Erpressung und Datendiebstahl und Faktor Mensch
Die Berater von EY haben Unternehmenslenker zum Thema Cyber-Sicherheit befragt. Ein Fünftel der Unternehmen wurde bereits Opfer von Erpressungsangriffen. Verbesserte Security-Maßnahmen über professionelle IT-Dienstleister dringend nötig.
Die Berater von EY (Ernst & Young) haben kürzlich über 200 Führungskräfte aus den Bereichen IT-Sicherheit von österreichischen Unternehmen ab 20 Mitarbeitenden befragt (siehe auch Bericht „Unternehmen und das Thema Cyber-Sicherheit“). Rund ein Fünftel der Betriebe war bereits mit Erpressung konfrontiert, vier Prozent sogar schon mehrfach, und das beliebteste Angriffsziel ist der Bereich Finanzen.
Finanzabteilung und Vertrieb im Fokus der Angriffe
Laut eigenen Angaben hat jedoch keines der betroffenen Unternehmen gezahlt. Cyberangriffe kosten den Unternehmen dennoch Geld : In 22 Prozent der Fälle fiel ein Schaden von unter 25.000 Euro an, bei neun Prozent lag er teils deutlich über dieser Summe. Die Dunkelziffer bleibt unklar, da mehr als die Hälfte der Befragten keine Angaben zur Schadenhöhe machen wollte. Vier von zehn Angriffen konnten über unternehmensinterne Kontrollsysteme aufgedeckt werden, 18 Prozent im Rahmen interner, routinemäßiger Überprüfungen. Elf Prozent geben aber auch an, dass dies nur zufällig passiert sei. Betrachtet man die betroffenen Abteilungen, richten sich die Angriffe und der Datendiebstall in erster Linie an Finanz- und Kreditabteilungen (31 Prozent), gefolgt vom Vertrieb (20) und dem höheren Management (18 Prozent).
Investment in Cyber-Security dringend angebracht In Cybersecurity-Maßnahmen zu investieren ist aufgrund der möglichen Schäden dringend angebracht. Jedoch weiß nur jede:r Zweite über ein Cyber-Budget Bescheid. 36 Prozent der Befragten haben bis zu 25.000 Euro jährlich zur Verfügung, um sich zu schützen. Der eigenen Einschätzung nach stehen 44 Prozent der Unternehmen (eher) viele Ressourcen zur Verfügung. Knapp ein Drittel plant sogar eine Erhöhung dieser Kostenstelle. Nur ein Viertel gibt an, ausreichend vor Informationsabfluss geschützt zu sein. Ebenfalls rund ein Viertel ist davon jedoch weniger oder gar nicht überzeugt.
„Viele Manager:innen erwarten, dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen. Angesichts der komplexen digitalen Umgebungen – sei es durch Ausweitung von Homeoffice, Mobile Devices oder Cloud Computing – werden auch die Angriffsflächen immer größer und die Sicherung der eigenen Systeme immer schwieriger“, sagt Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich.
Stillstand des Betriebes kann existenzgefährdend sein
Durch die steigenden Unsicherheiten können Hacker:innen oft unbemerkt in die unternehmenseigene Infrastruktur eindringen und großen Schaden anrichten. „Ausreichend Budget, das effektiv eingesetzt wird, ist für einen guten Schutz daher notwendig“, betont Bernhard Zacherl von EY Österreich. Auch andere Experten betonen, dass branchenübergreifend viele Betriebe nicht auf aktuelle, sich laufend verändernde Bedrohungslagen vorbereitet sind.
„Ein Stillstand des Betriebes kann nicht nur substanziellen wirtschaftlichen Schaden verursachen, sondern existenzgefährdend sein“, so Thomas Masicek, Senior VP Cyber Security beim IT-Dienstleister T‑Systems. Die Frage ist nicht mehr, ob, sondern wann ein Cyber-Angriff passiert und erfolgreich ist. Unternehmen aller Größen benötigen erfahrene Sicherheitsberatungsdienste, um einerseits Risiken zu identifizieren und andererseits Lösungen zur Stärkung ihrer Cyber-Security zu entwickeln.
Mehr als drei Viertel verfügen über einen Krisenplan
Bei einem Angriff auf die IT-Systeme eines Unternehmens oder dem Verdacht auf Manipulation gilt es, schnell zu handeln. Insbesondere Verantwortliche für die Informationssicherheit sollten auf solche Fälle vorbereitet sein. So geben 81 Prozent der Führungskräfte an, dass sie Pläne für die Wiederherstellung der Infrastruktur nach einem Angriff haben. Für die rasche Reaktion auf Cyberangriffe in ihrem Unternehmen haben elf Prozent der Unternehmen nach eigener Aussage keinen Krisenplan, acht Prozent sind gerade in der Ausarbeitung.
