Attacke. Dabei waren 26 Prozent der Unternehmen von Ransomware-Angriffen betroffen. Dicht gefolgt von Denial-of-Service-Attacken (DoS) mit 20 Prozent, Brute-Force-Attacken mit 18 Prozent und Social Engineering mit 17 Prozent. Lediglich das Credential Stuffing weist mit nur sechs Prozent einen niedrigen Wert auf. Allerdings ist bei dieser Angriffsvariante von einer hohen Dunkelziffer auszugehen, da sich die Angreifer mit den Daten der Nutzer einloggen und somit oft unentdeckt bleiben.

Dabei zeichnen sich Unterschiede hinsichtlich der Sicherheitsstrategie und dem Informationsstand der IT-Entscheider zwischen Ost- und Westdeutschland ab.

Während im Westen knapp 45 Prozent angaben, noch nie Opfer einer Cyberattacke gewesen zu sein, konnten in den neuen Bundesländern rund 10 Prozent mehr die Aussage bestätigen. Interessant ist dies vor allem vor dem Hintergrund, dass die IT-Entscheider im Osten als auch im Westen deutliche Wissenslücken über gängige Cybersicherheitsstandards aufweisen. Im Rahmen der Befragung sollten die IT-Entscheider angeben, welche der folgenden Standards sie kennen: Fast Identity Online (FIDO), Security Assertion Markup Language (SAML), OpenID Connect (OIDC), Open Authorization (OAuth) und WebAuthn. Das Ergebnis ist erschreckend: 68 Prozent der Befragten aus den neuen Bundesländern gaben an, keinen der genannten Sicherheitsstandards zu kennen. Im Westen sind es knapp 40 Prozent.

Dies deutet auf erhebliche Wissenslücken hin, die die Cybersicherheit der Unternehmen gefährden. Erschreckend ist aber auch ein Trend, der sich bereits im Nevis Sicherheitsbarometer 2021 abzeichnete. Trotz der stetig steigenden Bedrohungslage ist die Cybersicherheit in vielen Unternehmen noch lange nicht so gut, wie sie sein sollte. Gleiches gilt für den Informationsstand vieler IT-Entscheider. So ist die meistgenannte Maßnahme zur Verbesserung der Sicherheit sowohl im Osten (62 Prozent) als auch im Westen (65 Prozent) immer noch die Vorgabe einer Mindestlänge für Passwörter. Dicht gefolgt von der Aufforderung, Passwörter regelmäßig zu ändern.

Und dass, obwohl Passwörter bekanntlich als Achillesferse der Datensicherheit im Internet gelten. Schließlich können sie von Cyberkriminellen am leichtesten abgefangen, ausspioniert oder durch Brute-Force-Angriffe geknackt werden. Zudem hat sich durch die endlose Abfrage von Passwörtern eine regelrechte Passwortmüdigkeit eingeschlichen. Dies hat dazu geführt, dass viele Nutzerinnen und Nutzer gängige Sicherheitsstandards vernachlässigen und damit die Datensicherheit gefährden.

Diskrepanz zwischen Kundenerwartungen und IT-Entscheidern

Die Befragung zeigte außerdem, dass viele Unternehmen die Bedürfnisse der Endnutzer bezüglich Cybersicherheit falsch einschätzen. Auf Verbraucherseite steigt die Sorge vor einer Zunahme der Cyberkriminalität: Fast 70 Prozent der Studienteilnehmer sehen im Missbrauch ihrer Daten die größte Gefahr. IT-Verantwortliche unterschätzen aber das Bedürfnis der Verbraucher nach umfassendem Datenschutz. So zeigen die Ergebnisse der Umfrage, dass die befragten Verantwortlichen dem Schutz von Kundendaten weniger Bedeutung beimessen als die Kunden selbst.

So werden effizientere und effektivere Sicherheitsstandards wie die Zwei-Faktor-Authentifizierung (2FA) per SMS im Schnitt von 33 Prozent der Unternehmen genutzt. Die biometrische Authentifizierung implementieren lediglich 24 Prozent der Firmen im Westen und 12 Prozent im Osten. Auffällig ist, dass die IT-Entscheider im Westen fast ausnahmslos die Vorteile dieser Sicherheitsmaßnahme wie erhöhte Sicherheit für den Nutzer, Schutz vor Accountübernahme, verbesserter Datenschutz, für den Nutzer erkennen.

Gleiches gilt für die Kollegen aus dem Osten. Sie bemängeln jedoch den hohen Zeitaufwand, der mit dieser Art der Authentifizierung verbunden ist. Gleichzeitig schätzen alle Befragten die Bereitschaft ihrer Kunden, biometrische Daten für ein sicheres Login zu nutzen, grundsätzlich als gering ein. Nur 10 Prozent der IT-Entscheider im Osten halten die Bereitschaft für hoch, 70 Prozent für gering. Etwas besser sieht es im Westen aus. Hier schätzen 20 Prozent der IT-Entscheider die Bereitschaft als hoch und 52 Prozent als niedrig ein. Tatsächlich würden sich aber viele Kunden sicherer fühlen, wenn Unternehmen biometrische Authentifizierung anbieten würden.

