EY-Studie Datendiebstahl in Österreich 2017

Gefahr von Datendiebstahl in österreichischen Unternehmen steigt – fast jedes zweite war bereits Opfer einer Attacke

  • Share
  • Fast jedes zweite österreichische Unternehmen war in den letzten fünf Jahren Opfer von Spionage oder Datendiebstahl – hohe Dunkelziffer
  • Wannacry und Petya sind keine Einzelfälle – jedes sechste Unternehmen in Österreich wurde bereits Opfer von Erpressungsversuchen
  • Unterschätzte Gefahr: Nur knapp die Hälfte der Unternehmen hält einen Cyberangriff für wahrscheinlich – aber fast alle gehen von steigender Bedrohung aus
  • Hohe Dunkelziffer: Viele Attacken bleiben unbemerkt
  • Nach Meinung der Manager geht die größte Gefahr  vom Raum China und Russland aus – Drahtzieher dahinter bleiben oft unbemerkt
  • Zweiklassengesellschaft droht – die Hälfte der Unternehmen hat zu wenig Ressourcen für den Kampf gegen Cyberattacken

Cyberangriffe bringen immer häufiger Unternehmen in Bedrängnis und verursachen Schäden in Millionenhöhe. Die weltweit bekannt gewordenen Attacken WannaCry und Petya sind dabei nur die Spitze des Eisberges: In Österreich gab es alleine 2016 über 13.000 Anzeigen wegen Cyberkriminalität. Auch heimische Betriebe geraten zunehmend ins Visier von Cyberkriminellen: Fast jedes zweite Unternehmen (44%) in Österreich ist in den vergangenen Jahren Opfer von Spionage oder Datendiebstahl geworden, knapp ein Drittel (30%) sogar mehrfach. Die mit Abstand meisten Attacken gab es in den vergangenen fünf Jahren im Personalbereich (41%), gefolgt von Vertrieb (27%) und Finanzwesen (16%).

Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY, für die Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 100 österreichischen Unternehmen befragt wurden.

Das wichtigste Motiv war dabei Geld: Gut drei von vier identifizierten Angriffen (77%) zielten auf finanzielle Vorteile ab. Jedes sechste Unternehmen in Österreich (17%) war bereits mit Erpressungsversuchen von Angreifern konfrontiert. Rund ein Drittel (36%) davon verweigerte die Zahlung, zwei Prozent zahlten. 62 Prozent gaben keine Auskunft darüber, ob Geld in Richtung der Erpresser geflossen ist.

Den durch Cyberangriffe und Datendiebstahl entstandenen Schaden schätzen 51 Prozent der Unternehmen auf bis zu 50.000 Euro, bei sechs Prozent ging dieser sogar bis zu 500.000 Euro. Bei einem Fünftel (20%) konnte die Schadenshöhe nicht festgestellt werden.

Unternehmen unterschätzen Gefahr immer noch deutlich
Besonders groß ist die Gefahr für Industriebetriebe und Großunternehmen mit mehr als einer Milliarde Euro Umsatz: Dort haben 69 Prozent bzw. 50 Prozent bereits konkrete Attacken festgestellt. Umso verwunderlicher: Immer noch sieht fast die Hälfte (47%) der Unternehmen hierzulande nur ein geringes Risiko, Opfer eines Cyberangriffs zu werden.

„Österreichs Unternehmen sind im Visier von Cyberkriminellen, jedes zweite ist in den letzten Jahren Opfer eines Angriffes geworden – die Dunkelziffer ist bei diesem sensiblen Thema allerdings noch deutlich höher. Umso mehr überrascht die Sorglosigkeit bei vielen Unternehmen. Knapp jedes zweite Unternehmen glaubt nicht daran, Opfer eines Angriffs zu werden. Dabei zeigen die regelmäßigen neuen Enthüllungen, dass jeder Ziel solcher Attacken werden kann und dass die gängigen Schutzmechanismen umgangen werden können“, so Gottfried Tonweber, Senior Manager IT Advisory und Leiter Cyber Services bei EY Österreich.

