Die IT-Bedrohungslandschaft hat sich in den letzten zehn Jahren drastisch verändert. An die Stelle einzelner Hacker, die mit einfachen Angriffen überschaubare Schäden verursacht haben, sind organisierte Gruppen von Cyberkriminellen getreten, die Unternehmen mit komplexen Angriffsmethoden erhebliche Schäden zufügen können. Vor dem Hintergrund dieser Bedrohungen und auch der rasch fortschreitenden Digitalisierung hat Cisco in einer Umfrage unter 250 heimischen Führungskräften* erhoben, wie es um die IT-Sicherheit in Österreichs Unternehmen und das subjektive IT-Sicherheitsgefühl bestellt ist.
Achim Kaspar, General Manager Cisco Austria: „Die Digitalisierung schreitet in allen öffentlichen und privaten Bereichen unaufhaltsam voran. Alles wird digitalisiert, was sich digitalisieren lässt. Gleichzeitig haben wir es mit immer professioneller, organisierter Cyberkriminalität zu tun. Daher rückt auch die IT-Sicherheit zunehmend in den Fokus, dem sich Cisco nun seit mehreren Jahren mit hoher Priorität widmet.
Die Österreich-Umfrage unter Führungskräften von Unternehmen zeigt ganz deutlich eine Diskrepanz zwischen faktischen IT-Sicherheitsvorfällen in Österreichs Unternehmen und dem subjektiven Sicherheitsgefühl österreichischer Führungskräfte. Darüber hinaus ist IT-Sicherheit in Österreich noch immer nicht Chefsache. Diese Entwicklung ist Besorgnis erregend, denn IT-Sicherheit muss in Unternehmen eine wesentlich höhere Priorität einnehmen.“
Führungskräfte wähnen sich in Sicherheit
Zwei Drittel der befragten Führungskräfte sind nicht über mögliche Cybersecurity-Angriffe gegen ihr Unternehmen besorgt, die Minderheit – etwa ein Drittel (33 %) – sind zumindest etwas besorgt. Dabei gab nur jeder zweite Befragte an, dass er gut (37 %) bzw. sehr gut (18 %) über die IT-Sicherheit seines eigenen Unternehmens informiert ist. Aber: Fast drei Viertel (74 %) hatten in den letzten 12 bis 18 Monaten einen Sicherheitsvorfall. Davon hatten 29 Prozent einen dadurch bedingten Systemausfall, 21 Prozent sogar einen Datenverlust. Jedoch nur 8 Prozent melden einen Sicherheitsvorfall an die Behörde. Die Umfrage zeigte darüber hinaus, dass die Verantwortlichkeit für IT-Sicherheit bzw. Entscheidung für entsprechende Maßnahmen nur bei jedem zweiten Unternehmen (51 %) bei der Geschäftsführung liegt.
„Ein Produktionsstillstand aufgrund eines Systemausfalls oder der Verlust von vertraulichen Daten sind schwerwiegende Folgen von cyberkriminellen Angriffen und zeigen, dass die Unternehmen nicht ausreichend geschützt sind. Wenn der Geschäftsführer für den Unternehmenserfolg verantwortlich ist, dann müsste demzufolge auch die IT-Sicherheit in seinem persönlichen Interesse bzw. Verantwortungsbereich liegen“, warnt Achim Kaspar. „Da nur ein geringer Prozentsatz Sicherheitsvorfälle an eine öffentliche Behörde oder aber auch dem IT-Lieferanten oder Provider meldet, gehen wir davon aus, dass die Dunkelziffer von Cyberattacken sehr, sehr hoch ist“, folgert Kaspar weiter.
Partner und Lieferanten als Sicherheitsproblem
Führungskräfte österreichischer Unternehmen wurden auch gefragt, ob sie sich vergewissern, wie ihre Lieferanten oder Partner gespeicherte Kundendaten schützen und welche IT-Sicherheitstechnologien sie einsetzen. Etwa zwei Drittel (68 %) erheben den Stand der IT-Sicherheit ihres Partners bzw. Lieferanten nicht.
„Hier muss noch Bewusstsein dafür geschaffen werden, dass Partner oder Lieferanten, die nicht ausreichend geschützt sind, als Einfallstor für Cyberkriminelle genutzt werden und somit ein Sicherheitsproblem für Unternehmen darstellen können. Es ist daher zu empfehlen, bei einer geschäftlichen Zusammenarbeit auch diesen Aspekt vertraglich zu sichern“, empfiehlt Kaspar.
