Cyberangriffe und Datendiebstahl in Österreich
Nur ein Drittel der Führungskräfte schätzt das Risiko eines Cyberangriffs auf das eigene Unternehmen als sehr oder eher hoch ein.
Fast doppelt so viele (64 Prozent) sehen (eher) keine Gefahr, Opfer eines Cyberangriffs zu werden. Aber: Je höher der Jahresumsatz der Unternehmen, desto höher wird die Gefahr eingeschätzt. Bei einem Umsatz von mehr als 50 Millionen Euro stuft beispielsweise fast die Hälfte der heimischen Betriebe die Gefahr, Opfer eines Cyberangriffs zu werden, als (sehr) hoch ein. Auch gibt es starke Branchenunterschiede: Versicherungen (25 Prozent) oder der öffentliche Sektor (17 Prozent) liegen bei ihrer Einschätzung eines sehr hohen Risikos als einzige Branchen über dem Durchschnittswert von gesamt elf Prozent.
Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY Österreich. Dafür wurden 201 Geschäftsführer:innen sowie Führungskräfte aus den Bereichen IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeitenden befragt.
Risikobewusstsein
Am höchsten wird das Risiko eingeschätzt, einem organisierten Verbrechen zum Opfer zu fallen: Knapp ein Viertel (23 Prozent) der Befragten bestätigt das, vor allem jene aus Unternehmen mit einem Jahresumsatz von über 50 Mio. Euro. Hacktivisten-Gruppen liegen mit 19 Prozent knapp dahinter in der Risikoeinschätzung.
Insgesamt gut jedes fünfte heimische Unternehmen (22 Prozent) berichtet von konkreten Hinweisen auf Cyberattacken: Bei sieben Prozent der Unternehmen einmalig, bei 15 Prozent sogar mehrfach. Dabei können im Falle eines Angriffs nicht nur die Produktion gefährdet und IT-Systeme lahmgelegt werden, sondern auch sensible Daten und das Kundenvertrauen verloren gehen. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte aber deutlich höher sein.
Mit dem Umsatz steigt die Wahrscheinlichkeit nochmal an: 35 Prozent der befragten Unternehmen ab 51 Millionen Euro Umsatz haben sogar mehrfache Angriffe erlebt. In 60 Prozent aller Cyberangriffe waren die Angreifenden maximal einen Tag aktiv, die Wiederherstellung und der Neuaufbau konnte in zwei von drei Fällen (67 Prozent) innerhalb weniger Tage abgeschlossen werden. Mehr als acht von zehn Führungskräfte (84 Prozent) rechnen in Zukunft über alle Branchen hinweg weiters mit einer stark steigenden Gefahr durch Cyberangriffe und Datendiebstahl.
Gegenmaßnahmen
Viele Führungskräfte setzen daher bereits entsprechende Maßnahmen zur Sicherung ihrer Daten und Infrastruktur um: 91 Prozent der Befragten nutzen Firewalls und Antivirus-Software, 87 Prozent Sicherheitsupdates und Patches. Mit Notfallplänen und Incident Response Teams sind dagegen nur 36 Prozent ausgestattet.
Knapp 60 Prozent der Unternehmen bieten ihren Mitarbeiter:innen Schulungs- und Fortbildungsmaßnahmen an (58 Prozent). Allerdings erhalten rund 40 Prozent der Mitarbeiter keine Schulungen zu Cybersicherheit und Datensicherheit, was ein erhebliches Risiko für die Unternehmenssicherheit darstellt. Am häufigsten werden Schulungen zum Thema Cybersicherheit (46 Prozent) angeboten.
Lediglich in jedem zweiten Unternehmen, das Fortbildungsmaßnahmen anbietet, werden aktuelle Bedrohungen wie Deep Fakes und der Umgang mit KI-Bedrohungen behandelt. Ein Viertel berichtet dabei von der Simulation von Phishing-Angriffen. EY-Angaben zufolge sind Unternehmen damit auch gut beraten: Phishing ist auf Platz 1 der häufigsten Angriffsarten – 67 Prozent der Befragten sind davon betroffen. Jede zweite Attacke fällt in die Kategorie Malware (51 Prozent), vier von zehn (38 Prozent) in den Bereich Ransomware-Angriff.
