Middelgrote handels- en logistieke bedrijven zijn vaak het doelwit van cybercriminelen, maar zijn onvoldoende voorbereid op deze aanvallen, aldus een nieuwe analyse over IT-beveiliging in opdracht van het Duitse Verbond van Verzekeraars GDV.  Volgens de organisatie  verwaarlozen veel Duitse middelgrote handels- en logistieke bedrijven hun IT-beveiliging en worden ze een gemakkelijk doelwit voor hackers.

Bijna één op de vier dergelijke bedrijven (22%) is volgens het GDV al slachtoffer geweest van cyberaanvallen. Elk tweede bedrijf dat werd aangevallen, kwam stil te liggen en moest zijn IT-systemen tegen hoge kosten herstellen, zo blijkt uit het onderzoek dat werd uitgevoerd door de Forsa Society for Social Research and Statistical Analysis. Het betrof 300 bedrijven in de groot- en detailhandel en in de transportsector.

De succesvolle aanvallen tonen aan dat de IT-beveiliging in de detailhandel en de logistiek nog zeer fragmentarisch is. De verantwoordelijken moeten meer en betere beschermingsmaatregelen nemen, de werknemers sensibiliseren en noodplannen opstellen”, aldus plaatsvervangend algemeen directeur van de GDV, Anja Käfer-Rohrbach.

Uit een door de GDV voor het onderzoek geïnitieerde security check, waaraan 19 middelgrote bedrijven deelnamen, blijkt dat het beschermingsniveau laag is. IT-beveiligingsadviseur Michael Wiesner stuitte bij twee derde van de bedrijven op verouderde besturingssystemen. Hij vond bij bijna alle (95%) bedrijven kwetsbaarheden die hackers kunnen gebruiken om gegevens te manipuleren of IT-systemen over te nemen. Bovendien kon Wiesner bij elk vierde bedrijf via phishingmails en valse websites toegang krijgen tot gegevens van werknemers. “Als je eenmaal met succes de IT-systemen bent binnengedrongen, kun je ze meestal volledig overnemen en naar believen manipuleren”, waarschuwde hij.

Ondanks deze duidelijke kwetsbaarheid denkt bijna twee derde (63%) van de door Forsa ondervraagden dat hun bedrijf weinig risico loopt. Zij menen dat hun bedrijven te klein zijn en dat de gegevens niet interessant zijn voor criminelen. In het algemeen vindt driekwart (73%) van de ondervraagde bedrijven dat ze genoeg doen om zich tegen cybercriminaliteit te beschermen. Maar volgens Käfer-Rohrbach strookt de zelfbeoordeling niet met de werkelijkheid. “Het beveiligingsprobleem wordt vaak gebagatelliseerd of bewust genegeerd.”  

Uit Darknet-onderzoek blijkt ook hoe makkelijk het is voor hackers. Daartoe gaf de GDV PPI AG opdracht om met zijn cyberrisicobeoordelingstool Cysmo 1.500 middelgrote bedrijven in de detailhandel en logistiek te controleren. Het bedrijf vond gegevens van 470 bedrijven (31%) op het dark web. Vaak ging het om werk-e-mailadressen en bijbehorende wachtwoorden die werknemers voor privédoeleinden hadden gebruikt.

“Omdat veel mensen altijd dezelfde of zeer vergelijkbare wachtwoorden gebruiken, kunnen e-mail/wachtwoordcombinaties gemakkelijk door cybercriminelen worden uitgebuit”, waarschuwde Käfer-Rohrbach. “Bedrijven moeten daarom duidelijke regels opstellen voor het gebruik van professionele e-mailadressen en hun werknemers dienovereenkomstig opleiden.” Hoewel in de meeste bedrijven veilige wachtwoorden worden afgedwongen en beveiligingsupdates automatisch worden geïnstalleerd, staat meer dan de helft (52%) van de onderzochte bedrijven toe dat werknemers hun privéapparaten binnen hun IT-ecosysteem gebruiken.

“Omdat veel mensen altijd dezelfde of zeer vergelijkbare wachtwoorden gebruiken, kunnen e-mail/wachtwoordcombinaties gemakkelijk door cybercriminelen worden uitgebuit”, waarschuwde Käfer-Rohrbach. Bedrijven moeten daarom duidelijke regels opstellen voor het gebruik van professionele e-mailadressen en hun werknemers dienovereenkomstig opleiden, zei ze.

Hoewel in de meeste bedrijven veilige wachtwoorden worden afgedwongen en beveiligingsupdates automatisch worden geïnstalleerd, staat meer dan de helft (52%) van de onderzochte bedrijven toe dat werknemers hun privéapparaten binnen hun IT-ecosysteem gebruiken. Uit het onderzoek blijkt ook dat elk vierde bedrijf (25%) gegevens onveilig bewaart. En slechts 24% voldoet aan de tien belangrijkste basisvereisten voor IT-beveiliging. Tegelijkertijd zijn veel bedrijven onvoldoende voorbereid op een succesvolle aanval. Zo’n 47% van de ondervraagde bedrijven heeft geen noodplan en ook geen overeenkomst met hun IT-dienstverlener voor het geval zich een noodsituatie voordoet.