WIEN. In einer stark digitalisierten Welt sehen sich Unternehmen täglich neuen Bedrohungen ausgesetzt, die ihre sensiblen Daten und IT-Infrastrukturen gefährden. Nur gut ein Drittel der Entscheider (35%) in Österreich schätzt jedoch das Risiko eines Cyberangriffs auf das eigene Unternehmen als sehr oder eher hoch ein. Fast doppelt so viele (64%) sehen (eher) keine Gefahr, Opfer eines Cyberangriffs zu werden. Aber: Je höher der Jahresumsatz der Unternehmen, desto höher wird die Gefahr eingeschätzt. Bei einem Umsatz von mehr als 50 Mio. € stuft beispielsweise fast die Hälfte der heimischen Betriebe die Gefahr, Opfer eines Cyberangriffs zu werden, als (sehr) hoch ein. Auch gibt es starke Branchenunterschiede: Versicherungen (25%) oder der öffentliche Sektor (17%) liegen bei ihrer Einschätzung eines sehr hohen Risikos als einzige Branchen über dem Durchschnittswert von gesamt elf Prozent.
Am höchsten wird das Risiko eingeschätzt, einem organisierten Verbrechen zum Opfer zu fallen: Knapp ein Viertel (23%) der Befragten bestätigt das, vor allem jene aus Unternehmen mit einem Jahresumsatz von über 50 Mio. €. Hacktivisten-Gruppen liegen mit 19% knapp dahinter in der Risikoeinschätzung.
Insgesamt gut jedes fünfte heimische Unternehmen (22%) berichtet von konkreten Hinweisen auf Cyberattacken: Bei sieben Prozent der Unternehmen einmalig, bei 15% sogar mehrfach. Dabei können im Falle eines Angriffs nicht nur die Produktion gefährdet und IT-Systeme lahmgelegt werden, sondern auch sensible Daten und das Kundenvertrauen verloren gehen. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte aber deutlich höher sein. Mit dem Umsatz steigt die Wahrscheinlichkeit nochmal an: 35% der Unternehmen ab 51 Mio. € Euro Umsatz haben sogar mehrfache Angriffe erlebt. In 60% aller Cyberangriffe waren die Angreifer maximal einen Tag aktiv, die Wiederherstellung und der Neuaufbau konnte in zwei von drei Fällen (67%) innerhalb weniger Tage abgeschlossen werden. Mehr als acht von zehn Führungskräfte (84%) rechnen in Zukunft über alle Branchen hinweg weiters mit einer stark steigenden Gefahr durch Cyberangriffe und Datendiebstahl.
Viele Führungskräfte setzen daher bereits entsprechende Maßnahmen zur Sicherung ihrer Daten und Infrastruktur um: 91% nutzen Firewalls und Antivirus-Software, 87% Sicherheitsupdates und Patches. Mit Notfallplänen und Incident Response Teams sind dagegen nur 36% ausgestattet. 58% der Unternehmen bieten ihren Mitarbeitern Schulungs- und Fortbildungsmaßnahmen an. Allerdings erhalten rund 40% der Mitarbeiter keine Schulungen zu Cybersicherheit und Datensicherheit, was ein erhebliches Risiko für die Unternehmenssicherheit darstellt. Am häufigsten werden Schulungen zum Thema Cybersicherheit (46%) angeboten. Lediglich in jedem zweiten Unternehmen, das Fortbildungsmaßnahmen anbietet, werden aktuelle Bedrohungen wie Deep Fakes und der Umgang mit KI-Bedrohungen behandelt. Ein Viertel berichtet dabei von der Simulation von Phishing-Angriffen. Damit sind Unternehmen auch gut beraten: Phishing ist auf Platz 1 der häufigsten Angriffsarten – 67% sind davon betroffen. Jede zweite Attacke fällt in die Kategorie Malware (51%), vier von zehn (38%) in den Bereich Ransomware-Angriff.
Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY Österreich. Dafür wurden 201 Geschäftsführerinnen und Geschäftsführer sowie Führungskräfte aus den Bereichen IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeitern befragt.
„Es ist alarmierend, dass nur ein Drittel der österreichischen Unternehmensentscheider das Risiko eines Cyberangriffs als hoch einschätzt, obwohl die Bedrohungen täglich zunehmen. Dass fast ein Viertel der heimischen Unternehmen bereits konkrete Hinweise auf Cyberattacken verzeichnet hat, unterstreicht die Notwendigkeit, Maßnahmen laufend auszubauen. Cybersicherheit sollte als integraler Bestandteil der Unternehmensstrategie betrachtet und nicht hintenangestellt werden.“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.
Finanz beliebtestes Angriffsziel
Von Erpressungsversuchen, bei denen Lösegeld gefordert wird, war bereits jedes fünfte Unternehmen betroffen, vier Prozent sogar mehrfach – laut eigenen Angaben hat jedoch keines der betroffenen Unternehmen gezahlt. Cyberangriffe kosten den Unternehmen dennoch Geld: In 22% der Fälle fiel ein Schaden von unter 25.000 € an, bei neun Prozent lag er teils deutlich über dieser Summe. Die Dunkelziffer bleibt unklar, da mehr als die Hälfte der Befragten (53%) keine Angaben zur Schadenhöhe machen wollte.
Vier von zehn Angriffe konnten über unternehmensinterne Kontrollsysteme aufgedeckt werden, 18% im Rahmen interner, routinemäßiger Überprüfungen. Elf Prozent geben aber auch an, dass dies nur zufällig passiert sei. Betrachtet man die betroffenen Abteilungen, richten sich die Angriffe und der Datendiebstall in erster Linie an Finanz- und Kreditabteilungen (31%), gefolgt vom Vertrieb (20%) und dem höheren Management (18%).
In Cybersecurity-Maßnahmen zu investieren ist aufgrund der Schäden, die daraus resultieren können, dringend angebracht. Jedoch weiß nur jeder Zweite über ein Cyber-Budget Bescheid (52%). 36% der Befragten haben bis zu 25.000 € jährlich zur Verfügung, um sich zu schützen. Der eigenen Einschätzung nach stehen 44% der Unternehmen (eher) viele Ressourcen zur Verfügung. Knapp ein Drittel plant sogar eine Erhöhung dieser Kostenstelle. Nur ein Viertel gibt an, ausreichend vor Informationsabfluss geschützt zu sein (26%). Ebenfalls rund ein Viertel (27%) ist davon jedoch weniger oder überhaupt nicht überzeugt.
„Viele Manager erwarten, dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen. Angesichts der komplexen digitalen Umgebungen – sei es durch Ausweitung von Homeoffice, Mobile Devices oder Cloud Computing – werden auch die Angriffsflächen immer größer und die Sicherung der eigenen Systeme immer schwieriger. Dadurch können Hacker unbemerkt in die unternehmenseigene Infrastruktur eindringen und großen Schaden anrichten. Ausreichend Budget, das effektiv eingesetzt wird, ist für einen guten Schutz daher notwendig“, sagt Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich (Bild).
Was passiert, wenn’s passiert ist
Bei einem Angriff auf die IT-Systeme eines Unternehmens oder dem Verdacht auf Manipulation gilt es, schnell zu handeln. Insbesondere Verantwortliche für die Informationssicherheit sollten auf solche Fälle vorbereitet sein, um im Ernstfall richtig zu reagieren. So geben 81% der Führungskräfte an, dass sie Pläne für die Wiederherstellung der Infrastruktur nach einem Angriff haben. Für die rasche Reaktion auf Cyberangriffe in ihrem Unternehmen haben elf Prozent der Unternehmen nach eigener Aussage keinen Krisenplan, acht Prozent sind gerade in der Ausarbeitung.
