5 Minuten Lesezeit 15 Juni 2020
Cyberkrimineller vor Rechnern

Schützen Sie Ihr Unternehmen ausreichend vor Cyberkriminalität?

Autoren

Gottfried Tonweber

Leiter Cyber Security und Data Privacy, Managementberatung | Österreich

Hat den Bereich Advisory am Standort Linz aufgebaut, ist dort seit 2013 für die Managementberatung verantwortlich und leitet den Bereich Cyber Security und Data Privacy. Restauriert Flipperautomaten.

Drazen Lukac

Leiter Risk IT und Cyber Security, Managementberatung | Österreich

Hat über 16 Jahre Erfahrung in der IT-Prüfung und -Beratung. Begleitet sowohl Banken als auch Unternehmen im öffentlichen Sektor zu den Themen Informationssicherheit, Cybersecurity und Compliance.

Benjamin Weissmann

Partner, Wirtschaftsprüfung, Leiter Cyberforensik | Österreich

Mit einer Kombination aus technischem IT-Forensik-Wissen und organisatorischem Fokus auf Integrität unterstützt er seine Kunden dabei, unangenehme Themen im Geschäftsalltag bestmöglich zu meistern.

5 Minuten Lesezeit 15 Juni 2020

Unternehmen müssen jederzeit mit einem Angriff rechnen, denn der Schatz in Form von Kundendaten und Knowhow ist zu verlockend.

Cyberangriffe und Datendiebstahl — ein Evergreen, den man nicht mehr hören kann? Ganz und gar nicht! Heutzutage gibt es Unternehmen, die bereits wissen, dass sie Opfer von Cyberangriffen bzw. Datendiebstahl waren, und Unternehmen, die das noch feststellen werden. Eines können wir mit Gewissheit sagen: Für eine Vielzahl von Unternehmen besteht Handlungsbedarf — auch für diejenigen, die die Gefahr durch Cyberkriminalität als hoch einstufen und schon ein beachtliches Gefahrenbewusstsein innerhalb der letzten Jahre entwickelt haben. Wie hat es bereits Konfuzius gesagt? „In allen Dingen hängt der Erfolg von den Vorbereitungen ab.“ Unternehmen fühlen sich durch eigene Vorkehrungen ausreichend abgesichert, um der zunehmenden Kriminalität im digitalen Zeitalter die Stirn zu bieten.

In den letzten Jahren ist es jedoch deutlich schwerer geworden, den tatsächlichen Täterkreis zu ermitteln. Sprich: In den meisten Fällen werden die Verantwortlichen nicht gefasst und treiben weiterhin ihr Unwesen. Hinzu kommt, dass die Bedrohungen aus dem Netz definitiv weiter ansteigen werden, wenn neue Technologien wie Blockchain und künstliche Intelligenz (KI) in unserem Arbeiten fest verankert sein werden; sie können sich sogar vervielfachen. Doch Achtung! Diese Unternehmen wiegen sich möglicherweise in falscher Sicherheit und unterschätzen die Bedrohung durch Cyberangriffe bzw. Datendiebstahl. Neben den technischen Aspekten ist der Faktor Mensch ein weiteres Risiko. Klassische Sicherheitsmaßnahmen in Form von Antivirensoftware, Firewalls und Passwortschutz greifen nicht, wenn eigene oder ehemalige Mitarbeiter Daten weitergeben.

Im Darknet wird schon länger mit „Crime as a Service“ geworben und Kriminalität als Dienstleistung verkauft. Höchste Zeit also, dass sich Unternehmen die permanente Bedrohung bewusst machen und ihre Bemühungen um eine stabile und erfolgreiche Abwehr gegen Cyberangriffe und Datendiebstahl verstärken. Es ist alles andere als hilfreich, wenn Cyberangriffe und Datendiebstahl vertuscht und nicht ausreichend verfolgt werden, weil Unternehmen Angst vor negativen Folgen für das eigene Image haben. 

Es werden definitiv zu wenig Cyberkriminelle gefasst und noch immer werden viele Vorfälle auch nur zufällig entdeckt.

Zu einer erfolgreichen Cyber- und Spionageabwehr gehören nicht nur die technischen Vorkehrungen; auch ein Krisenreaktionsplan sollte im Unternehmen ausgearbeitet, implementiert und vor allem „geübt“ werden. Bei jeder Form von Angriff und Datendiebstahl kommt es darauf an, schnell und systematisch reagieren zu können. Die Reaktionsfähigkeit muss regelmäßig trainiert werden. (Viel) Üben hilft. Qualifizierte Krisenmanager sind reaktionsfähiger als ad hoc eingesetzte Amateure. Auch eine passgenaue Kommunikation spielt intern und extern eine wesentliche Rolle. Denn der Schaden, der im Fall von Cyberangriffen und Datendiebstahl droht, kann für Unternehmen immens sein: Die Täter haben es mittlerweile überwiegend auf Kundendaten und Know-how abgesehen — und beides gehört mit zu den wichtigsten Werten eines Unternehmens.