Nahezu alle Manager sind sicher: die Bedrohung wächst
Für die Zukunft erwarten nahezu alle Manager (99%), dass die Bedeutung des Problems zunehmen wird. 56 Prozent gehen sogar von einer stark wachsenden Bedrohung aus dem Netz aus.

Drazen Lukac, Associate Partner und Geschäftsführer IT Advisory bei EY Österreich, ergänzt: „Jeder Warnschuss ist einer zu viel. Unternehmen müssen sich in Klaren sein, dass sie jederzeit attackiert werden können und die Schäden durch Angriffe existenzbedrohlich sein können. Die in neun Monaten in Kraft tretende Datenschutz-Grundverordnung erhöht das finanzielle Risiko weiter. Bei Verfehlungen im Datenschutz kann die Behörde drastische Bußgelder verhängen, die in Millionenhöhe gehen können. Unternehmen müssen technisch aufrüsten und vor allem die eigenen Mitarbeiter schulen und sensibilisieren, um gegen Cyberangriffe und Datendiebstahl bestehen zu können“.

Hohe Dunkelziffer: Viele Attacken bleiben unbemerkt
Die Dunkelziffer von Cyberattacken dürfte aber deutlich höher sein – gerade bei den kleineren Unternehmen, die oft nicht die entsprechenden Mittel oder das Know-how haben, um diese zu entdecken. So sind 73 Prozent der entdeckten kriminellen Handlungen durch ein internes Kontrollsystem aufgeflogen. Bei 23 Prozent der Fälle wurden die Angriffe durch Hinweise Unternehmensinterner aufgedeckt, bei 20 Prozent waren es interne Routineprüfungen und bei sieben Prozent regierte der Zufall. Dort, wo das Kontrollsystem nicht ausreichte oder der Zufall nicht mithalf, sind also viele Angriffe unentdeckt geblieben.

„Gerade große und namhafte Unternehmen sind massiv gefährdet – es dürfte kaum einen österreichischen Top-Konzern geben, der nicht schon Opfer einer Cyberattacke wurde“, so Benjamin Weissmann, Leiter Cyber-Forensik bei EY Österreich. „Viele Unternehmen bemerken es nur nicht, weil die Sicherheitssysteme den Angriff nicht entdecken. Oft fällt der Schaden erst dann auf, wenn es schon zu spät ist – wenn sensible Daten also an anderer beziehungsweise falscher Stelle wieder auftauchen. In einer immer enger vernetzten Welt ist völlige Sicherheit ohnehin nicht mehr zu gewährleisten. Umso wichtiger ist es, Datendieben den Zugriff auf wichtige Informationen so schwer wie möglich und damit unattraktiv zu machen.“

Unternehmen fürchten Angriffe aus China und Russland – Drahtzieher bleiben oft unbemerkt
Mehr als jedes dritte befragte Unternehmen (38 Prozent) geht davon aus, dass es Regionen gibt, von denen ein besonders hohes Gefährdungspotenzial ausgeht. Als Länder bzw. Regionen mit besonders hohem Gefährdungspotenzial schätzen Österreichs Unternehmen vor allem China und Russland sowie Asien und Osteuropa ein. Als Tätergruppen besonders gefürchtet sind organisierte Verbrecherbanden (47%), Hacktivisten wie „Anonymous“ (38%) und ausländische Geheimdienste (24%).

Benjamin Weissmann dazu: „Unsere Erfahrung zeigt, dass selbst große Unternehmen das tatsächliche Ausmaß der Bedrohung unterschätzen und identifizierte Angriffe oft zu schnell mit einschlägigen Akteuren attribuieren. Es kann zwar sein, dass ein großer Teil der Angriffe aus Ländern wie China oder Russland gestartet wird. Diese Gruppen sind aber oft nur ausführende Organe, die eigentlichen Auftraggeber bleiben im Dunkeln“.

