Unternehmen sehen sich in einer stark digitalisierten Welt täglich neuen Bedrohungen ausgesetzt, die ihre IT-Infrastrukturen und ihre sensiblen Daten gefährden. Die Prüfungs- und Beratungsorganisation EY Österreich hat vor Kurzem eine Studie unter dem Titel "Cyberangriffe und Datendiebstahl in Österreich" vorgestellt, in der sie 201 Geschäftsführer:innen sowie Führungskräfte aus den Bereichen IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeiter:innen zu dem Thema befragte. Das sind die Ergebnisse.
Wird die Gefahr unterschätzt?
Die Studie zeigt, dass nur 35 Prozent der österreichischen Entscheider:innen das Risiko eines Cyberangriffs auf das eigene Unternehmen als sehr oder eher hoch einschätzen. 64 Prozent, also fast doppelt so viele, sehen (eher) keine Gefahr, Opfer eines Cyberangriffs zu werden. Die Untersuchung zeigt aber auch, dass je höher der Jahresumsatz der Unternehmen ist, desto höher wird die Gefahr eines Angriffs eingeschätzt.
Zum Beispiel stuft bei einem Umsatz von mehr als 50 Millionen Euro fast die Hälfte der heimischen Betriebe die Gefahr, Opfer eines solchen Angriffs zu werden, als (sehr) hoch ein. Zudem gibt es auch starke Branchenunterschiede. Nur Versicherungen mit 25 Prozent und der öffentliche Sektor mit 17 Prozent liegen bei ihrer Einschätzung eines sehr hohen Risikos als einzige Branchen über dem Durchschnittswert von gesamt elf Prozent.
Das Risiko, einem organisierten Verbrechen zum Opfer zu fallen, wird am höchsten eingeschätzt. 23 Prozent der Befragten bestätigten das, vor allem jene aus Unternehmen mit einem Jahresumsatz von über 50 Millionen Euro. Hacktivisten-Gruppen liegen mit 19 Prozent knapp dahinter in der Risikoeinschätzung.
Mit dem Umsatz steigt die Gefahr
22 Prozent der Befragten berichten von konkreten Hinweisen auf Cyberattacken. Bei sieben Prozent der Unternehmen einmalig, bei 15 Prozent sogar mehrfach. Im Falle einer Attacke können dabei nicht nur die Produktion gefährdet und IT-Systeme lahmgelegt werden, sondern auch sensible Daten und das Kundenvertrauen verloren gehen. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte aber deutlich höher sein.
Eines ist jedoch klar. Mit dem Umsatz steigt auch die Wahrscheinlichkeit nochmal an. 35 Prozent der befragten Unternehmen ab 51 Millionen Euro Umsatz haben sogar mehrfache Angriffe erlebt. Dabei waren in 60 Prozent aller Attacken die Angreifer:innen maximal einen Tag aktiv, die Wiederherstellung und den Neuaufbau konnten 67 Prozent innerhalb weniger Tage abschließen. 84 Prozent der Führungskräfte rechnen zukünftig über alle Branchen hinweg, weiters mit einer stark steigenden Gefahr durch Cyberangriffe und Datendiebstahl.
Firewalls, Antivirus-Software und Schulungen
Vor diesem Hintergrund setzen viele Führungskräfte entsprechende Maßnahmen zur Sicherung ihrer Infrastruktur und Daten um. Firewalls und Antivirus-Software nutzen 91 Prozent, Sicherheitsupdates und Patches 87 Prozent. 36 Prozent der Befragten sind mit Incident Response Teams und Notfallplänen ausgestattet. 58 Prozent der Unternehmen bieten ihren Mitarbeiter:innen Schulungs- und Fortbildungsmaßnahmen an. Rund 40 Prozent der Mitarbeiter:innen erhalten allerdings keine Schulungen zur Datensicherheit und Cybersicherheit.
46 Prozent der angebotenen Schulungen sind zum Thema Cybersicherheit. Lediglich in jedem zweiten Unternehmen, das Fortbildungsmaßnahmen anbietet, werden aktuelle Bedrohungen wie Deepfakes und der Umgang mit KI-Bedrohungen behandelt. Ein Viertel berichtet dabei von der Simulation von Phishing-Angriffen. Phishing ist auch die häufigste Angriffsart. 67 Prozent der Befragten waren davon bereits betroffen. 51 Prozent der Angriffe fallen in die Kategorie Malware, 38 Prozent in den Bereich Ransomware-Angriff.
"Es ist alarmierend, dass nur ein Drittel der österreichischen Unternehmensentscheider:innen das Risiko eines Cyberangriffs als hoch einschätzt, obwohl die Bedrohungen täglich zunehmen. Dass fast ein Viertel der heimischen Unternehmen bereits konkrete Hinweise auf Cyberattacken verzeichnet hat, unterstreicht die Notwendigkeit, Maßnahmen laufend auszubauen. Cybersicherheit sollte als integraler Bestandteil der Unternehmensstrategie betrachtet und nicht hinten angestellt werden", sagt Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.
Finanz beliebtestes Angriffsziel
Jedes fünfte Unternehmen war schon einmal von Erpressungsversuchen, bei denen Lösegeld gefordert wird, betroffen. Vier Prozent waren es sogar mehrfach. Laut eigenen Angaben hat jedoch keines der betroffenen Unternehmen gezahlt.
