- Gefahrenbewusstsein in österreichischen Unternehmen steigt – doch nur ein Drittel über eigene IT-Sicherheit besorgt
- Drei Viertel (76 %) der Entscheider:innen erkennen eine steigende Gefahr durch Cyberangriffe und Datendiebstahl
- Weniger als ein Drittel der Führungskräfte um eigene IT-Sicherheit besorgt, 71 Prozent sehen wenig bis gar kein Risiko für ihr Unternehmen
- Neun Prozent waren bereits Opfer von Erpresserangriffen – Vertrieb und Finanzwesen beliebte Einfallstore
- 57 Prozent verfügen über einen aktuellen Krisenplan, ein Drittel der heimischen Unternehmen hat keine personellen Ressourcen für Cybersecurity
- Sensibilisierung der Mitarbeiter:innen, Modernisierung der IT-Infrastruktur und Verschärfung der Sicherheitsrichtlinien Top-Schutzmaßnahmen
Wien, 30. August 2022. Die Digitalisierung ist ein großes Versprechen, insbesondere für die Wirtschaft. Sie bietet ökonomische Chancen, Effizienzvorteile und kann den Alltag im Beruflichen wie Privaten erleichtern. Klar ist aber auch, dass die zunehmende Digitalisierung Unternehmen und auch Privatpersonen verwundbarer macht. Drei Viertel der Führungskräfte (76 %) in Österreich rechnen in Zukunft mit einer allgemein steigenden Gefahr durch Cyberangriffe und Datendiebstahl, doch nur 29 Prozent der Befragten bewerten das Risiko, selbst Opfer eines Angriffs zu werden, als hoch.
Internetkriminalität ist zu einem hochprofessionellen Geschäft des organisierten Verbrechens geworden und für IT-Expert:innen ist ein Cyberangriff keine Frage des Ob, sondern nur noch des Wann. Insgesamt jedes vierte heimische Unternehmen (23 %) berichtet von konkreten Hinweisen auf Cyberattacken: Bei 16 Prozent der Unternehmen einmalig, bei sieben Prozent sogar mehrfach. Dabei können im Falle eines Angriffs nicht nur die Produktion gefährdet und IT-Systeme lahmgelegt, sondern auch sensible Daten und das Kundenvertrauen verloren gehen.
Das Thema Cybersicherheit und Cyberkriminalität ist in Österreichs Unternehmen mittlerweile fast täglich präsent und viele Führungskräfte setzen bereits entsprechende Maßnahmen zur Sicherung ihrer Daten und Infrastruktur um: Obwohl nur 17 Prozent ihre Cybersecurity-Maßnahmen während der Coronapandemie konkret verstärkt haben, hat über die Hälfte der Unternehmen ihre Mitarbeiter:innen sensibilisiert (56 %) und ihre IT-Systeme modernisiert (54 %).
Das sind Ergebnisse der Studie „Cyberangriffe und Datendiebstahl: virtuelle Gefahr – reale Schäden“ der Prüfungs- und Beratungsorganisation EY Österreich. Dafür wurden 202 Geschäftsführer:innen sowie Führungskräfte aus IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeiter:innen befragt.
„Weltweit steigen die Fälle von Cybercrime, auch Österreich ist davon betroffen. Die Angriffsszenarien werden technisch immer raffinierter. Auch Spionage, Sabotage und Erpressung gehören bei Cyberattacken längst zum – leider oft sehr lukrativen – Geschäftsmodell. Laut dem Cybercrime Report des Bundesministeriums für Inneres (BMI) ist im Jahr 2021 die Zahl der gemeldeten Cybercrime-Delikte erneut gestiegen – plus 28,6 Prozent. Durch die rasante Digitalisierung von Unternehmen ist die IT-Sicherheit oft auf der Strecke geblieben, diese Fehler und Sicherheitslücken nutzen Angreifer:innen natürlich aus“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.