Sicherheits- und Wissenslücken schließen

Die Studie zeigt, dass sich Unternehmen auf die wachsenden Cyberbedrohungen einstellen und wirksame Maßnahmen zum Schutz von Daten und Identitäten im Netz ergreifen müssen. Unternehmen und Verbraucher sollten sich nicht auf Passwörter verlassen, denn diese gelten als ein Auslaufmodell der IT-Sicherheit. Daher ist es wichtig eine Zwei- oder Multikfatorauthentifizierung einzusetzen, um wirksame und effiziente Schutzmaßnahmen bereitzustellen. Ein weiterer Schritt in Richtung Sicherheit sind biometrische Verfahren wie Gesichtserkennung oder auch Verhaltensanalysen. Diese Verfahren sind nicht nur sicher, sondern auch benutzerfreundlich. Der sichere Umgang mit digitalen Identitäten und sensiblen Daten muss aber nicht teuer und komplex sein. Mit leistungsfähigen und sicheren Lösungen wie Customer Identity und Access Management Systemen oder auch CIAM-Plattformen können Identitäten und Zugriffsberechtigungen zentral und sicher verwaltet werden.

What is worrying, however, is that many companies are not protecting themselves adequately against hacker attacks despite known security risks. Why do companies still have significant security gaps? The current Nevis Security Barometer gets to the bottom of this question and examines the current mood in the area of IT security. The results also show differences between eastern and western Germany.

Development of cybercrime in Germany

Companies are increasingly feeling the negative effects of rising cyberattacks. Especially in industries that work with sensitive data, attacks can have serious consequences. This is because, in addition to direct financial losses, public trust and customer loyalty can also be affected if hackers gain access to company data. IT decision-makers are also aware of the consequences of cybercrime. In fact, nearly 60 percent in Nevis Security recent survey said they perceive a heightened threat environment. Yet many companies struggle with significant security and knowledge gaps.

Last year, for example, nearly 55 percent of the companies surveyed were victims of an attack. Of these, 26 percent of companies were affected by ransomware attacks. This was closely followed by denial-of-service (DoS) attacks at 20 percent, brute force attacks at 18 percent and social engineering at 17 percent. Only credential stuffing has a low value, at only six percent. However, a high number of unreported cases can be assumed for this type of attack, as the attackers log in with the user’s data and thus often remain undetected.

There are differences between eastern and western Germany in terms of security strategy and the level of information among IT decision-makers.

While about 45 percent in the west stated that they had never been the victim of a cyberattack, around 10 percent more in the eastern states were able to confirm the statement. This is particularly interesting in light of the fact that IT decision-makers in both the east and the west have significant gaps in their knowledge of current cybersecurity standards. As part of the survey, IT decision-makers were asked to indicate which of the following standards they were familiar with: Fast Identity Online (FIDO), Security Assertion Markup Language (SAML), OpenID Connect (OIDC), Open Authorization (OAuth) and WebAuthn. The results are shocking: 68 percent of respondents from the new federal states said they knew none of the security standards mentioned. In the west, the figure is just under 40 percent.

This indicates significant gaps in knowledge that jeopardize companies‘ cybersecurity. However, a trend that was already apparent in the Nevis Security Barometer 2021 is also alarming. Despite the steadily increasing threat level, cybersecurity in many companies is still nowhere near as good as it should be. The same applies to the level of information of many IT decision-makers. For example, the most frequently cited measure for improving security in both the East (62 percent) and the West (65 percent) is still the specification of a minimum length for passwords. This is closely followed by the request to change passwords regularly.

This is despite the fact that passwords are known to be the Achilles‘ heel of data security on the Internet. After all, they are the easiest for cybercriminals to intercept, spy on or crack using brute force attacks. In addition, a veritable password fatigue has crept in due to the endless retrieval of passwords. This has led to many users neglecting common security standards and thus endangering data security.

Discrepancy between customer expectations and IT decision-makers

The survey also showed that many companies misjudge end users‘ cybersecurity needs. On the consumer side, there is growing concern about an increase in cybercrime: almost 70 percent of study participants see the misuse of their data as the greatest danger. However, IT managers underestimate consumers‘ need for comprehensive data protection. The results of the survey show that the managers surveyed attach less importance to the protection of customer data than the customers themselves.

More efficient and effective security standards such as two-factor authentication (2FA) via SMS are used by 33 percent of companies on average. Biometric authentication is implemented by only 24 percent of companies in the West and 12 percent in the East. It is striking that the IT decision-makers in the West almost without exception recognize the advantages of this security measure, such as increased security for the user, protection against account takeover, improved data protection.

The same applies to their colleagues in the east. However, they criticize the high time expenditure associated with this type of authentication. At the same time, all of the respondents generally rate their customers‘ willingness to use biometric data for a secure login as low. Only 10 percent of IT decision-makers in the east consider their readiness to be high, while 70 percent consider it to be low. The situation is somewhat better in the west. Here, 20 percent of IT decision-makers rate readiness as high and 52 percent as low. In fact, however, many customers would feel more secure if companies offered biometric authentication.

Closing security and knowledge gaps

The study shows that companies need to adapt to growing cyber threats and take effective measures to protect data and identities online. Businesses and consumers should not rely on passwords, as they are considered an end-of-life model of IT security. Therefore, it is important to use two-factor or multi-factor authentication to provide effective and efficient protection measures. Another step towards security are biometric procedures such as facial recognition or even behavioral analysis. These methods are not only secure, but also user-friendly. However, secure handling of digital identities and sensitive data does not have to be expensive and complex. With powerful and secure solutions such as customer identity and access management systems or CIAM platforms, identities and access authorizations can be managed centrally and securely.