Fünf Jahre Umfragedaten zeigen kleine Fortschritte bei der Cyber-Bereitschaft

Es ist keine große Neuigkeit zu erklären, dass in den letzten fünf Jahren die Bedrohungen für die Cybersicherheit viel, viel schlimmer geworden sind. Die interessanteren Fragen sind: Haben sich die von den Unternehmen eingesetzten Schutzmaßnahmen und Abwehrmechanismen verbessert? Und haben sie mit den neuen Bedrohungen Schritt gehalten?

Ein Blick zurück und ein Vergleich der Ergebnisse des jährlichen Mimecast-Berichts State of Email Security 2021 (SOES) mit früheren Ausgaben (die Studie wurde erstmals 2017 durchgeführt) wirft ein interessantes Licht auf uns. Hier sind fünf Hauptprobleme und ihre Entwicklung über den Fünfjahreszeitraum.

1. Die Cyberbedrohungslandschaft
   
   Während sich die von Cyberkriminellen angewandten Taktiken und die Mischung der Angriffsarten verändert haben, sind zwei Punkte in den letzten fünf Jahren bemerkenswert konstant geblieben: Das Volumen der Bedrohungen hat von Jahr zu Jahr dramatisch zugenommen, und die E-Mail ist nach wie vor der wichtigste Übertragungsweg für diese Angriffe.
   
   Um dies zu quantifizieren, gaben 2018 90 % der weltweit befragten Unternehmen an, dass das Volumen der Phishing-Angriffe in den letzten 12 Monaten im Vergleich zum Vorjahr gestiegen oder gleich geblieben ist. Im Jahr 2019 meldeten 67 % einen Anstieg gegenüber dem Vorjahr. Im Jahr 2020 gaben 58 % an, dass das Volumen der Phishing-Angriffe gestiegen sei. Und in diesem Jahr meldeten 64 % einen Anstieg des Volumens von E-Mail-Bedrohungen, was zu einem großen Teil auf die COVID-19-Pandemie zurückzuführen ist.
   
   Die Erwartungen an einen E-Mail-Angriff sind ebenfalls konstant hoch geblieben. Im Jahr 2018 gingen 59 % der befragten Unternehmen davon aus, dass ihr Unternehmen durch einen solchen Angriff geschädigt werden würde. Zwei Jahre später, mitten in der Pandemie, gaben sieben von zehn Unternehmen an, dass sie dies auch für 2021 erwarten.
   
2. Phishing und andere von E-Mails ausgehende Gefahren
   
   In diesem Fünfjahreszeitraum waren drei Formen von E-Mail-Angriffen vorherrschend: Phishing, Impersonation und Kompromittierung von Geschäfts-E-Mails. In den letzten zwei Jahren, als die Pandemie stattfand, gab es auch einen deutlichen Anstieg des Speer-Phishings - eine besondere Form des Phishings, bei der bestimmte Personen ins Visier genommen werden. Jedes Jahr war das Volumen dieser Angriffe größer als im Vorjahr, und auch die Zahl der Unternehmen, die von einem oder mehreren erfolgreichen Angriffen betroffen waren, ist gestiegen.
   
   Von Jahr zu Jahr sind diese Angriffe auch schwieriger zu erkennen geworden. In der SOES-Umfrage 2021 gaben beispielsweise 60 % der Teilnehmer an, dass sie die zunehmende Raffinesse der Angriffe, mit denen sie konfrontiert sind, als ihre größte Sicherheitsherausforderung betrachten.
   
3. Hier, dort, Ransomware
   
   In den letzten fünf Jahren haben sich Ransomware-Bedrohungen stärker verbreitet als jede andere Art von E-Mail-Angriffen. Die Ergebnisse der SOES-Umfrage sprechen eine deutliche Sprache: Im Jahr 2018 gaben nur 27 % der Befragten an, dass ein Ransomware-Angriff in den letzten 12 Monaten negative Auswirkungen auf ihre Geschäftsabläufe hatte. Diese Zahl stieg 2019 auf 53 % und blieb 2020 mehr oder weniger konstant bei 51 %. In der Umfrage von 2021 stieg diese Zahl jedoch wieder an: 61 % der Befragten gaben an, dass ein Ransomware-Angriff ihren Geschäftsbetrieb im vergangenen Jahr gestört hat.
   
   Die Auswirkungen dieser Unterbrechungen haben ebenfalls zugenommen. Im Jahr 2020 berichteten Unternehmen, dass sie aufgrund eines Ransomware-Angriffs im Durchschnitt drei Tage Ausfallzeit hatten. Im Jahr 2021 verdoppelte sich die Ausfallzeit auf durchschnittlich sechs Tage; für mehr als ein Drittel der betroffenen Unternehmen (37 %) betrug sie eine Woche oder mehr.
   