Weniger als ein Drittel der Führungskräfte um eigene IT-Sicherheit besorgt
Auch wenn das Gefahrenbewusstsein und die weitreichenden Konsequenzen eines Cyberangriffes mittlerweile in den Köpfen der Führungskräfte angekommen sind, schätzen noch immer knapp drei Viertel das Risiko, dass ihr Unternehmen selbst Opfer von Cyberkriminellen wird, als eher niedrig bzw. sehr niedrig ein (71 %). Nur 29 Prozent der Befragten sehen ein großes bzw. sehr großes Risiko für ihr eigenes Unternehmen. Je größer das Unternehmen, desto größer ist dabei die Risikowahrnehmung: Etwa jedes siebte größere Unternehmen (14 %) mit mehr als 100 Beschäftigten schätzt das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als sehr hoch ein. Wie schon im Vorjahr zeigen sich auch im Branchenvergleich Banken wieder besonders gefahrenbewusst (10 % sehr hohes Risiko, 30 % hohes Risiko), gefolgt von der Energiebranche (27 % sehr hohes Risiko, 8 % hohes Risiko).
„Viele Manager:innen erwarten, dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen. Dabei unterschätzen sie die Kreativität und Professionalität der Angreifer:innen, denn die Arten der Angriffe werden immer unauffälliger. Angesichts der komplexen digitalen Umgebungen – sei es durch Ausweitung von Homeoffice, Mobile Devices oder Cloud Computing – werden auch die Angriffsflächen immer größer und die Sicherung der eigenen Systeme immer schwieriger. Dadurch können Hacker:innen unbemerkt in die unternehmenseigene Infrastruktur eindringen und großen Schaden anrichten“, so Tonweber.
Jede:r Achte bereits mit Erpressung konfrontiert – Vertrieb beliebtestes Angriffsziel
In fast jedem vierten österreichischen Unternehmen (23 %) gab es in den vergangenen fünf Jahren konkrete Hinweise auf Cyberangriffe bzw. Datendiebstahl. Knapp ein Drittel der Angriffe wurde vom internen Kontrollsystem entdeckt (30 %), jeder Fünfte (19 %) gab an, dass ein Angriff nur durch Zufall aufgedeckt wurde. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte demnach deutlich höher sein. Besonders der Vertrieb (45 %) und das Finanzwesen (31 %) sind beliebte Angriffsziele von Cyberkriminellen.
Eine besondere Form des Cyberangriffs ist der Einsatz von Ransomware oder Erpressungssoftware – acht Prozent der Befragten waren bereits mit einem derartigen Angriff konfrontiert. Durch die Schadsoftware erhalten Eindringlinge Zugriff auf Daten und Computersysteme, die von den Angreifer:innen verschlüsselt werden. Für die Entschlüsselung fordern die Erpresser:innen Lösegeld, das jedoch von drei Viertel der österreichischen Unternehmen (75 %) laut eigener Angabe nicht bezahlt wurde.
Auch in diesem Jahr sind die mit Abstand meisten Attacken Hackerangriffe auf unternehmenseigene IT-Systeme (40 %), gefolgt von Stören bzw. Lahmlegen der IT-Systeme (7 %) und Manipulation von Finanzdaten (6 %). Während im Vorjahr noch Datendiebstahl durch eigene Mitarbeiter:innen mit 21 Prozent zu den häufigsten Angriffen zählte, berichteten 2022 nur mehr verschwindend geringe zwei Prozent von dieser konkreten Handlung.
Was passiert, wenn’s passiert ist – mehr als die Hälfte verfügt über Krisenplan
Bei einem Angriff auf die IT-Systeme eines Unternehmens oder dem Verdacht auf Manipulation gilt es, schnell zu handeln. Insbesondere Verantwortliche für die Informationssicherheit sollten auf solche Fälle vorbereitet sein, um im Ernstfall richtig zu reagieren. So geben 57 Prozent der Führungskräfte an, dass sie einen Krisenplan zur Reaktion auf Cyberangriffe in ihrem Unternehmen haben, knapp zwei Drittel (63 %) üben die Abläufe jährlich oder mehr als einmal im Jahr. Jedes dritte Unternehmen (33 %) hat nach eigener Aussage keinen Krisenplan, zehn Prozent sind gerade in der Ausarbeitung. 64 Prozent der Unternehmen, die Opfer eines Angriffes wurden, gaben an, dass der Neuaufbau und die Wiederherstellung des Betriebs innerhalb weniger Tage erfolgten.