Wir haben eine Studie zum Thema Cyberangriffe und Datendiebstahl durchgeführt. Dabei wurden 200 Führungskräften österreichischer Unternehmen ab 20 Mitarbeitern in den Branchen Industrie, Energie, Öffentliche Verwaltung, Banken, Versicherungen, Handel und Konsumgüter befragt.

Hier die wichtigsten Ergebnisse zusammengefasst:

Ergebnisse auf einen Blick

Aber: Trotz der zunehmenden Gefahr durch Cyberkriminalität fühlen sich die meisten Unternehmen gut abgesichert. Immerhin 44% jener Unternehmen, die ein geringes Risiko sehen, Opfer eines Angriffs zu werden, fühlen sich gut geschützt. Allerdings sind nur 48% mit den personellen und finanziellen Ressourcen im Bereich Cybersicherheit zufrieden. Bei der Mehrheit der Befragten liegt das Jahresbudget für den Schutz vor Cyberangriffen bei unter 50.000 Euro. 

Schutz vor Cyberangriffen

50.000 €

haben die Mehrheit der Befragten als Jahresbudget für den Schutz vor Cyberangriffen

Hinzu kommt, dass rund ein Drittel der Unternehmen bislang keinen Krisenplan für ein Notfallszenario vorbereitet hat. Bei 60% der Unternehmen, die einen Krisenplan ausgearbeitet haben, werden dessen Abläufe mindestens einmal jährlich trainiert. 25% der befragten Unternehmen gaben an, dass die Abläufe noch nie geübt worden seien.

Es werden definitiv zu wenig Cyberkriminelle gefasst und noch immer werden viele Vorfälle auch nur zufällig entdeckt: In 47% der Unternehmen griff das interne Kontrollsystem und deckte die kriminellen Handlungen auf. 19% der befragten Unternehmen gaben an, dass kriminelle Handlungen nur durch Zufall aufgedeckt worden seien. Die Dunkelziffer der tatsächlich erfolgten Cyberangriffe und Datendiebstahl dürfte demnach deutlich höher sein. Auch bleiben die Verantwortlichen meist unerkannt.

Studie “Cyberangriffe und Datendiebstahl: virtuelle Gefahr – reale Schäden“

Die Studie beruht auf den Ergebnissen einer repräsentativen

telefonischen Befragung von 200 Führungskräften österreichischer

Unternehmen ab 20 Mitarbeitern. Es wurden Geschäftsführer, Leiter

Konzernsicherheit oder Leiter IT-Sicherheit von Unternehmen zum Thema

Datendiebstahl befragt.

Die vollständigen Ergebnisse unserer EY-Studie finden Sie unter

folgendem Link zum Download:

Download

Fazit

In jedem Fall ist es wichtig und notwendig, ein systematisches und umfassendes Vorgehen zur Prävention und zum Umgang mit Krisensituationen zu etablieren und sich die entsprechenden externen Hilfen zu holen. Es gilt schließlich, der Gefahr durch Cyberkriminalität auf Augenhöhe begegnen zu können, um das eigene Unternehmen weiter auf Kurs zu halten. Die Verantwortlichen sollten sich definitiv auf stürmische Gewässer einstellen!

Über diesen Artikel

Autoren

Gottfried Tonweber

Leiter Cyber Security und Data Privacy, Managementberatung | Österreich

Hat den Bereich Advisory am Standort Linz aufgebaut, ist dort seit 2013 für die Managementberatung verantwortlich und leitet den Bereich Cyber Security und Data Privacy. Restauriert Flipperautomaten.

Drazen Lukac

Leiter Risk IT und Cyber Security, Managementberatung | Österreich

Hat über 16 Jahre Erfahrung in der IT-Prüfung und -Beratung. Begleitet sowohl Banken als auch Unternehmen im öffentlichen Sektor zu den Themen Informationssicherheit, Cybersecurity und Compliance.

Benjamin Weissmann

Partner, Wirtschaftsprüfung, Leiter Cyberforensik | Österreich

Mit einer Kombination aus technischem IT-Forensik-Wissen und organisatorischem Fokus auf Integrität unterstützt er seine Kunden dabei, unangenehme Themen im Geschäftsalltag bestmöglich zu meistern.