Der Großteil der österreichischen Unternehmen lässt ihre IT-Systeme jährlich von externen Experten auf Schwachstellen in Hinblick auf Datendiebstahl prüfen, 32% tun dies sogar häufiger. Um im Falle, dass es trotz aller getroffenen Sicherheitsmaßnahmen zu einem Cyberangriff kommt, vor schwerwiegenden Folgen geschützt zu sein, hat knapp die Hälfte der Unternehmen (47%) derzeit eine Versicherung gegen Cyberrisiken. Besonders hoch ist der Anteil der Unternehmen mit Versicherungsschutz in der Branche Bau und Immobilien (61%) und Energie (67%).
„Viele Unternehmen blenden die reale Gefahr eines Angriffs weiterhin aus oder scheinen die Thematik nicht so ernst zu nehmen, um entsprechende Maßnahmen zu ergreifen und das Risiko zu adressieren. Es braucht neben medialer Beachtung des Themas somit weitere Anstrengungen, um die Umsetzung von Cybersicherheitsmaßnahmen zu erhöhen, konkrete Pläne bei einem Anlassfall zu erstellen und entsprechend auf präventive Maßnahmen zu setzen“, so Tonweber.
Cyberabwehr mit KI-Technologien
Auch Sicherheitssysteme, die künstliche Intelligenz (KI) berücksichtigen, können helfen, Hacker-Angriffe besser zu erkennen und Schäden zu vermeiden. Dennoch setzen derzeit die wenigsten Unternehmen KI-Technologien im Bereich Cybersicherheit ein (12%). Unternehmen, die über mehr Mitarbeitende sowieso einen höheren Umsatz von mehr als 50 Mio. € verfügen, sind hier mit 35% Vorreiter. Bedrohungen besser und schneller zu erkennen, wird von 43% der Befragten als Hauptziel genannt, gefolgt von einem effizienteren Sicherheitsmanagement (33%). Mit jeder neuen Technologie kommen auch Herausforderungen auf Unternehmen zu: Bei KI haben 44% Bedenken in Bezug auf Datenschutz und Ethik, 36% sehen hohe Kosten als Risiko sowie den Mangel an qualifiziertem Personal (32%), um KI überhaupt richtig anzuwenden.
Eines von fünf Unternehmen hat zwar vor, zukünftig GenAI-Tools einzusetzen, eine große Mehrheit von 57% wird auf Technologie für die Cyberabwehr aber weiterhin verzichten. Wenn, dann kommen vor allem Technologien zur Bedrohungsanalyse und -intelligenz zum Einsatz (36%), gefolgt von automatisierter Sicherheitsüberwachung und -management (32%). 40% der Befragten halten den Beitrag von KI für sehr groß bzw. groß, während ungefähr der gleiche Prozentsatz (44%) wenig überzeugt von der Effektivität der Technologie ist.
Wichtigstes Werkzeug für IT-Security
Darüber hinaus kann Homeoffice für viele Unternehmen zum Risikofaktor werden. Remote-Verbindungen sind ein attraktives Einfallstor für Cyberkriminelle. Bei einem Viertel der Befragten (26%) ist Homeoffice gang und gäbe – je größer das Unternehmen, desto eher wird verstärkt die Möglichkeit geboten. Bei Betrieben mit über 100 Mitarbeitenden sind es 40%. Aber neun von zehn Unternehmen haben keine Veränderung von Cyberangriffen durch die Homeoffice-Möglichkeit festgestellt, nur vier Prozent konnten einen Zuwachs bemerken. Mehr als die Hälfte hat jedoch verstärkt interne Maßnahmen gesetzt, Mitarbeitende sensibilisiert (52%), vier von zehn setzen auf modernere Technik (42%) und verschärfen Sicherheitsmaßnahmen (42%).
Zacherl dazu: „Der Mensch ist eine der größten Schwachstellen bei der IT-Sicherheit. Oftmals aus Unwissenheit. Schulungen und Trainings, um Awareness bei Mitarbeitenden zu schaffen und das nötige Know-how zu vermitteln, sollten daher hohe Priorität haben, um allfällige Angriffe abzuwehren.“