IT-Sicherheit wichtig für Geschäftserfolg – aber kein Geld für Security-Updates
Die Bedeutung von IT-Sicherheit ist für heimische Geschäftsführer und Führungskräfte unbestritten: IT-Sicherheit ist für die Vertrauenswürdigkeit eines Unternehmens wichtig (73 %) – für 35 Prozent sogar sehr wichtig – und fördert den Unternehmenserfolg (66 %). Mehr als die Hälfte (60 %) der Befragten ist allerdings der Meinung, dass IT-Sicherheit mit einem hohen Kostenaufwand verbunden ist. Budgetrestriktionen (32 %), Probleme aufgrund der Kompatibilität mit vorhandener IT-Infrastruktur (30 %) und unterschiedliche Prioritäten (28 %) wurden auch als größte Hürden für ein umfassendes IT-Security-Update in Unternehmen genannt.
Dazu Achim Kaspar: „IT-Sicherheit ist für den Geschäftserfolg und Innovationen essenziell, denn nur dann haben neu entwickelte Geschäftsmodelle auch eine Zukunft. Die Technologieindustrie bietet bereits jetzt eine breite Palette an Security-Lösungen für unterschiedliche Anforderungen an. Angesichts der zunehmenden Bedrohungen aus dem Internet können sich Unternehmen es sich nicht leisten, bei der IT-Sicherheit zu sparen“, sagt Achim Kaspar.
Integrierte IT-Security-Architektur schützt die Infrastruktur vor, während und nach dem Angriff
Cisco veröffentlicht zweimal im Jahr einen Report mit Informationen und statistische Daten über aktuelle Bedrohungen und Sicherheitsschwachstellen – den Cisco Annual Security Report und den Cisco Midyear Cybersecurity Report. Im aktuellem Cisco Midyear Cybersecurity Report 2016 warnen Sicherheitsexperten von Cisco vor Erpressersoftware (Ransomware), mit der Unternehmen zunehmend konfrontiert sind. Dabei erpressen Cyberkriminelle Computernutzer, indem sie die Daten auf dem Computer mit einer starken Verschlüsselung unlesbar machen und für die Herausgabe des Schlüssels Lösegeld verlangen. Diese Art von Cyberangriffen ist inzwischen der profitabelste Malware-Typ in der Geschichte der IT und wird bis Ende 2016 zu einem Milliarden-Markt.
Achim Kaspar über den aktuellen IT-Security-Ansatz von Cisco: „Eine einfache Firewall oder nur der Schutz von Endgeräten reicht heute schon lange nicht mehr aus. Es ist ein integrierter Technologieansatz notwendig, bei dem die Sicherheit schon im Netzwerk greift, bevor die Schadware die Endgeräte erreicht. Moderne Analytics-Technologien haben in der Sicherheitstechnologie zudem zu einem Paradigmenwechsel geführt: Intelligente Sicherheitsmodelle schützen IT-Systeme bereits vor, während und nach einem IT-Security-Angriff.“
Mit einfachen Maßnahmen kann die Sicherheit eines Unternehmens deutlich erhöht werden:
• Mit rechtzeitigem Patchen und Upgraden der Netzwerk-Infrastruktur und darauf basierender Anwendungen lassen sich zumindest die bekannten Sicherheitslücken schließen, wodurch schon ein großer Teil der Angriffe abgewehrt wird.
• Das Netzwerk sollte durch geeignete Monitoring-Lösungen ständig überwacht werden, um verdächtige Aktivitäten sofort zu erkennen. Schon heute lässt sich die Entdeckungszeit („Time to Detection“, TTD) deutlich reduzieren.
• Lösungen zur Netzwerk-Segmentierung grenzen den Schaden ein, sobald einige Systeme von Malware betroffen sind.
• Maßnahmen wie E-Mail- und Web-Security, Next-Generation Firewalls und Next-Generation Intrusion-Prevention-Systeme sowie DNS-Sicherheitslösungen sind heute bereits Standard.
• Mobile Systeme von Mitarbeitern sind ebenso abzusichern wie das Unternehmensnetzwerk.
• Backups für wichtige Daten sollten regelmäßig durchgeführt werden.
• Es sollte ein umfassender Architektur-Ansatz statt Einzelprodukte genutzt werden. Dadurch entsteht eine bessere Sichtbarkeit und die Gefahr von Konfigurationsfehlern wird deutlich kleiner.
• Messungen sollten Teil der IT-Richtlinien sein, wie etwa die Messung der Häufigkeit der Angriffe, die Erfolgsquote der Abwehr oder die Zeit zur Entdeckung von Malware.
* Österreichweite Umfrage „IT-Sicherheit in Österreich“, durchgeführt von meinungsraum.at im Juli 2016 im Auftrag von Cisco Austria; 250 Online-Interviews mit Führungskräften (Unternehmer, Geschäftsführer, leitende Angestellte) von kleinen, mittleren und großen Unternehmen