4. Werden Unternehmen widerstandsfähiger gegen Cyberangriffe?
   
   Trotz der wachsenden Gefahr von Cyberangriffen ist die Zahl der Unternehmen, die Maßnahmen zum Schutz vor solchen Bedrohungen ergriffen haben, gleich geblieben. Im Jahr 2019 - dem ersten Jahr, in dem die Unternehmen im Rahmen der SOES-Umfrage gefragt wurden, ob sie über eine Cyber-Resilienz-Strategie verfügen - gab weniger als die Hälfte (46 %) an, dass dies der Fall sei. Dieser Prozentsatz stieg 2020 geringfügig auf 49 % und sank dann in diesem Jahr wieder auf 44 %.
   
   Unterdessen steigt die Zahl der Unternehmen, die zugeben, dass sie durch das Versäumnis, eine Cyber-Resilienz-Strategie zu entwickeln und umzusetzen, geschädigt wurden. Im Jahr 2019 gaben 31 % der von SOES befragten Unternehmen an, dass ihre mangelnde Cyber-Bereitschaft zu einer Unterbrechung der Geschäftstätigkeit führte. Diese Zahl ging 2020 leicht auf 29 % zurück, stieg dann aber in der Umfrage 2021 auf 38 % an.
   
   Ebenso gaben 2019 33 % der Befragten zu, dass ihre mangelnde Vorbereitung auf einen Cyberangriff die Produktivität der Mitarbeiter beeinträchtigt hat. Diese Zahl sank 2020 wieder etwas auf 29 %, stieg aber in der Umfrage 2021 wieder auf mehr als ein Drittel (36 %) der Unternehmen an.
   
   Die Daten der Fünfjahresumfrage bestätigen auch die Annahme , dass Unternehmen mit einer Cyber-Resilienz-Strategie zuversichtlicher und sicherer im Umgang mit einem Angriff sind als solche ohne Strategie. Im Jahr 2019 gaben 85 % der Unternehmen ohne Cyber-Resilience-Strategie an, dass sie in den letzten 12 Monaten Verluste aufgrund eines Imitationsangriffs erlitten haben, während nur 61 % der Unternehmen mit einer solchen Strategie dieselbe Art von Verlusten erlitten. Ebenso gaben 2021 mehr als ein Drittel (35 %) der Befragten aus Unternehmen mit einer Cyber-Resilienz-Strategie an, dass es unwahrscheinlich, sehr unwahrscheinlich oder sogar unmöglich ist, dass ihr Unternehmen durch einen E-Mail-Angriff geschädigt wird. Im Vergleich dazu waren nur 22 % der Befragten aus Unternehmen ohne eine solche Strategie dieser Meinung.
   
5. Menschliches Versagen und Schulungen zum Thema Cybersicherheit
   
   Ein wichtiges - vielleicht das entscheidendste - Element der Cyber-Resilienz ist, wie gut die Mitarbeiter eines Unternehmens darauf vorbereitet sind, einen E-Mail-Angriff zu erkennen und abzuwehren. In dieser Hinsicht ergibt sich aus den SOES-Daten der letzten fünf Jahre ein ausgesprochen gemischtes Bild.
   
   Was die Verringerung riskanter Verhaltensweisen von Mitarbeitern angeht, so sind Verhaltensweisen wie schlechte Passworthygiene und unbeabsichtigte Datenlecks rückläufig. Die Zahl der Unternehmen, die ihren Mitarbeitern fortlaufend Schulungen zum Thema Cybersicherheit anbieten, ist jedoch ebenfalls rückläufig, auch wenn die Zahl der Organisationen, die solche Schulungen monatlich anbieten, steigt.

Die Quintessenz

Wie die SOES-Daten der letzten fünf Jahre zeigen, nehmen die Cyberbedrohungen, denen Unternehmen weltweit ausgesetzt sind, weiter zu und werden immer bösartiger. Vor allem in diesem und im letzten Jahr haben bösartige Akteure aus dem Chaos, das durch eine globale Ansteckung entstanden ist, schnell Kapital geschlagen und ihre Angriffe verstärkt. Um diese Herausforderung zu meistern, ist die Vorbereitung auf Cyberangriffe der Schlüssel. In der Tat sind Unternehmen mit einer Cyber-Resilienz-Strategie zuversichtlicher, was ihre Fähigkeit angeht, Angriffe per E-Mail zu verhindern und zu widerstehen. Aber mehr als die Hälfte der befragten Unternehmen ist in diesem wichtigen Bereich noch im Rückstand.