.jpg)
Die Gefahr von Datendiebstahl in österreichischen Unternehmen steigt weiter. Sieben von zehn Verantwortlichen rechnen mit Verschärfung. Fast jedes vierte österreichische Unternehmen hat in den letzten fünf Jahren konkrete Angriffe auf seine Daten entdeckt, doch die Dunkelziffer ist hoch. Die Prüfungs- und Beratungsorganisation EY Österreich hat in Kooperation mit dem Kuratorium Sicheres Österreich (KSÖ) die Studie „Cyberangriffe und Datendiebstahl: virtuelle Gefahr – reale Schäden“ veröffentlicht. Das sind die Ergebnisse.
Die Corona-Krise und die damit einhergehende großflächige Umstellung auf Homeoffice bzw. der allgemeine Digitalisierungsschub sorgen für eine vehemente Verschärfung des Risikos von Cyberangriffen. Unternehmen waren gezwungen, Geschäftstätigkeiten und Unternehmensprozesse schnellstmöglich zu digitalisieren, um den bestehenden Betriebsfluss weiterhin zu gewährleisten. Die Folge waren teils fehlende oder unvollständig umgesetzte Kontrollmechanismen und Sicherheitslücken, die das IT-Sicherheitsmanagement sowie innerbetriebliche Abläufe vor eine zusätzliche Herausforderung gestellt haben. Denn während im Bereich der Dienstleistungsunternehmen die Möglichkeit für Homeoffice bereits weitestgehend verbreitet und anerkannt war, betraten viele Industriebetriebe diesbezüglich Neuland. Das Arbeiten von zu Hause aus schuf somit kurzerhand einen zusätzlichen Nährboden für feindliche Angriffe aus dem Netz.
Diese Entwicklung ist nichts Neues
Bereits vor dem Ausbruch der Corona-Krise hat die Anzahl an Angriffen auf Netzwerke und die Infrastruktur rasant zugenommen und in manchen heimischen Unternehmen Schäden in Millionenhöhe verursacht. Neben vielen Fällen, die nie entdeckt oder bekannt werden, häufen sich auch öffentlich kommunizierte Angriffe.
Das Thema Cybersicherheit und Cyberkriminalität ist in Österreichs Unternehmen mittlerweile fast täglich präsent. In den letzten Jahren haben viele heimische Betriebe Maßnahmen in diesem Bereich gesetzt und fühlen sich mittlerweile sicherer: 29 Prozent der heimischen Führungskräfte bewerten das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als eher oder sehr hoch – im Vorjahr waren es noch 41 Prozent. Grundsätzlich gilt: Je größer das Unternehmen, desto größer das Risiko. Etwa jedes achte größere Unternehmen (12 %) mit mehr als 100 Mitarbeiter*innen schätzt das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als sehr hoch ein – bei den mittleren und kleineren Unternehmen sind es nur vier bzw. sechs Prozent. Versicherungsunternehmen (15 %), Industriebetriebe (12 %) und Banken (11 %) sehen das größte Risiko, einem Angriff zum Opfer zu fallen.
Das sind Ergebnisse der Studie der Prüfungs- und Beratungsorganisation EY Österreich in Kooperation mit dem Kuratorium Sicheres Österreich (KSÖ) „Cyberangriffe und Datendiebstahl: virtuelle Gefahr – reale Schäden“. Dafür wurden Geschäftsführer*innen sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 200 österreichischen Unternehmen ab 20 Mitarbeiter*innen befragt.
Während die Gesamtkriminalität signifikant zurückgeht – minus 11,3 Prozent –, steigt die Cyberkriminalität dramatisch an – plus 26,3 Prozent.
„Das Bundesministerium für Inneres (BMI) hat im März 2021 erste Zahlen zur Entwicklung der Kriminalität in Österreich im Jahr 2020 veröffentlicht. Diese lassen sich einem klaren Satz zusammenfassen: Während die Gesamtkriminalität signifikant zurückgeht – minus 11,3 Prozent –, steigt die Cyberkriminalität dramatisch an – plus 26,3 Prozent. Dies bestätigt einen schon über mehrere Jahre auffallenden Trend des spürbaren Anstiegs von Cyberkriminalität – 2020 verstärkt durch den Digitalisierungsturbo in Zeiten der Pandemie“, so Mag. Erwin Hameseder, KSÖ Präsident.
Fast jede vierte Führungskraft sieht stark steigendes Risiko durch Datendiebstahl
Auch in der aktuellen Umfrage gehen immer noch rund 70 Prozent der österreichischen Führungskräfte davon aus, dass die Gefahr für Unternehmen, Opfer von Cyberangriffen und Datendiebstahl zu werden, weiterhin zunehmen wird. Wie bereits in den Jahren zuvor zeigen sich die Unternehmen grundsätzlich alarmiert. Besonders Banken, die bereits jetzt ein verhältnismäßig großes Risiko sehen, erwarten für die kommenden Jahre eine stark zunehmende Bedrohung.
