Symantec-Studie zeigt sinkendes Interesse an Cybergefahren bei Betreibern kritischer Infrastrukturen
Unternehmen aus Schlüsselindustrien zeigen ein geringeres Interesse an staatlichen Schutzprogrammen und sind schlechter auf etwaige Angriffe vorbereitet als 2010
Das Interesse an der Teilnahme an staatlichen Programmen zum Schutz kritischer Infrastrukturen ist in Unternehmen im Vergleich zu 2010 weltweit gesunken. In Deutschland wissen nur 34 Prozent der Firmen von derartigen Programmen. Dies ist das Ergebnis der "Critical Infrastructure Protection (CIP) Survey 2011", bei der Symantec bereits zum zweiten Mal Unternehmen aus Schlüsselindustrien wie Banken oder der Energieversorgung befragte.
Hinzu kommt, dass Unternehmen weniger Ressourcen für die Sicherheit ihrer IT bereitstellen. Dies ist besonders beunruhigend, da ein Cyberangriff auf Unternehmen mit kritischen Infrastrukturen weitreichende Folgen für die nationale Sicherheit haben kann.
Attacken wie Nitro und Duqu zielen auf Schwachstellen in kritischen Infrastrukturen ab. Vor diesem Hintergrund beunruhigen die Ergebnisse der neuen Symantec-Studie. Sie untersuchte, wie Betreiber von Netzwerken, die für die Wirtschaft und Gesellschaft als kritisch gelten, ihre aktuelle Sicherheitslage einschätzen.
Das zentrale Ergebnis der Studie: In diesem Jahr nahmen deutlich weniger Unternehmen an einem staatlichen Schutzprogramm teil. Das überrascht kaum, da die Betreiber ihre Anstrengungen zum Schutz kritischer Netze wegen Personal- und Budgetmangel stark einschränken müssen. Sie konzentrieren sich primär auf aktuelle Bedrohungen und vernachlässigen dadurch weitreichendere Schutzmaßnahmen. Dies ist eine besorgniserregende Entwicklung, stehen doch Betreiber kritischer Infrastrukturen mehr denn je im Visier organisierter Cyberkrimineller.
Unternehmen und Regierungen weltweit sollten den Schutz dieser für Wirtschaft und Gesellschaft wichtigen Netzwerke stärker forcieren und in das Zentrum ihrer Bemühungen stellen. Um der steigenden Bedrohung Rechnung zu tragen, erweiterte Symantec den Kreis der befragten Sektoren. Während 2010 nur sechs Bereiche untersucht wurden, nimmt der CIP 2011 inzwischen 14 Sektoren unter die Lupe. Dazu zählen das Energie-, Banken- Versicherungs- und Finanzwesen sowie Sektoren wie Telekommunikation, IT, Gesundheit, der öffentliche Dienst, Informationstechnologie, Landwirtschaft, Regierungen, Fertigungsunternehmen, der Nah- und Fernverkehr sowie öffentliche Bau- und Chemiefirmen.
Die wichtigsten Ergebnisse der Studie auf einen Blick:
• Geringes Engagement und Interesse an staatlichen Schutzprogrammen
Während 2010 die CIP-Programme der Regierungen noch gut angenommen wurden, sank 2011 das Interesse der Unternehmen. Gerade einmal 36 Prozent der weltweit Befragten wussten überhaupt von den Regierungsplänen zum Schutz kritischer Infrastrukturen oder hatten sich zumindest teilweise um Einblick bemüht. Im vergangenen Jahr waren es immerhin 55 Prozent. In Deutschland sieht die Situation ähnlich aus: Lediglich 34 Prozent waren staatliche CIP-Programme bekannt.
So ging auch die aktive Beteiligung daran zurück: 2010 nahmen weltweit noch 56 Prozent der Studienteilnehmer vollständig oder teilweise an den Programmen teil. In diesem Jahr sind es nur noch 37 Prozent. In Deutschland liegt der Anteil 2011 gerade einmal bei 28 Prozent. Hierzulande werden derartige Schutzprogramme kaum längerfristig wahrgenommen. Nur 23 Prozent der befragten Unternehmen beteiligten sich länger als zwei Jahre.
• Zwiespältige Einstellung gegenüber staatlichen Schutzprogrammen
Unternehmen sind hin- und hergerissen, wenn es um ihre Einstellung gegenüber staatlichen CIP-Programmen geht. Gefragt, was sie von den Schutzprogrammen der Regierung halten, enthielten sich 42 Prozent einer Antwort oder bewerteten diese als neutral (in Deutschland: 46 Prozent). Generell zeigten Unternehmen dieses Jahr im Vergleich zu 2010 eine geringere Bereitschaft, sich an CIP-Programmen ihrer Regierung zu beteiligen (57 Prozent in 2011 gegenüber 66 Prozent in 2010, in Deutschland sind es sogar nur 47 Prozent).
• Mangelhafte Vorbereitung auf den Ernstfall
Grundsätzlich fühlen sich Unternehmen dieses Jahr auf einen Cyberangriff weniger gut vorbereitet als in 2010. Das überrascht nicht: Wenn eine Organisation Cybergefahren als gering einschätzt, wird sie sich auch nicht mit aller Kraft dagegen wappnen. Nach Selbsteinschätzung der Unternehmen verringerte sich ihre Fähigkeit, Angriffe abzuwehren, im Durchschnitt um acht Prozentpunkte: So gaben in der aktuellen Studie 60 bis 63 Prozent an, dass sie wenig bis sehr gut gegen Attacken gerüstet sind - verglichen mit 68 bis 70 Prozent in 2010. In Deutschland fühlen sich dieses Jahr nur 48 bis 57 Prozent wenig bis sehr gut geschützt.
Über die Studie
Die "Critical Infrastructure Protection Survey" wurde zwischen August und September 2011 von Applied Research durchgeführt. Dabei konzentrierte sich die Umfrage auf IT-Leiter und Führungskräfte aus Unternehmen von 14 verschiedenen Industriezweigen, die für die Wirtschaft und Gesellschaft als kritisch eingestuft werden. Der Bericht untersucht bereits zum zweiten Mal, inwiefern Besitzer beziehungsweise Betreiber sensibler Netzwerke an staatlichen CIP-Programmen teilnehmen und wie sie ihre aktuelle Sicherheitslage einschätzen.
Weltweit befragte Symantec knapp 3.500 Unternehmen in 37 Ländern aus Nord- und Südamerika, der EMEA-Region (Europa, dem Mittleren Osten und Afrika) und dem asiatisch-pazifischen Raum.
In Deutschland nahmen 100 Unternehmen an der Umfrage teil. Es wurde anhand verschiedener Kriterien bewertet, wie stark sich einzelne Unternehmen in den Schutzprogrammen ihrer Regierung engagieren (CIP Participation Index). Berechnungsgrundlage liefern die Ergebnisse aus 2010. Damit liegt der CIP Participation Index des Vorjahres bei 100 Prozent.