Zweiklassengesellschaft droht: Jeder Zweite hat zu wenig Ressourcen für Cybersecurity
Im Kampf gegen Cyberattacken droht Österreich eine Zweiklassengesellschaft: Exakt die Hälfte der Unternehmen (50%) beklagt mangelnde personelle, technologische oder finanzielle Ressourcen, während sich die andere Hälfte gut gerüstet fühlt. Bei Großunternehmen verfügen sogar drei Viertel (75%) laut eigener Aussage über ausreichend Ressourcen.

Dennoch ist das Sicherheitsgefühl der heimischen Betriebe hoch: 79 Prozent der Manager halten die präventiven Maßnahmen gegen Datendiebstahl in ihrem Unternehmen für ausreichend. Die Sicherheitsvorkehrungen sind in der Regel aber eher konventionell: Zur Vorbeugung von Cyber-Angriffen bzw. Spionageakten setzen Unternehmen am häufigsten auf Firewalls (98%), Passwörter auf allen Geräten (94%) und Antivirensoftware (92%).

„Passwörter und Antivirensoftware können von Hackern heute mitunter minutenschnell umgangen werden. Ein Sicherheitssystem, das lediglich auf diese herkömmlichen Schutzmaßnahmen setzt, öffnet Hackern bereitwillig die Tore. Wer sensible Firmen- oder Kundendaten auf seinen Servern hat, sollte unbedingt strengere Sicherheitsvorkehrungen einführen“, warnt Tonweber.

Umfassendere Schutzvorkehrungen sind in den Unternehmen hingegen Mangelware: Ein Intrusion-Detection- bzw. Prevention-System, das Hinweise auf die Aktivitäten von Eindringlingen geben kann, leisten sich nur 37 Prozent der Unternehmen. Drei von vier Unternehmen (75%) lassen besonders sensible Bereiche überwachen, auch ein gesonderter Serverbereich findet sich inzwischen bei der überwiegenden Mehrheit (71%). Zwei Drittel (68%) haben Zugangskontrollen zum Firmenareal, regelmäßige Untersuchungen auf Wanzen sind bei jedem siebten Unternehmen (14%) gängige Praxis.

Immerhin: Fast jedes zweite österreichische Unternehmen (49%) lässt sich regelmäßig auf Schwachstellen im Hinblick auf Cyberangriffe testen. Drei von zehn Betrieben (29%) verzichten allerdings auf diese Überprüfungen. Jedes fünfte österreichische Unternehmen (20%) gibt an, eine Versicherung gegen digitale Risiken abgeschlossen zu haben. Besonders hoch ist der Anteil bei Großunternehmen (75%). Die Mehrheit der Unternehmen (58%) verfügt über keinen derartigen Versicherungsschutz.

Angriffe auf EDV-Systeme sind häufigste Art der Attacke
In fast drei Viertel der Fälle (61%) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, bei 36 Prozent wurden die Unternehmen Opfer der Methode des sogenannten ‚Social Engineering‘. Dabei versuchen die Täter, Mitarbeiter durch gezielte Beeinflussung und die Infiltration von Systemen zu täuschen. In diesem Zusammenhang wurden bei einem Fünftel (20%) Telefonate abgehört bzw. E-Mails abgefangen, bei elf Prozent wurden Finanzdaten manipuliert und bei fünf Prozent wurde ein „Fake President Fraud“ durchgeführt – bei diesem Angriff geben sich Betrüger als hochrangige Mitarbeiter aus, um unternehmensinterne Systeme zu infiltrieren und hohe Zahlungen zu beauftragen. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen, geschäftskritisches Know-how gestohlen oder Datendiebstahl durch eigene Mitarbeiter begangen (jeweils 2%).

In den meisten Fällen (45%) ließ sich der Täter nicht zuordnen und blieb unerkannt. In 34 Prozent der Fälle konnten sogenannte Hacktivisten – also Hackergruppen wie Anonymous – als Täter identifiziert werden, in 23 Prozent eine Gruppe des organisierten Verbrechens.