Sicherheitsschere zwischen großen Unternehmen und KMU geht auf
© Deloitte
Alexander Ruzicka, Deloitte Österreich
RETAIL Redaktion 13.03.2019

Sicherheitsschere zwischen großen Unternehmen und KMU geht auf

Deloitte Cyber Security Report Österreich: Vor allem KMU sind in Österreich beim Thema Cyber Security schlecht aufgestellt.

WIEN. Rund ein Viertel reagiert überhaupt erst nach einem Vorfall mit entsprechenden Sicherheitsmaßnahmen. Es mangelt an notwendigen Strukturen und Strategien. Zu diesem Ergebnis kommt der aktuelle Deloitte Cyber Security Report.

Deloitte Österreich hat gemeinsam mit dem Forschungsinstitut Sora zum Jahreswechsel IT-Entscheider aus 517 Unternehmen österreichweit zum Thema Cyber Security interviewt. Das Studienergebnis lässt eine deutliche Sicherheitsschere erkennen: Während Großunternehmen tendenziell sicher und gut auf Gefahren vorbereitet sind, hinken KMU klar hinterher.

„Bei Unternehmen, die im Bereich Cyber Security schlecht aufgestellt sind, hat das Thema meist eine niedrigere Priorität und das Unsicherheitsgefühl nimmt zu. In erster Linie sind kleinere, ressourcenschwache Betriebe betroffen“, erklärt Alexander Ruzicka, Partner bei Deloitte Österreich. „Gut aufgestellte Organisationen verfügen über mehr Know-how, investieren mehr und werden so immer noch sicherer.“

Unsicher, unvorbereitet und überfordert
Generell ist die Überforderung bei Sicherheitsthemen in den österreichischen Betrieben mit knapp einem Viertel relativ hoch. Das spiegelt sich im Sicherheitsgefühl wider: Laut eigenen Angaben ist in Bezug auf Daten und IT-Systeme nur jedes zehnte Unternehmen absolut sicher. 41 % haben das Gefühl, dass sie nicht völlig sicher sind.

Im Schnitt sind Großunternehmen jedoch viel besser auf potenzielle Vorfälle vorbereitet. Während sich rund ein Viertel der Klein- und Mittelbetriebe erst nach einem Vorfall mit Cyber Security auseinandersetzt, handeln 92 % der befragten Unternehmen mit 250 Mitarbeitern und mehr um einiges vorausschauender.

„Nur 13 % aller Studienteilnehmer haben bisher noch keinen Störfall erlebt. Die Wahrscheinlichkeit, in Zukunft auch selbst betroffen zu sein, ist dementsprechend hoch. Umso wichtiger ist es deshalb auch für KMU, ihre passive Haltung abzulegen und Strategien zu erarbeiten“, betont Alexander Ruzicka.

Leichtfertiger Umgang mit Daten
Im normalen Berufsalltag finden sich zahlreiche potenzielle Sicherheitslücken. Laut Studie nutzt man in 26 % der befragten Unternehmen WhatsApp für Geschäftliches. Das wirft viele Datenschutzbedenken auf. Bei 31 % greifen Mitarbeiter für berufliche Zwecke außerdem zu privaten Handys, Laptops oder Tablets. Dadurch ergibt sich ein erhebliches Sicherheitsrisiko.

„Von der Nutzung privater Geräte im beruflichen Kontext ist auf jeden Fall abzuraten. Zum einen wird Identitätsdiebstahl und das Einschleppen von Schadsoftware dadurch begünstigt. Zum anderen gewöhnt man sich an den leichtfertigen Umgang mit sensiblen Informationen“, warnt Gilbert Wondracek, Senior Manager bei Deloitte Österreich.

Unterschätzung der Gefahrenquellen im eigenen Unternehmen
Einiges an Gefahrenpotenzial findet sich im Unternehmen selbst – auch in Form gezielter Angriffe. Die meisten Befragten fürchten sich aber nur vor Attacken von außen. Individuelle Einzeltäter oder der Mitbewerb stehen besonders oft unter Verdacht. Ehemalige Mitarbeiter werden hingegen lediglich von 11 % als Gefahrenquelle gesehen, derzeitigen Mitarbeitern trauen nur 3 % Angriffe zu.

„An dieser Stelle deckt sich das Studienergebnis nicht mit der Beratungspraxis. Wir beobachten deutlich häufiger Informationsmitnahmen durch Mitarbeiter oder Racheaktionen von ehemaligen Kollegen. Offensichtlich wird dieses Risikopotenzial noch massiv unterschätzt“, analysiert Gilbert Wondracek.

Nur unzureichende Standardmaßnahmen im Fokus
Trotz des Optimierungsbedarfs setzt der Großteil der Unternehmen auch in Zukunft nur auf Standardmaßnahmen im Bereich Cyber Security. 48 % nennen etwa den Einsatz von Antivirus-Software als Fokusthema, 41 % wollen Softwareupdates durchführen. Wichtige Maßnahmen wie die korrekte Einstellung der Sicherheitsoptionen, Planspiele von Angriffen sowie Tests durch Dritte stehen hingegen selten auf der Agenda. Auch die Sensibilisierung der Mitarbeiter wird fast nur von Großunternehmen angegangen.

„Gerade bei KMU mangelt es an effizienten, zeitgemäßen Maßnahmen. Dabei lässt sich die Unternehmenssicherheit bereits mit relativ wenig Aufwand erhöhen. Wenn man außerdem bedenkt, wieviel ein etwaiger Schaden oder Datendiebstahl kosten kann, rentiert sich die Investition allemal“, erklärt Alexander Ruzicka abschließend. (red)

BEWERTEN SIE DIESEN ARTIKEL

TEILEN SIE DIESEN ARTIKEL