Knapp die Hälfte der österreichischen Unternehmen (45 %) lässt ihre IT-Systeme jährlich oder halbjährlich von externen Stellen auf Schwachstellen in Hinblick auf Datendiebstahl prüfen. Um im Falle, dass es trotz aller getroffenen Sicherheitsmaßnahmen zu einem Cyberangriff kommt, vor schwerwiegenden Folgen geschützt zu sein, hat knapp die Hälfte der Unternehmen (47 %) derzeit eine Versicherung gegen Cyberrisiken. 2021 lag diese Kennzahl mit 54 Prozent allerdings etwas höher. Besonders hoch ist der Anteil der Unternehmen mit Versicherungsschutz in der Banken- (65 %), der Handelsbranche und Industrie (beide 47 %).
Bei den personellen Ressourcen zeigt sich ein teilweise großer Unterschied in der Unternehmensgröße: Knapp ein Drittel der Unternehmen über 100 Beschäftigten (31 %) beschäftigt eine eigene IT-Security-Abteilung mit mehr als zwei Vollzeit-Mitarbeiter:innen, in kleineren Unternehmen unter 100 Mitarbeitenden stehen nur jedem zehntem umfassende Personalressourcen zur Verfügung (10 %). Besonders KMU bis 49 Beschäftigte bilden hier das Schlusslicht: 34 Prozent geben an, dass es keine Personalressourcen für Cybersecurity in ihrem Unternehmen gibt.
„Obwohl auch kleine KMU erwiesenermaßen ein interessantes Angriffsziel sind, werden viele grundlegende Schutzmaßnahmen nicht in ausreichendem Maße umgesetzt. Viele Unternehmen blenden diese reale Gefahr aus dem digitalen Raum weiterhin aus oder scheinen zu träge oder von der Problematik überfordert zu sein, um entsprechende Maßnahmen zu ergreifen und das Risiko zu adressieren. Es braucht neben medialer Beachtung des Themas somit weitere Anstrengungen, um die Umsetzung von Cybersicherheitsmaßnahmen zu erhöhen“, so Gottfried Tonweber.
Gefahr-Sensibilisierung von Mitarbeiter:innen wichtigstes Werkzeug für IT-Security
Das Homeoffice kann für viele Unternehmen zum Risikofaktor werden, Remote-Verbindungen zu einem attraktiven Einfallstor für Cyberkriminelle: In den meisten Fällen musste neue Software installiert werden und private Laptops sind nicht mit derselben Software geschützt wie Firmen-PCs. Eines der häufigsten Szenarien: Programme funktionieren nicht, IT-Mitarbeiter:innen versuchen das Problem remote zu lösen und dabei entstehen Schwachstellen in der IT-Umgebung.
Viele heimische Unternehmen haben dieses gesteigerte Risiko erkannt und in den letzten Monaten ihre Cybersecurity-Maßnahmen verschärft. Die Top-3-Maßnahmen sind dabei die Sensibilisierung der Mitarbeiter:innen (56 %), die Modernisierung der IT-Infrastruktur (54 %) und die Verschärfung der Sicherheitsrichtlinien (46 %).
Birgit Eschinger, Senior Manager Cybersecurity & Data Privacy bei EY Österreich, dazu: „Der Mensch ist weiterhin die größte Schwachstelle im Bereich der IT-Sicherheit. Sei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus – vertrauliche Unternehmensdaten geraten schnell in die falschen Hände oder das Netzwerk ist infiziert. Schulungen und Trainings, um Awareness bei Mitarbeiter:innen zu schaffen und das nötige Know-how zu vermitteln, sollte daher hohe Priorität haben, um allfällige Angriffe abzuwehren.“
