[English]Mir liegt noch ein Bericht der Sicherheitsforscher von CyberNews aus Ende 2024 vor, die sich die Cyber-Sicherheit bei Firmen in Europa und in den USA vorgenommen haben. Die, für mich, überraschende Aussage war, dass europäische Firmen mehr Sicherheitsvorfälle durch Cyberangriffe als US-Unternehmen erleiden.
Erste Erkenntnis, die sicher mancher aus der Leserschaft teilen wird: Trotz der wachsenden Bedrohung durch Cyberangriffe versäumen es viele Unternehmen, ihre Sicherheitsmaßnahmen zu verstärken.
Nach Angaben des Cybernews Business Digital Index haben 65 % der untersuchten nordamerikanischen Unternehmen ihre Cybersicherheitsmaßnahmen mit D oder schlechter bewertet. In Europa sind es 48 % der Unternehmen.
Auswertung durch CyberNews
Nachfolgend finden sich detaillierte Informationen über die digitale Sicherheitslage von Unternehmen in Europa und Nordamerika.
Nur 7 % der nordamerikanischen Unternehmen erhielten die Note A
Aus den Statistiken des Business Digital Index geht hervor, dass 21 % der europäischen Unternehmen die Note F und 27 % die Note D erhielten. In Nordamerika ist die Situation sogar noch schlimmer: 34 % der untersuchten Unternehmen weltweit erhielten die Note F und 31 % die Note D.
Es gibt jedoch auch einen positiven Trend in Europa: 13 % der Unternehmen erhielten die Note A und 20 % die Note B für ihre Bemühungen um die Cybersicherheit. Besorgniserregend ist, dass nur 7 % der nordamerikanischen Unternehmen über einen A-bewerteten Schutz verfügen und 8 % die Note B erhalten haben.
Aufgeschlüsselt nach Branchen zeigten Technologieunternehmen in Europa eine etwas bessere Datensicherheit als Finanzinstitute. Von den Technologieunternehmen erreichten 40 % die Bestnote (A oder B), während 45 % eine schlechte Bewertung (D oder F) erhielten. Der Finanzsektor schnitt schlechter ab: 35 % erhielten A- oder B-Bewertungen, 46 % wurden mit D oder F bewertet.
Betrachtet man Nordamerika aus einer Branchenperspektive, so sind Finanzunternehmen in Sachen Datensicherheit besser als Organisationen des Gesundheitswesens. Nur 3 % der Einrichtungen des Gesundheitswesens erhielten die Note A, während 9 % der Finanzunternehmen diese Bewertung erhielten. Diese Zahlen sind jedoch kein Grund zur Freude, denn die Mehrheit (34 %) der Finanzunternehmen wurde mit D bewertet, und 45 % erhielten im Gesundheitswesen ein F.
Datenschutzverletzungen bei Unternehmen: 34 % in Europa, 32 % in Nordamerika
Der Business Digital Index zeigt, dass das häufigste Sicherheitsproblem mit der Konfiguration von Secure Sockets Layer (SSL) zusammenhängt. In Europa wurden über 50.000 und in Nordamerika über 150.000 Probleme festgestellt.
Darüber hinaus verloren nordamerikanische Unternehmen über 430.000 Unternehmensdaten, fast achtmal mehr als in europäischen Ländern, wo Unternehmen über 56.000 Unternehmensdaten verloren.
Die Indexdaten zeigen, dass Unternehmen in Europa zusammengenommen über 2000 kritische und risikoreiche Schwachstellen aufweisen. Zum Vergleich: Unternehmen in den USA und Kanada weisen zusammen fast 8000 kritische und risikoreiche Schwachstellen auf.
Darüber hinaus weisen 34 % der europäischen und 32 % der nordamerikanischen Unternehmen hochriskante Schwachstellen auf und waren in letzter Zeit von Datenschutzverletzungen betroffen.
Außerdem verwenden 30 % der Mitarbeiter in Europa und 29 % in Nordamerika bereits verletzte Passwörter wieder, was es Cyberkriminellen noch leichter macht, sich Zugang zum Unternehmensnetz zu verschaffen.
Hier in DE investieren einige Unternehmen nur dann, wenn ein Risiko konkret und nicht abstrakt ist. Das kennt man auch aus dem Feuerwehr- und Katastrophenschutzwesen. Bessere Technik? Bessere Taktiken? Bessere Organisation? Bessere Information und Kommunikation?
Resultat:
„Das konnte niemand erahnen, dass es so schlimm wird.“
Klare Aussage, wenn man nicht vom Worst Case Scenario ausgeht.
Melden denn auch alles US Firmen :). Da gibt’s ja auch genügend Statistiken, dass sie eher zahlen. Kann man also drehen und wenden wie man möchte.
