Jedes fünfte Unternehmen sieht Verantwortung nicht bei sich

Geht es um die Abwehr von DDoS-Angriffen, verlassen sich viele Unternehmen auf ihren Service-Provider, auch wenn der DDoS-Schutz nicht unbedingt Bestandteil von dessen Angeboten ist. Aber auch bei Unternehmen, welche die Verantwortung bei sich sehen, sind die Zuständigkeiten firmenintern nicht immer geklärt.

Distributed Denial of Service-Angriffe (DDoS) gehören mittlerweile zum festen Repertoire der meisten Cyberkriminellen, treffen sie viele Firmen doch an ihrer verwundbarsten Stelle: ihrer Website oder anderen Online-Diensten, die für die Geschäftstätigkeiten von entscheidender Bedeutung sind. Dementsprechend hoch sind die entstehenden Kosten, wenn diese Dienste infolge von DDoS-Attacken ausfallen oder zumindest beeinträchtigt sind. Kaspersky schätzt den Schaden auf durchschnittlich 46.000 bis 390.000 Euro – je nach Unternehmensgröße. Dazu kommt unter Umständen noch ein Imageschaden, wenn Partner oder Kunden den Ausfall bemerken. Für kleinere Firmen kann ein DDoS-Angriff sogar existenzbedrohend sein.

Umso wichtiger ist es zu klären, wer die Verantwortung für den Schutz vor derartigen Attacken trägt. Einer Kaspersky-Umfrage zufolge sieht hier jedes fünfte Unternehmen nicht sich in der Pflicht, sondern seinen Service-Provider. Das kann allerdings riskant sein, denn der Schutz von DDoS-Angriffen ist nicht immer Bestandteil von deren Angeboten. Zudem sind viele Anbieter nicht in der Lage, einen adäquaten Schutz zu bieten, da die Attacken immer umfangreicher und komplexer werden, wie Holger Suhl, General Manager DACH bei Kaspersky, erklärt. »Viele Unternehmen setzen sich einem unnötigen Risiko aus«, warnt er.

Der Umfrage zufolge fühlen sich kleine Unternehmen seltener für den DDoS-Schutz ihrer Online-Dienste verantwortlich als große. So waren 40 Prozent der befragten kleinen Firmen der Meinung, die vollständige Security-Verantwortlichkeit liege bei ihrem Internet Service-Provider oder Webhosting-Anbieter. Bei den großen Firmen teilten nur neun Prozent diese Ansicht. Interessant: Neun Prozent der kleinen und zwei Prozent der großen Unternehmen sehen die Verantwortung bei der Polizei und der Regierung.

Aber auch dort, wo sich die Unternehmen im Klaren darüber sind, dass sie die Verantwortung für die Abwehr von DDoS-Attacken tragen, sind die Zuständigkeiten firmenintern nicht immer klar. So waren 44 Prozent der Unternehmen der Meinung, die IT-Abteilung kümmere sich darum. 16 Prozent sehen das obere Management in der Verantwortung, acht Prozent den Security-Bereich und vier Prozent die Risiko-Management-Abteilung.

Wochenlange Ausfälle

Kaspersky zufolge haben knapp ein Drittel der Unternehmen in Westeuropa bereits DDoS-Attacken erlebt, wobei vor allem IT-Firmen, E-Commerce-Webseiten, Telekommunikationsunternehmen und die Medienbranche im Visier der Angreifer stehen. Die Mehrzahl hatte für mehrere Stunden mit erhöhten Ladezeiten zu kämpfen – 20 Prozent sogar mehrere Tage oder Wochen lang. Bei 29 Prozent schlugen Transaktionen fehl und bei 13 Prozent waren Online-Dienste komplett offline. Infolgedessen verlor ein Drittel der Unternehmen während der Ausfallzeiten Geschäftsoptionen und Kontakte. 29 Prozent gaben an, die Angriffe hätten ihre Kreditwürdigkeit negativ beeinflusst. 26 Prozent vermeldeten höhere Versicherungsprämien.

Mehr als ein Drittel der Unternehmen (38 Prozent) bemerkte nach DDoS-Attacken einen Reputationsverlust. Dennoch werden die Angriffe in der Regel nicht verschwiegen: 72 Prozent informierten anschließend Kunden, Geschäftspartner, Behörden oder Medien.

Quelle: crn.de