Der Großteil der österreichischen Unternehmen lässt ihre IT-Systeme jährlich von externen Experten auf Schwachstellen in Hinblick auf Datendiebstahl prüfen, 32 Prozent tun dies sogar häufiger. Um trotz Maßnahmen vor schwerwiegenden Folgen geschützt zu sein, hat knapp die Hälfte der Unternehmen derzeit eine Versicherung gegen Cyberrisiken. Besonders hoch ist der Anteil der Unternehmen mit Versicherungsschutz in der Branche Bau und Immobilien und Energie (jeweils über 60 Prozent).
Entscheidend in der IT-Security ist das frühzeitige Erkennen von Bedrohungen. „Cyber-Angreifer nutzen oft Sicherheitslücken in Software oder Schwachstellen in der Systemkonfiguration, um sich Zugang zu sensiblen Informationen zu verschaffen. Regelmäßige Sicherheitsprüfungen und sogenannte Penetrationstests helfen Unternehmen, Schwachstellen in ihren Systemen zu identifizieren und rechtzeitig zu beheben“, weisen auch die Security-Experten des IT-Dienstleister CANCOM (ehem. Kapsch BusinessCom) auf nötige Maßnahmen hin.
Einsatz von KI-Technologien noch ausbaufähig
Auch Sicherheitssysteme, die künstliche Intelligenz (KI) berücksichtigen, können helfen, Hacker-Angriffe besser zu erkennen und Schäden zu vermeiden. Dennoch setzen derzeit die wenigsten Unternehmen KI-Technologien im Bereich Cybersicherheit ein (12 Prozent). Unternehmen, die über mehr Mitarbeitende sowieso einen höheren Umsatz von mehr als 50 Millionen Euro verfügen, sind hier mit 35 Prozent Vorreiter.
Bedrohungen besser und schneller zu erkennen, wird von 43 Prozent der Befragten als Hauptziel genannt, gefolgt von einem effizienteren Sicherheitsmanagement (33 Prozent). Mit jeder neuen Technologie kommen auch Herausforderungen auf Unternehmen zu. Bei KI haben 44 Prozent Bedenken in Bezug auf Datenschutz und Ethik, jeweils über 30 Prozent sehen hohe Kosten als Risiko sowie den Mangel an qualifiziertem Personal, um KI überhaupt richtig anzuwenden.
Eines von fünf Unternehmen hat zwar vor, zukünftig generative KI-Tools einzusetzen, eine große Mehrheit von 57 Prozent wird auf Technologie für die Cyberabwehr aber weiterhin verzichten. Wenn, dann kommen vor allem Technologien zur Bedrohungsanalyse und ‑intelligenz zum Einsatz (36 Prozent), gefolgt von automatisierter Sicherheitsüberwachung und ‑management (32 Prozent). 40 Prozent der Befragten halten den Beitrag von KI für groß, während ungefähr der gleiche Prozentsatz (44 Prozent) wenig von der Effektivität überzeugt ist.
Sensibilisierung von Mitarbeitenden als wichtigstes Werkzeug für IT-Security
Ein Risikofaktor für viele Unternehmen kann die Arbeit von zu Hause aus sein (Homeoffice). Die dafür nötigen Remote-Verbindungen sind ein attraktives Einfallstor für Cyberkriminelle. Bei einem Viertel der Befragten ist Homeoffice gang und gäbe – je größer das Unternehmen, desto verstärkt. Bei Betrieben mit über 100 Mitarbeitenden sind es bereits 40 Prozent. Aber neun von zehn Unternehmen haben keine Veränderung von Cyberangriffen durch die Homeoffice-Möglichkeit festgestellt, nur vier Prozent konnten einen Zuwachs bemerken.
Mehr als die Hälfte hat jedoch verstärkt interne Maßnahmen gesetzt, Mitarbeitende sensibilisiert, modernere Technik und verschärfte Sicherheitsmaßnahmen. „Der Mensch ist eine der größten Schwachstellen bei der IT-Sicherheit. Oftmals aus Unwissenheit. Schulungen und Trainings, um Awareness bei Mitarbeitenden zu schaffen und das nötige Know-how zu vermitteln, sollten daher hohe Priorität haben, um allfällige Angriffe abzuwehren“, unterstreicht Bernhard Zacherl, Experte für Cybersecurity bei EY Österreich.