Für die meisten Unternehmen ist eine unternehmensübergreifende Absicherung von Lieferketten gegen Cyberangriffe bislang nur ein Randthema. Das zeigt eine Studie, welche die Bundesvereinigung Logistik (BVL) in Zusammenarbeit mit der Universität der Bundeswehr München, der Otto-von-Guericke-Universität Magdeburg sowie den Unternehmenspartnern One Identity, Schunck Group und Secida erstellt hat (hier geht es zum Executive Summary, hier zur Langfassung). Dabei gaben lediglich 42 Prozent der befragten Unternehmen an, Cybersicherheit bereits für die gesamten Supply Chains zu betrachten – insbesondere kleine und besonders große Unternehmen haben keinen Überblick.
Dabei zeigt die Studie auch, dass Cyberangriffe zu einer Alltagskriminalität geworden sind. Fast die Hälfte der befragten Unternehmen wurde in den vergangenen fünf Jahren mindestens einmal Opfer von Cyberkriminellen, etwa ein Drittel war mehrfach betroffen. Häufig waren Webseiten (30 Prozent) und sensible Daten (25 Prozent) das Ziel, auch Datenverschlüsselung mit anschließender Erpressung kam häufig vor (15 Prozent). Bei der Analyse der Angriffsfälle hat sich herausgestellt, dass vielfach Beschäftigte in den Unternehmen dazu gebracht wurden, Schadsoftware zu installieren (37 Prozent). Auch aus dem Internet zugängliche Schwachstellen waren ein Einfallstor (28 Prozent). Benutzerkennungen und Passwörter wurden in 15 Prozent der Fälle missbraucht.
Die Auswirkungen von Cyberangriffen auf Supply Chains und andere Bereiche sind häufig dramatisch: Fast die Hälfte der Befragten (49 Prozent) gab an, dass die Wiederherstellung der Betriebsfähigkeit nach einem Cyberangriff mehrere Tage oder länger gedauert hat, bei 24 Prozent waren es sogar mehrere Wochen, Monate oder über ein Jahr. Insbesondere bei kleinen Unternehmen mit wenig Kompetenz in der Cybersicherheit oder bei sehr großen Unternehmen mit komplexer IT-Landschaft dauert es lange, bis wieder gearbeitet werden kann.
Weiteres Ergebnis: Obwohl eine Zugehörigkeit zur gesetzlich regulierten kritischen Infrastruktur deutlich höhere Anforderungen an das Management von Cyberrisiken stellt, kann ein Viertel der befragten Manager nicht sagen, ob das eigene Unternehmen zur kritischen Infrastruktur gehört. Über 40 Prozent der Manager konnten nicht sagen, ob das Unternehmen gegen Cyberangriffe versichert ist oder nicht. Und 28 Prozent der Befragten wissen nicht, ob das Unternehmen in den letzten fünf Jahren Opfer von Cyberangriffen wurde. Nur jeweils ein gutes Drittel der Unternehmen steuert die Cybersicherheit über entsprechende KPIs oder führt Cybersicherheitsübungen durch.