Dennoch kosten Angriffe den Unternehmen Geld. In 22 Prozent der Fälle fiel ein Schaden von unter 25.000 Euro an, bei neun Prozent lag er teils deutlich über dieser Summe. Die Dunkelziffer sei jedoch unklar, da 53 Prozent der Befragten keine Angaben zur Schadenhöhe machen wollten. Vier von zehn Angriffen konnten über unternehmensinterne Kontrollsysteme aufgedeckt werden, 18 Prozent im Rahmen interner, routinemäßiger Überprüfungen. Elf Prozent geben aber auch an, dass dies nur zufällig passiert sei. In erster Linie richten sich diese Angriffe und der Datendiebstahl an Finanz- und Kreditabteilungen mit 31 Prozent, gefolgt vom Vertrieb mit 20 Prozent und dem höheren Management mit 18 Prozent.
In Cybersecurity-Maßnahmen zu investieren ist aufgrund der Schäden, die daraus resultieren können, dringend angebracht. Jedoch wissen nur 52 Prozent über ein Cyber-Budget Bescheid. 36 Prozent der Befragten haben bis zu 25.000 Euro pro Jahr zur Verfügung, um sich zu schützen. Der eigenen Einschätzung nach stehen 44 Prozent der Unternehmen (eher) viele Ressourcen zur Verfügung. Knapp ein Drittel plant sogar eine Erhöhung dieser Kostenstelle. Nur 26 Prozent gibt an, ausreichend vor Informationsabfluss geschützt zu sein. Ebenfalls rund ein Viertel (27 Prozent) ist davon jedoch weniger oder überhaupt nicht überzeugt.
"Viele Manager:innen erwarten, dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen. Angesichts der komplexen digitalen Umgebungen – sei es durch Ausweitung von Homeoffice, Mobile Devices oder Cloud Computing – werden auch die Angriffsflächen immer größer und die Sicherung der eigenen Systeme immer schwieriger. Dadurch können Hacker:innen unbemerkt in die unternehmenseigene Infrastruktur eindringen und großen Schaden anrichten. Ausreichend Budget, das effektiv eingesetzt wird, ist für einen guten Schutz daher notwendig", sagt Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich.
Mehr als drei Viertel verfügen über einen Krisenplan
Krisenpläne bei Angriffen sind entscheidend, um im Ernstfall richtig reagieren zu können. Insbesondere Verantwortliche für die Informationssicherheit sollten auf solche Fälle vorbereitet sein, um im Ernstfall richtig zu reagieren, so EY. 81 Prozent der Führungskräfte geben an, dass sie Pläne für die Wiederherstellung der Infrastruktur nach einem Angriff haben. Für die rasche Reaktion auf Cyberangriffe in ihrem Unternehmen haben elf Prozent der Unternehmen nach eigener Aussage keinen Krisenplan, acht Prozent sind gerade in der Ausarbeitung.
Die Mehrheit der Unternehmen hierzulande lässt ihre IT-Systeme jährlich von externen Expert:innen auf Schwachstellen in Hinblick auf Datendiebstahl prüfen. Rund 32 Prozent machen das sogar häufiger. 47 Prozent der Unternehmen haben vor diesem Hintergrund und im Falle, dass es trotz aller getroffenen Sicherheitsmaßnahmen zu einem Cyberangriff kommt, derzeit eine Versicherung gegen Cyberrisiken abgeschlossen. Besonders hoch ist der Anteil der Unternehmen mit Versicherungsschutz in der Branche Bau und Immobilien mit 61 Prozent und Energie mit 67 Prozent.
"Viele Unternehmen blenden die reale Gefahr eines Angriffs weiterhin aus oder scheinen die Thematik nicht so ernst zu nehmen, um entsprechende Maßnahmen zu ergreifen und das Risiko zu adressieren. Es braucht neben medialer Beachtung des Themas somit weitere Anstrengungen, um die Umsetzung von Cybersicherheitsmaßnahmen zu erhöhen, konkrete Pläne bei einem Anlassfall zu erstellen und entsprechend auf präventive Maßnahmen zu setzen.", so Tonweber.
Einsatz von KI-Technologien noch am Anfang
Aktuell setzen nur zwölf Prozent beim Schutz auf künstliche Intelligenz (KI). Unternehmen, die über mehr Mitarbeitende sowieso einen höheren Umsatz von mehr als 50 Millionen Euro verfügen, sind hier mit 35 Prozent Vorreiter. 43 Prozent nennen als Hauptziel für den Einsatz von KI-Technologien, Bedrohungen besser und schneller zu erkennen, gefolgt von einem effizienteren Sicherheitsmanagement 33 Prozent.
Bei KI haben 44 Prozent Bedenken in Bezug auf Datenschutz und Ethik, 36 Prozent sehen hohe Kosten als Risiko sowie 32 Prozent den Mangel an qualifiziertem Personal, um KI überhaupt richtig anzuwenden. Zwar will in Zukunft eines von fünf Unternehmen GenAI-Tools einsetzen, 57 Prozent wird auf die Technologie für die Cyberabwehr aber weiterhin verzichten.
Sensibilisierung von Mitarbeitenden entscheidend
Für viele Unternehmen kann aber auch Homeoffice zum Risikofaktor werden. Remote-Verbindungen sind ein attraktives Einfallstor für Cyberkriminelle. Bei 26 Prozent ist Homeoffice gängig – je größer das Unternehmen, desto eher wird verstärkt die Möglichkeit geboten. 40 Prozent sind es bei Betrieben mit über 100 Mitarbeitenden. Aber neun von zehn Unternehmen haben keine Veränderung von Cyberangriffen durch die Homeoffice-Möglichkeit festgestellt, nur vier Prozent konnten einen Zuwachs bemerken. 52 Prozent haben jedoch verstärkt interne Maßnahmen gesetzt, Mitarbeitende sensibilisiert, 42 Prozent setzen auf modernere Technik und 42 Prozent verschärfen Sicherheitsmaßnahmen.
www.ey.com
Kommentar schreiben