Erpressung
Von Erpressungsversuchen, bei denen Lösegeld gefordert wird, war bereits jedes fünfte befragte Unternehmen betroffen, vier Prozent sogar mehrfach – laut eigenen Angaben hat jedoch keines der betroffenen Unternehmen gezahlt. Cyberangriffe kosten den Unternehmen dennoch Geld: In 22 Prozent der Fälle fiel ein Schaden von unter 25.000 Euro an, bei neun Prozent lag er teils deutlich über dieser Summe. Die Dunkelziffer bleibt unklar, da mehr als die Hälfte der Befragten (53 Prozent) keine Angaben zur Schadenhöhe machen wollte.
Vier von zehn Angriffen konnten über unternehmensinterne Kontrollsysteme aufgedeckt werden, so EY weiter, sowie 18 Prozent der Angriffe im Rahmen interner, routinemäßigen Überprüfungen. Elf Prozent der Befragten geben aber auch an, dass dies nur zufällig passiert sei. Betrachtet man die betroffenen Abteilungen, richten sich die Angriffe und der Datendiebstall in erster Linie an Finanz- und Kreditabteilungen (31 Prozent), gefolgt vom Vertrieb (20 Prozent) und dem höheren Management (18 Prozent).
Cyberabwehr
Auch Sicherheitssysteme, die künstliche Intelligenz (KI) berücksichtigen, können helfen, Hacker-Angriffe besser zu erkennen und Schäden zu vermeiden. Dennoch setzen derzeit die wenigsten Unternehmen KI-Technologien im Bereich Cybersicherheit ein (12 Prozent der Befragten). Unternehmen, die über mehr Mitarbeitende sowieso einen höheren Umsatz von mehr als 50 Millionen Euro verfügen, sind hier mit 35 Prozent Vorreiter.
Bedrohungen besser und schneller zu erkennen, wird von 43 Prozent der Befragten als Hauptziel genannt, gefolgt von einem effizienteren Sicherheitsmanagement (33 Prozent). Mit jeder neuen Technologie kommen auch Herausforderungen auf Unternehmen zu: Bei KI haben 44 Prozent Bedenken in Bezug auf Datenschutz und Ethik, 36 Prozent sehen hohe Kosten als Risiko sowie den Mangel an qualifiziertem Personal (32 Prozent), um KI überhaupt richtig anzuwenden.
Eines von fünf Unternehmen hat zwar vor, zukünftig GenAI-Tools einzusetzen, eine große Mehrheit von 57 Prozent wird auf Technologie für die Cyberabwehr weiterhin verzichten. Wenn, dann kommen vor allem Technologien zur Bedrohungsanalyse und -intelligenz zum Einsatz (36 Prozent), gefolgt von automatisierter Sicherheitsüberwachung und -management (32 Prozent). 40 Prozent der Befragten halten den Beitrag von KI für sehr groß bzw. groß, während ungefähr der gleiche Prozentsatz (44 Prozent) wenig überzeugt von der Effektivität der Technologie ist.
Sensibilisierung von Mitarbeitenden
Darüber hinaus kann Homeoffice für viele Unternehmen zum Risikofaktor werden, so EY weiter. Remote-Verbindungen seien ein attraktives Einfallstor für Cyberkriminelle. Bei einem Viertel der Befragten (26 Prozent) ist Homeoffice gang und gäbe – je größer das Unternehmen, desto eher wird verstärkt die Möglichkeit geboten. Bei Betrieben mit über 100 Mitarbeitenden sind es 40 Prozent.
Aber neun von zehn Unternehmen haben keine Veränderung von Cyberangriffen durch die Homeoffice-Möglichkeit festgestellt, nur vier Prozent konnten einen Zuwachs bemerken. Mehr als die Hälfte hat jedoch verstärkt interne Maßnahmen gesetzt, Mitarbeitende sensibilisiert (52 Prozent), vier von zehn setzen auf modernere Technik (42 Prozent) und verschärfen Sicherheitsmaßnahmen (42 Prozent).