Laut einer aktuellen Studie von EY war bereits jedes zweite österreichische Unternehmen in den letzten fünf Jahren Opfer von Datendiebstahl. Dabei bleiben viele Cyberattacken unbemerkt, viele Unternehmen unterschätzen die Gefahr immer noch und rund die Hälfte von ihnen hat ohnehin zu wenig Ressourcen für den Kampf gegen Datendiebstahl.
Unternehmen unterschätzen Gefahr immer noch deutlich
Besonders groß ist die Gefahr für Industriebetriebe und Großunternehmen mit mehr als einer Milliarde Euro Umsatz: Dort haben 69 Prozent bzw. 50 Prozent bereits konkrete Attacken festgestellt. Umso verwunderlicher: Immer noch sieht fast die Hälfte (47%) der Unternehmen hierzulande nur ein geringes Risiko, Opfer eines Cyberangriffs zu werden.
„Österreichs Unternehmen sind im Visier von Cyberkriminellen, jedes zweite ist in den letzten Jahren Opfer eines Angriffes geworden – die Dunkelziffer ist bei diesem sensiblen Thema allerdings noch deutlich höher. Umso mehr überrascht die Sorglosigkeit bei vielen Unternehmen. Knapp jedes zweite Unternehmen glaubt nicht daran, Opfer eines Angriffs zu werden. Dabei zeigen die regelmäßigen neuen Enthüllungen, dass jeder Ziel solcher Attacken werden kann und dass die gängigen Schutzmechanismen umgangen werden können“, so Gottfried Tonweber, Senior Manager IT Advisory und Leiter Cyber Services bei EY Österreich.
Nahezu alle Manager sind sicher: die Bedrohung wächst
Für die Zukunft erwarten nahezu alle Manager (99%), dass die Bedeutung des Problems zunehmen wird. 56 Prozent gehen sogar von einer stark wachsenden Bedrohung aus dem Netz aus.
Drazen Lukac, Associate Partner und Geschäftsführer IT Advisory bei EY Österreich, ergänzt: „Jeder Warnschuss ist einer zu viel. Unternehmen müssen sich in Klaren sein, dass sie jederzeit attackiert werden können und die Schäden durch Angriffe existenzbedrohlich sein können. Die in neun Monaten in Kraft tretende Datenschutz-Grundverordnung erhöht das finanzielle Risiko weiter. Bei Verfehlungen im Datenschutz kann die Behörde drastische Bußgelder verhängen, die in Millionenhöhe gehen können. Unternehmen müssen technisch aufrüsten und vor allem die eigenen Mitarbeiter schulen und sensibilisieren, um gegen Cyberangriffe und Datendiebstahl bestehen zu können“.
Hohe Dunkelziffer: Viele Attacken bleiben unbemerkt
Die Dunkelziffer von Cyberattacken dürfte aber deutlich höher sein – gerade bei den kleineren Unternehmen, die oft nicht die entsprechenden Mittel oder das Know-how haben, um diese zu entdecken. So sind 73 Prozent der entdeckten kriminellen Handlungen durch ein internes Kontrollsystem aufgeflogen. Bei 23 Prozent der Fälle wurden die Angriffe durch Hinweise Unternehmensinterner aufgedeckt, bei 20 Prozent waren es interne Routineprüfungen und bei sieben Prozent regierte der Zufall. Dort, wo das Kontrollsystem nicht ausreichte oder der Zufall nicht mithalf, sind also viele Angriffe unentdeckt geblieben.
Im Kampf gegen Cyberattacken droht Österreich eine Zweiklassengesellschaft: Exakt die Hälfte der Unternehmen (50%) beklagt mangelnde personelle, technologische oder finanzielle Ressourcen, während sich die andere Hälfte gut gerüstet fühlt. Bei Großunternehmen verfügen sogar drei Viertel (75%) laut eigener Aussage über ausreichend Ressourcen.
Dennoch ist das Sicherheitsgefühl der heimischen Betriebe hoch: 79 Prozent der Manager halten die präventiven Maßnahmen gegen Datendiebstahl in ihrem Unternehmen für ausreichend. Die Sicherheitsvorkehrungen sind in der Regel aber eher konventionell: Zur Vorbeugung von Cyber-Angriffen bzw. Spionageakten setzen Unternehmen am häufigsten auf Firewalls (98%), Passwörter auf allen Geräten (94%) und Antivirensoftware (92%).
„Passwörter und Antivirensoftware können von Hackern heute mitunter minutenschnell umgangen werden. Ein Sicherheitssystem, das lediglich auf diese herkömmlichen Schutzmaßnahmen setzt, öffnet Hackern bereitwillig die Tore. Wer sensible Firmen- oder Kundendaten auf seinen Servern hat, sollte unbedingt strengere Sicherheitsvorkehrungen einführen“, warnt Tonweber.
Umfassendere Schutzvorkehrungen sind in den Unternehmen hingegen Mangelware: Ein Intrusion-Detection- bzw. Prevention-System, das Hinweise auf die Aktivitäten von Eindringlingen geben kann, leisten sich nur 37 Prozent der Unternehmen. Drei von vier Unternehmen (75%) lassen besonders sensible Bereiche überwachen, auch ein gesonderter Serverbereich findet sich inzwischen bei der überwiegenden Mehrheit (71%). Zwei Drittel (68%) haben Zugangskontrollen zum Firmenareal, regelmäßige Untersuchungen auf Wanzen sind bei jedem siebten Unternehmen (14%) gängige Praxis.
Immerhin: Fast jedes zweite österreichische Unternehmen (49%) lässt sich regelmäßig auf Schwachstellen im Hinblick auf Cyberangriffe testen. Drei von zehn Betrieben (29%) verzichten allerdings auf diese Überprüfungen. Jedes fünfte österreichische Unternehmen (20%) gibt an, eine Versicherung gegen digitale Risiken abgeschlossen zu haben. Besonders hoch ist der Anteil bei Großunternehmen (75%). Die Mehrheit der Unternehmen (58%) verfügt über keinen derartigen Versicherungsschutz.
Angriffe auf EDV-Systeme sind häufigste Art der Attacke
In fast drei Viertel der Fälle (61%) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, bei 36 Prozent wurden die Unternehmen Opfer der Methode des sogenannten ‚Social Engineering‘. Dabei versuchen die Täter, Mitarbeiter durch gezielte Beeinflussung und die Infiltration von Systemen zu täuschen. In diesem Zusammenhang wurden bei einem Fünftel (20%) Telefonate abgehört bzw. E-Mails abgefangen, bei elf Prozent wurden Finanzdaten manipuliert und bei fünf Prozent wurde ein „Fake President Fraud“ durchgeführt – bei diesem Angriff geben sich Betrüger als hochrangige Mitarbeiter aus, um unternehmensinterne Systeme zu infiltrieren und hohe Zahlungen zu beauftragen. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen, geschäftskritisches Know-how gestohlen oder Datendiebstahl durch eigene Mitarbeiter begangen (jeweils 2%).