WIEN. Der Wert der Daten ist in den letzten Jahren aufgrund der immer rascher voranschreitenden digitalen Transformation erheblich gestiegen. Diesen Kursanstieg haben auch Cyberkriminelle erkannt. Für sie hat die Coronakrise neue „Geschäftsfelder“ eröffnet. Gerade durch die fast flächendeckende Umstellung auf Homeoffice und den kurzfristigen Digitalisierungsschub haben sich neue Einfallstore für Angriffe und Datendiebstahl geöffnet, wie auch einige öffentlich bekannt gewordene Fälle in den letzten Wochen unterstreichen. Dass unter dem großen Zeitdruck auch Kontrollprozesse vernachlässigt wurden, befeuert diese Entwicklung weiter und lässt die ohnehin schon große Bedrohung von Datendiebstahl durch Cyberkriminelle weiter steigen.
Bereits vor dem Ausbruch der Coronakrise hat die Anzahl an Angriffen auf Netzwerke und die Infrastruktur rasant zugenommen und in manchen heimischen Unternehmen Schäden in Millionenhöhe verursacht. Neben vielen Fällen, die nie entdeckt oder bekannt werden, häufen sich auch öffentlich kommunizierte Angriffe.
Das Thema Cybersicherheit und Cyberkriminalität ist in Unternehmen fast täglich präsent. 41% der heimischen Führungskräfte bewerten das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als eher oder sehr hoch. Je größer das Unternehmen, desto größer das Risiko: Etwa jedes fünfte größere Unternehmen (21%) mit mehr als 100 Mitarbeitern schätzt das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als sehr hoch ein – bei den mittleren und kleineren Unternehmen sind es 13 Prozent bzw. vier Prozent. Die mit Abstand meisten Attacken gab es bei Unternehmen im Bereich Handel und Konsumgüter sowie bei Versicherungsunternehmen (jeweils 40%).
Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY, für die Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 200 österreichischen Unternehmen ab 20 Mitarbeitern befragt wurden.
Mehr als jede vierte Führungskraft sieht stark steigendes Risiko durch Datendiebstahl
Auch in der aktuellen Umfrage gehen immer noch 81% der Befragten davon aus, dass die Gefahr für Unternehmen, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, weiterhin zunehmen wird. 2017 waren die Zukunftsaussichten allerdings noch deutlich pessimistischer. Wie bereits in den Jahren zuvor zeigen sich die Unternehmen alarmiert. Besonders Versicherungsunternehmen, die bereits jetzt ein verhältnismäßig großes Risiko sehen, erwarten für die kommenden Jahre eine stark zunehmende Bedrohung.
„Österreichs Unternehmen sind im Visier von Cyberkriminellen und das Bewusstsein dafür ist in den letzten Jahren gestiegen. Trotz der Bedrohung fühlen sich die meisten Unternehmen zumindest eher gut vor Informationsabfluss geschützt. Gut die Hälfte der Befragten hat laut eigenen Angaben ihre Hausübungen gemacht und kann vollkommen ruhig schlafen. Die andere Hälfte sieht im eigenen Unternehmen noch Handlungsbedarf. Die richtige Vorbereitung ist essenziell und wurde gerade in der raschen Umstellung auf Homeoffice in der Coronakrise teilweise vernachlässigt. Wenn man auf einen Angriff wartet, ist es schon zu spät“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.
Heimische Manager fürchten am meisten die organisierte Kriminalität
Österreichische Unternehmen fürchten insbesondere, Opfer von organisierter Kriminalität zu werden. So bewertet jede dritte Führungskraft dieses Risiko als hoch oder sehr hoch. Auch das Risiko, von Hacktivisten oder ausländischen Geheimdiensten bzw. staatlichen ausländischen Stellen geschädigt zu werden, wird vergleichsweise als hoch eingeschätzt.
Drazen Lukac, Leiter Risk IT und Cybersecurity bei EY Österreich, ergänzt: „Als deutlich weniger gefährlich als vor zwei Jahren stufen die Befragten hingegen den durch eigene Mitarbeiter verschuldeten Datendiebstahl ein. Der Anteil ist von 17 Prozent auf sechs Prozent gesunken. Hier scheinen die Manager davon auszugehen, dass die Weiterbildungen und Schulungen von Mitarbeitern zu einem stärkeren Bewusstsein geführt haben. Die Fortbildung und Sensibilisierung von Mitarbeitern in Bezug auf Programme, Prozesse und Verhalten im Krisenfall ist wichtig und hilft enorm beim Schutz gegen Cyberkriminalität.“
Beliebtes Ziel: IT-Systeme lahmlegen und Lösegeldforderungen stellen
Wie bereits in den Jahren zuvor zielen die mit Abstand meisten Hackerangriffe auf die EDV-Systeme ab (65%). Hatte im Jahr 2017 noch jeder siebte Angriff das Ziel, IT-Systeme lahmzulegen (14%), so ist dies 2019 schon bei jedem dritten registrierten Angriff der Fall (31%). Dabei umfasst das vorsätzliche Stören oder Lahmlegen der Geschäftstätigkeiten oder der IT-Systeme auch die Verschlüsselung und den darauffolgenden Zugriffsverlust auf die eigenen Daten durch sogenannte Ransomware. Für die Entschlüsselung fordert der Angreifer Lösegeld. 17% der Befragten waren bereits mit einem derartigen Angriff konfrontiert, jeder 20ste sogar mehrfach. Für die Angreifer war dies jedoch selten von Erfolg gekrönt: Nur drei Prozent der Unternehmen haben gezahlt, 97% haben dem Druck der Erpresser nicht nachgegeben.