Die „europäischen“ Unternehmen scheinen nur aus England zu kommen, das noch nicht mal in der EU ist. Eine Stichwortsuche nach den Top Marken und DAX-Unternehmen ergab genau NULL Treffer.
Darüber hinaus, keine Infos nach der Datenbasis der angeblich 1100 Unternehmen, die ausgesucht und überprüft wurden, keinen Hinweis auf Methodik, wie und was genau geprüft wurde.
Hey ich mache demnächst auch eine „Untersuchung“, stelle etwas unsusbstantiiert in den Raum und blase das an den großen Presseverteiler.
Das Wichtigste fehlt hier noch: wie setzt sich das Scoring zusammen?
„Our methodology goes beyond traditional vulnerability assessments by considering a wide range of factors that can impact an organization’s cybersecurity health. We gather data from various trusted sources, such as IoT search engines, IP or domain reputation databases, and custom security scans. This allows us to evaluate risks in seven key areas: software updates, web security, email protection, system reputation, SSL setup, system hosting, and data breach history. By combining data-driven analysis, weighted scoring, and actionable insights, we equip organizations with valuable information to address digital threats, minimize their risk exposure timeline, and strengthen their overall cybersecurity posture. „
Security-Insider hat dieses Jahr damit angefangen, monatlich die Sicherheitsvorfälle in Deutschland zu recherchieren und aufzulisten.
https://www.security-insider.de/cyberangriffe-auf-unternehmen-in-deutschland-2025-analyse-a-f71268d8ef2cc593d2cc64a82df23ee2/
Speziell Februar ist schon eine stattliche Liste.
Interessant ist bei der „Analyse“, das die europäischen Unternehmen insgesamt ein besseres Scoring bzgl. Cybersicherheit haben als nordamerikanische Unternehmen, aber trotzdem mehr Cybervorfälle.
Da könnte man spekulieren, warum das so ist.
Melden europäische Unternehmn einfach wegen der DSGVO mehr Vorfälle als nordamerikanische Unternehmen?
Sind europäische Unternehmen für die Cyberkriminellen einfach interessanter als nordamerikanische Unternehmen und ist daher die Zahl der Angriffe einfach höher?
etc. etc.
Und was die verletzten Passwörter angeht: Wissen die Betroffenen überhaupt, das ihre Passwörter verletzt wurden?
Das sieht im allgemeinen bei Firmen in der Ganzen Welt so aus: IT Security ist erst interessant wenn das Kind bereits im Brunnen liegt!
Es gibt da sicher die berühmten Ausnahmen, aber auf die Masse trifft die Aussage sicher zu. Kapitalismus in Reinkultur halt.
Ach, so etwas findet man auch im realen Leben häufig.
Ich hatte mal einen Nachbarn, der grundsätzlich den Wohnungsschlüssel von außen stecken ließ.
Auch wenn ich mal Bekannte besuche, sehe ich das in Mehrfamilienhäusern häufiger.
Fenster werden bei Verlassen der Wohnung auch nicht geschlossen, sondern in gekippt-Stellung offen gelassen, die Wohnungstür nur ins Schloß gezogen und nicht abgeschlossen, oder der Türschlüssel liegt unter der Fußmatte, etc. etc.
Alles auch 2025 noch Realität!
Und den Leuten will man IT-Security beibringen?
Mit dem Thema habe ich als externer IT-Admin abgeschlossen. Ich kann den Kunden nicht mehr erzählen und bitten zu tun. Ich lasse mir mittlerweile alle Ablehnungen bestätigen, damit es später nicht heißen kann von wegen man hätte nichts gesagt. Es gib nur ganz wenige Unternehmen, die das Thema richtig ernst nehmen und auch gewillt sind Geld reinzustecken. Ich versteh es nur bei vielen einfach nicht…Ohne Server und digitale Infrastruktur geht fast nichts mehr und dennoch will man kein Geld ausgeben, um im Falle eines Angriffs den Laden nicht dicht machen zu müssen. Oft immer nur die Aussage, sowas wird uns nicht passieren, wir sind zu klein um im Visier zu sein, bei uns gibts es digital nichts zu holen…..Dass aber die Buchhaltung voll digital ist, dass Pläne etc, per Mail und Cloud zukommen daran denkt niemand. Sprich es ist wohl offensichtlich immer noch nciht genug passiert, damit das Sicherheitsbewusstsein bei dem ein oder anderen zur Vernunft kommt.
Natürlich gibt es auch bei Kleinunternehmen etwas zu holen: GELD.
Die meisten Angriffe laufen doch über Ransomware.
Was macht so eine Firma, wenn deren Daten verschlüsselt sind?
Die Tür von außen abschließen?
Den Erpressern Geld zahlen?
Genau, sehe ich genauso…. Aber da redet man bei manchen mit einer Wand. Dann wird in was auch immer Geld gesteckt, nur nicht in das was essenziell ist.