Attacken wie Nitro und Duqu zielen auf Schwachstellen in kritischen Infrastrukturen ab. Vor diesem Hintergrund beunruhigen die Ergebnisse der neuen Symantec-Studie. Sie untersuchte, wie Betreiber von Netzwerken, die für die Wirtschaft und Gesellschaft als kritisch gelten, ihre aktuelle Sicherheitslage einschätzen.
Das zentrale Ergebnis der Studie: In diesem Jahr nahmen deutlich weniger Unternehmen an einem staatlichen Schutzprogramm teil. Das überrascht kaum, da die Betreiber ihre Anstrengungen zum Schutz kritischer Netze wegen Personal- und Budgetmangel stark einschränken müssen. Sie konzentrieren sich primär auf aktuelle Bedrohungen und vernachlässigen dadurch weitreichendere Schutzmaßnahmen. Dies ist eine besorgniserregende Entwicklung, stehen doch Betreiber kritischer Infrastrukturen mehr denn je im Visier organisierter Cyberkrimineller. Unternehmen und Regierungen weltweit sollten den Schutz dieser für Wirtschaft und Gesellschaft wichtigen Netzwerke stärker forcieren und in das Zentrum ihrer Bemühungen stellen.
Um der steigenden Bedrohung Rechnung zu tragen, erweiterte Symantec den Kreis der befragten Sektoren. Während 2010 nur sechs Bereiche untersucht wurden, nimmt der CIP 2011 inzwischen 14 Sektoren unter die Lupe. Dazu zählen das Energie-, Banken- Versicherungs- und Finanzwesen sowie Sektoren wie Telekommunikation, IT, Gesundheit, der öffentliche Dienst, Informationstechnologie, Landwirtschaft, Regierungen, Fertigungsunternehmen, der Nah- und Fernverkehr sowie öffentliche Bau- und Chemiefirmen.
Die wichtigsten Ergebnisse der Studie auf einen Blick:
Geringes Engagement und Interesse an staatlichen Schutzprogrammen
Während 2010 die CIP-Programme der Regierungen noch gut angenommen wurden, sank 2011 das Interesse der Unternehmen. Gerade einmal 36 Prozent der weltweit Befragten wussten überhaupt von den Regierungsplänen zum Schutz kritischer Infrastrukturen oder hatten sich zumindest teilweise um Einblick bemüht. Im vergangenen Jahr waren es immerhin 55 Prozent. In Deutschland sieht die Situation ähnlich aus: Lediglich 34 Prozent waren staatliche CIP-Programme bekannt. So ging auch die aktive Beteiligung daran zurück: 2010 nahmen weltweit noch 56 Prozent der Studienteilnehmer vollständig oder teilweise an den Programmen teil. In diesem Jahr sind es nur noch 37 Prozent. In Deutschland liegt der Anteil 2011 gerade einmal bei 28 Prozent. Hierzulande werden derartige Schutzprogramme kaum längerfristig wahrgenommen. Nur 23 Prozent der befragten Unternehmen beteiligten sich länger als zwei Jahre.
Zwiespältige Einstellung gegenüber staatlichen Schutzprogrammen
Unternehmen sind hin- und hergerissen, wenn es um ihre Einstellung gegenüber staatlichen CIP-Programmen geht. Gefragt, was sie von den Schutzprogrammen der Regierung halten, enthielten sich 42 Prozent einer Antwort oder bewerteten diese als neutral (in Deutschland: 46 Prozent). Generell zeigten Unternehmen dieses Jahr im Vergleich zu 2010 eine geringere Bereitschaft, sich an CIP-Programmen ihrer Regierung zu beteiligen (57 Prozent in 2011 gegenüber 66 Prozent in 2010, in Deutschland sind es sogar nur 47 Prozent).
Mangelhafte Vorbereitung auf den Ernstfall
Grundsätzlich fühlen sich Unternehmen dieses Jahr auf einen Cyberangriff weniger gut vorbereitet als in 2010. Das überrascht nicht: Wenn eine Organisation Cybergefahren als gering einschätzt, wird sie sich auch nicht mit aller Kraft dagegen wappnen. Nach Selbsteinschätzung der Unternehmen verringerte sich ihre Fähigkeit, Angriffe abzuwehren, im Durchschnitt um acht Prozentpunkte: So gaben in der aktuellen Studie 60 bis 63 Prozent an, dass sie wenig bis sehr gut gegen Attacken gerüstet sind - verglichen mit 68 bis 70 Prozent in 2010. In Deutschland fühlen sich dieses Jahr nur 48 bis 57 Prozent wenig bis sehr gut geschützt.