Wird ein Cyberangriff bekannt, ist die IT-Abteilung in 63% der Fälle die erste Anlaufstelle. Immer häufiger ziehen Unternehmen zur Aufklärung von Angriffen externe Dienstleister hinz; hier gab es einen Anstieg von sieben Prozent auf 19%.
Schutz durch Versicherungen und Krisenpläne
Digitale Risiken sind für Unternehmen weiterhin nicht zu unterschätzen. Im Schadensfall können dabei Kosten in Millionenhöhe entstehen. Zum Schutz vor diesen schwerwiegenden Folgen schließen immer mehr Unternehmen Versicherungen gegen Cyberrisiken ab: 35% der befragten Unternehmen haben inzwischen nach eigenen Angaben eine solche Versicherung in Anspruch genommen.
57% verfügen bereits über Krisenpläne, die das Vorgehen im Falle eines entdeckten Datenklaus definieren. Rund ein Drittel der Unternehmen hat bisher noch keinen Plan für ein Notfallszenario vorbereitet. Sobald ein Angriff auf IT und Daten erkannt wird, sollte ein Unternehmen möglichst schnell handlungsfähig sein. Hierfür ist eine Übung der Abläufe eines Krisenplans essenziell. So werden bei nur etwas mehr als der Hälfte der Unternehmen (60%) die Abläufe der Krisenpläne einmal jährlich geübt. Ein Viertel gibt sogar an, noch keine Übungen durchgeführt zu haben.
„Das Thema Datenschutz bringt zusätzliche Brisanz, denn mit dem Verlust von Daten können durch die DSGVO auch Strafen, Schadenersatzansprüche und Reputationsverlust kommen. Um diese Risiken zu reduzieren haben schon viele Unternehmen ein Datenschutz-Management-System eingerichtet. Vor allem für Unternehmen, die umfangreiche Daten ihrer Endkunden erheben und verarbeiten, wie beispielsweise Banken, Versicherungen und Handelsunternehmen, ist es wichtig, dass der Datenschutz systematisch gemanagt wird“, so Thomas Breuss, Rechtsanwalt und Director bei EY Law.
Weiterhin hohe Dunkelziffer bei Datendiebstählen
Bei mehr als einem Viertel der Unternehmen hat es in den vergangenen fünf Jahren konkrete Hinweise auf Datendiebstahl gegeben. 19% der befragten Unternehmen gaben an, dass kriminelle Handlungen nur durch Zufall aufgedeckt worden seien. Die Dunkelziffer der tatsächlich erfolgten Fälle von Cyberangriffen bzw. Datenklau dürfte demnach deutlich höher sein. Konkrete Hinweise gab es zuletzt am häufigsten bei Unternehmen aus den Bereichen Versicherung bzw. Handel und Konsumgüter (jeweils 40%).
„Gerade große und namhafte Unternehmen sind massiv gefährdet – es dürfte kaum einen österreichischen Top-Konzern geben, der nicht schon Opfer eines Angriffes zum Diebstahl von Daten wurde. In 42 Prozent der größeren Unternehmen mit mehr als 100 Mitarbeitern gab es zuletzt Hinweise auf Attacken“, so Benjamin Weißmann, Leiter Cyberforensik bei EY Österreich. „Viele Unternehmen bemerken es nur nicht, weil die Sicherheitssysteme den Angriff nicht entdecken. Oft fällt der Schaden erst dann auf, wenn es schon zu spät ist – wenn sensible Daten also an anderer beziehungsweise falscher Stelle wiederauftauchen. Die Coronakrise hat uns verstärkt gezeigt, wie wichtig digitale Sicherheit sein sollte. Die Unternehmen sind mehr denn je mit diesem Thema konfrontiert und müssen den Fokus darauf legen.“ (red)
Weitere Informationen finden Sie unter www.ey.com/at