„Seit dem Ausbruch der Corona-Pandemie in Österreich lässt sich bei Cyberangriffen noch ein weiterer, durchaus beunruhigender Trend erkennen: Cyberkriminelle zielen nicht mehr nur auf die Verschlüsselung und Stilllegung des IT-Netzwerks eines Unternehmens ab, sondern zusätzlich auch auf den Diebstahl hochsensibler und geschäftskritischer Daten. Die richtige Vorbereitung ist essenziell, denn sieben von zehn Unternehmen haben ihre Mitarbeiter*innen während der Pandemie ins Homeoffice geschickt. Fast jedes dritte Unternehmen hat seine Cybersecurity-Maßnahmen seit dem Corona-Ausbruch verschärft, jedes achte sogar sehr stark. Das ist auch sehr wichtig, um größeren Schaden zu vermeiden: Jedes Unternehmen in Österreich kann Opfer eines Cyberangriffs werden und muss sich besser gestern als heute vorbereiten. Wenn man auf einen Angriff wartet, ist es schon zu spät“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.
Mehr als die Hälfte der Unternehmen setzen auf Sensibilisierung der Mitarbeiter*innen
Das Homeoffice kann für viele Unternehmen zum Risikofaktor werden, Remote-Verbindungen zu einem attraktiven Einfallstor für Cyberkriminelle: In den meisten Fällen musste neue Software installiert werden und private Laptops sind nicht mit derselben Software geschützt wie Firmen-PCs. Eines der häufigsten Szenarien: Programme funktionieren nicht, IT-Mitarbeiter:innen versuchen das Problem remote zu lösen und dabei entstehen Schwachstellen in der IT-Umgebung. Viele heimische Unternehmen haben dieses gesteigerte Risiko erkannt und in den letzten Monaten ihre Cybersecurity-Maßnahmen verschärft. Die Top-3-Maßnahmen sind dabei die Sensibilisierung der Mitarbeiter*innen (59 %), die Einführung neuer organisatorischer Regelungen wie Policies (54 %) und die Modernisierung der IT-Infrastruktur (43 %).
Drazen Lukac, Leiter Risk IT und Cybersecurity bei EY Österreich, dazu: „Um sich besser zu schützen, haben mehr als die Hälfte der Unternehmen ihre Mitarbeiter*innen für die Thematik Cybersecurity und Datendiebstahl sensibilisiert sowie neue organisatorische Regelungen aufgesetzt. Die Vermittlung des nötigen (Grundlagen-)Know-hows an die eigene Belegschaft ist für eine erfolgreiche Cyberabwehr von elementarer Bedeutung. Mithilfe von regelmäßigen Schulungen, praktischen Trainings und geplanten Phishing-Kampagnen wird das Gefahrenbewusstsein der Angestellten geschärft, um im Berufsalltag richtig agieren zu können“.
Jeder Zweite hat zu wenig Budget für Cyberabwehr – dennoch fühlen sich 89 Prozent grundsätzlich sicher
Einen Strich durch die Rechnung bei der Prävention und der Abwehr von Cyberangriffen macht vielen österreichischen Betrieben hingegen das mangelnde Budget: Mehr als die Hälfte (51 %) hat (eher) wenig oder gar keine finanziellen Mittel zur Verfügung. Insbesondere kleinere Unternehmen mit weniger als 100 Mitarbeiter*innen sind hier aufgrund von finanziellen Restriktionen angreifbar oder wenig handlungsfähig. Dennoch fühlen sich fast neun von zehn Unternehmen (89 %) zumindest eher sicher vor Cyberangriffen und Datendiebstahl.
Gleichzeitig gibt aber knapp ein Viertel (24 %) der Unternehmen an, dass es bei ihnen in den vergangenen fünf Jahren konkrete Hinweise auf Datendiebstahl gegeben hat. Elf Prozent der befragten Unternehmen sagten aus, dass kriminelle Handlungen nur durch Zufall aufgedeckt worden seien. Die Dunkelziffer der tatsächlich erfolgten Fälle von Cyberangriffen bzw. Datendiebstahl dürfte demnach deutlich höher sein. Konkrete Hinweise gab es zuletzt am häufigsten bei Unternehmen aus den Bereichen Industrie (32 %) und Energie (30 %).
