WIEN. Die Digitalisierung ist ein großes Versprechen, insbesondere für die Wirtschaft. Sie bietet ökonomische Chancen, Effizienzvorteile und kann den Alltag im Beruflichen wie Privaten erleichtern. So viel zur einen Seite der Medaille, nun zu anderen: Die zunehmende Digitalisierung macht Unternehmen und auch Privatpersonen verwundbarer.
Laut der Studie „Cyberangriffe und Datendiebstahl: virtuelle Gefahr – reale Schäden” der Prüfungs- und Beratungsorganisation EY Österreich rechnen drei Viertel der Führungskräfte (76%) in Österreich in Zukunft mit einer allgemein steigenden Gefahr durch Cyberangriffe und Datendiebstahl, gleichzeitig bewerten nur 29% der Befragten das Risiko, selbst Opfer eines Angriffs zu werden, als hoch. Wobei die Risikowahrnehmung mit der Größe des Unternehmens korreliert und auch branchenabhängig ist: Banken zeigen sich besonders gefahrenbewusst (zehn Prozent sehr hohes Risiko, 30% hohes Risiko), gefolgt von der Energiebranche (27% sehr hohes Risiko, acht Prozent hohes Risiko).
Internetkriminalität ist zu einem hochprofessionellen Geschäft des organisierten Verbrechens geworden und ein Cyberangriff keine vielzitierte Frage des Ob, sondern nur noch des Wann. Insgesamt jedes vierte heimische Unternehmen (23%) berichtet von konkreten Hinweisen auf Cyberattacken: Bei 16% der Unternehmen einmalig, bei sieben Prozent sogar mehrfach.
Gekommen, um zu bleiben
Auch wenn Gefahrenbewusstsein und die weitreichenden Konsequenzen eines Cyberangriffs mittlerweile in den Köpfen der Führungskräfte angekommen sind und in die Sicherheit der eigenen Systeme viel Geld gesteckt wurde – es hört nicht auf: „Viele Verantwortliche erwarten, dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen”, sagt Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich, und warnt: „Dabei unterschätzen sie die Kreativität und Professionalität der Angreifer, denn die Arten der Angriffe werden immer unauffälliger. Angesichts der komplexen digitalen Umgebungen – sei es durch Ausweitung von Homeoffice, Mobile Devices oder Cloud Computing – werden auch die Angriffsflächen immer größer und die Sicherung der eigenen Systeme immer schwieriger. Dadurch können Hacker unbemerkt in die unternehmenseigene Infrastruktur eindringen und großen Schaden anrichten.”
Was passiert, wenn’s passiert
Bei einem Angriff auf die IT-Systeme eines Unternehmens oder dem Verdacht auf Manipulation gilt es, schnell und richtig zu handeln – insbesondere Verantwortliche für die Informationssicherheit sollten auf den Ernstfall vorbereitet sein.
57% der Führungskräfte geben in der Studie an, dass sie einen Krisenplan zur Reaktion auf Cyberangriffe in ihrem Unternehmen haben, knapp zwei Drittel (63%) üben die Abläufe jährlich oder mehr als einmal im Jahr. Jedes dritte Unternehmen (33%) hat nach eigener Aussage keinen Krisenplan, zehn Prozent sind gerade in der Ausarbeitung. Knapp die Hälfte der österreichischen Unternehmen (45%) lässt ihre IT-Systeme jährlich oder halbjährlich von externen Stellen auf Schwachstellen im Hinblick auf Datendiebstahl prüfen. Um im Falle, dass es trotz aller getroffenen Sicherheitsmaßnahmen zu einem Cyberangriff kommt, vor schwerwiegenden Folgen geschützt zu sein, haben 47% der Unternehmen derzeit eine Versicherung gegen Cyberrisiken.
Personellen Ressourcen
Knapp ein Drittel der Unternehmen über 100 Beschäftigten (31%) beschäftigt eine eigene IT-Security-Abteilung mit mehr als zwei Vollzeit-Mitarbeitern, in kleineren Unternehmen unter 100 Mitarbeitenden stehen nur jedem zehntem umfassende Personalressourcen zur Verfügung. KMU bis 49 Beschäftigte bilden hier das Schlusslicht: 34% geben an, dass es keine Personalressourcen für Cybersecurity in ihrem Unternehmen gibt.
Auch wenn in vielen Betrieben IT-Sicherheit zur Chefsache erklärt wurde, es ist eine Vogel-Strauß-Politik: „Obwohl auch kleine KMU erwiesenermaßen ein interessantes Angriffsziel sind, werden viele grundlegende Schutzmaßnahmen nicht in ausreichendem Maße umgesetzt. Viele Unternehmen blenden diese reale Gefahr aus dem digitalen Raum weiterhin aus oder scheinen zu träge oder von der Problematik überfordert zu sein, um entsprechende Maßnahmen zu ergreifen und das Risiko zu adressieren”, so Tonweber.
Das Homeoffice kann für viele Unternehmen zum Risikofaktor werden, Remote-Verbindungen zu einem attraktiven Einfallstor für Cyberkriminelle: In den meisten Fällen musste neue Software installiert werden, und private Laptops sind oft nicht mit derselben Software, etwa einer vernünftigen Firewall, geschützt wie Firmen-PCs.
Werkzeug Sensibilisierung
Viele heimische Unternehmen haben dieses gesteigerte Risiko erkannt und in den letzten Monaten ihre Cybersecurity-Maßnahmen verschärft. 56% setzen auf die Sensibilisierung der Mitarbeiter, 54% auf die Modernisierung der IT-Infrastruktur) und 46% auf die Verschärfung der Sicherheitsrichtlinien.
Dazu rät Birgit Eschinger, Senior Manager Cybersecurity & Data Privacy bei EY Österreich: „Der Mensch ist weiterhin die größte Schwachstelle im Bereich der IT-Sicherheit. Sei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus – vertrauliche Unternehmensdaten geraten schnell in die falschen Hände, oder das Netzwerk ist infiziert. Schulungen und Trainings, um Awareness bei Mitarbeitenden zu schaffen und das nötige Know-how zu vermitteln, sollten daher hohe Priorität haben, um allfällige Angriffe abzuwehren.” (hk)