„Für Unternehmen wäre es fatal, sich in falscher Sicherheit zu wiegen. Gerade große und namhafte Unternehmen sind massiv durch Cyberattacken gefährdet – es dürfte kaum einen österreichischen Top-Konzern geben, der nicht schon Opfer eines Angriffes zum Diebstahl von Daten wurde. In 37 Prozent der größeren Unternehmen mit mehr als 100 Mitarbeiter*innen gab es zuletzt Hinweise auf Attacken“, so Benjamin Weißmann, Leiter Cyberforensik bei EY Österreich. „Viele Unternehmen bemerken es nur nicht, weil die Sicherheitssysteme den Angriff nicht entdecken. Oft fällt der Schaden erst dann auf, wenn es schon zu spät ist – wenn sensible Daten also an anderer beziehungsweise falscher Stelle wiederauftauchen. Die Coronakrise hat uns verstärkt gezeigt, wie wichtig digitale Sicherheit sein sollte. Die Unternehmen sind mehr denn je mit diesem Thema konfrontiert und müssen den Fokus darauf legen.“
Mehr als jeder Zehnte wurde Opfer eines Erpressungsversuchs – Finanzabteilungen im Fokus
Wie bereits in den Jahren zuvor zielen die mit Abstand meisten Hackerangriffe auf die IT-Systeme ab (40 %). Insbesondere der Datendiebstahl durch eigene Mitarbeiter:innen ist ein Risikofaktor für heimische Unternehmen: Bei fast einem Viertel (23 %) wurden Beschäftigte zu diesem Zweck von Wettbewerbern abgeworben, bei jedem Fünften (21 %) begingen die eigenen Mitarbeiter:innen Datendiebstahl.
Mehr als jedes zehnte Unternehmen (11 %) in Österreich wurde bereits mindestens einmal Opfer eines Ransomware-Angriffs mit dem Ziel der Erpressung von Lösegeld. Bei diesen Angriffen werden Daten verschlüsselt und damit unzugänglich gemacht, für die Entschlüsselung wird Lösegeld verlangt. Für die Angreifer war dies jedoch selten von Erfolg gekrönt: 91 Prozent haben dem Druck der Erpresser nicht nachgegeben.
Die meisten Angriffe zielen dabei auf den Finanz- und Rechnungslegungsbereich ab – im Vergleich zum Vorjahr gab es hier einen Anstieg von 21 Prozent auf 29 Prozent. Auch bei Attacken auf den Personalbereich gab es einen deutlichen Anstieg um fünf Prozentpunkte auf 13 Prozent. Einen Rückgang gab es hingegen bei Angriffen im Bereich Vertrieb von 27 Prozent im Vorjahr auf 19 Prozent.
Datenschutz, Schutz durch Versicherungen und regelmäßige „Stress-Tests“
Eng mit den Themen Cybersicherheit und Cyberkriminalität ist auch das Thema Datenschutz verbunden. „Datenschutzrechtlich hat das vergangene Jahr der Pandemie viele Umwälzungen gebracht. Mitarbeiter*innen im Homeoffice müssen Bildschirme und Telefonate vor Partner:in, Kindern oder digitalen Sprachassistent*innen schützen. Viele papiergebundene Prozesse sind aus Sicherheitsgründen binnen kurzer Zeit digital geworden. Dadurch erhöhte sich das Risiko von Data Breaches enorm. Darüber hinaus waren neue, datenschutzrechtlich herausfordernde Verarbeitungen notwendig wie z. B. Besucher*innen- und Gästemanagement, firmeninternes Kontakt-Tracing oder die Verständigung anderer Mitarbeiter*innen bei COVID-19-Erkrankungen. Die datenschutzrechtlichen Risiken sind im vergangenen Jahr klar gestiegen“, so Thomas Breuss, Rechtsanwalt und Director bei EY Law.
Digitale Risiken sind für Unternehmen weiterhin nicht zu unterschätzen. Im Schadensfall können dabei Kosten in Millionenhöhe entstehen. Zum Schutz vor diesen schwerwiegenden Folgen schließen immer mehr Unternehmen Versicherungen gegen Cyberrisiken ab: Mehr als die Hälfte (54 %) der befragten Unternehmen hat nach eigenen Angaben eine solche Versicherung abgeschlossen. Im letzten Jahr waren es nur 35 Prozent. Besonders hoch ist der Anteil der Unternehmen mit Versicherungsschutz in der Banken-, der Energiebranche und Industrie.
Fast jedes zweite Unternehmen lässt sich jährlich oder halbjährlich extern oder intern auf Schwachstellen im Hinblick auf Cyberangriffe testen. Vor allem Unternehmen aus der Energie- und Industriebranche ist ein jährlicher Check besonders wichtig. 16 Prozent der befragten Unternehmen testen ihre Systeme sogar monatlich, hier sind Banken mit 37 Prozent Vorreiter.
