Die Digitalisierung ist ein großes Versprechen, insbesondere für die Wirtschaft. Sie bietet ökonomische Chancen, Effizienzvorteile und kann den Alltag im Beruflichen wie Privaten erleichtern. Klar ist aber auch, dass die zunehmende Digitalisierung Unternehmen und auch Privatpersonen verwundbarer macht. Drei Viertel der Führungskräfte (76%) in Österreich rechnen in Zukunft mit einer allgemein steigenden Gefahr durch Cyberangriffe und Datendiebstahl, doch nur 29% der Befragten bewerten das Risiko, selbst Opfer eines Angriffs zu werden, als hoch.   

Einträgliches Geschäft des organisierten Verbrechens 

Internetkriminalität ist zu einem hochprofessionellen Geschäft des organisierten Verbrechens geworden und für IT-Expert:innen ist ein Cyberangriff keine Frage des Ob, sondern nur noch des Wann. Insgesamt jedes vierte heimische Unternehmen (23%) berichtet von konkreten Hinweisen auf Cyberattacken: Bei 16% der Unternehmen einmalig, bei 7% sogar mehrfach. Dabei können im Falle eines Angriffs nicht nur die Produktion gefährdet und IT-Systeme lahmgelegt, sondern auch sensible Daten und das Kundenvertrauen verloren gehen. 

Kontinuierliche Zunahme von Cybercrime 

„Weltweit steigen die Fälle von Cybercrime, auch Österreich ist davon betroffen. Die Angriffsszenarien werden technisch immer raffinierter. Auch Spionage, Sabotage und Erpressung gehören bei Cyberattacken längst zum – leider oft sehr lukrativen – Geschäftsmodell. Laut dem Cybercrime Report des Bundesministeriums für Inneres (BMI) ist im Jahr 2021 die Zahl der gemeldeten Cybercrime-Delikte erneut gestiegen – plus 28,6%. Durch die rasante Digitalisierung von Unternehmen ist die IT-Sicherheit oft auf der Strecke geblieben, diese Fehler und Sicherheitslücken nutzen Angreifer:innen natürlich aus“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich. 

© PantherMedia/REDPIXEL

Banken besonders gefahrenbewusst  

Auch wenn das Gefahrenbewusstsein und die weitreichenden Konsequenzen eines Cyberangriffes mittlerweile in den Köpfen der Führungskräfte angekommen sind, schätzen noch immer knapp drei Viertel das Risiko, dass ihr Unternehmen selbst Opfer von Cyberkriminellen wird, als eher niedrig bzw. sehr niedrig ein (71%). Nur 29% der Befragten sehen ein großes bzw. sehr großes Risiko für ihr eigenes Unternehmen. Je größer das Unternehmen, desto größer ist dabei die Risikowahrnehmung: Etwa jedes siebte größere Unternehmen (14%) mit mehr als 100 Beschäftigten schätzt das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als sehr hoch ein. Wie schon im Vorjahr zeigen sich auch im Branchenvergleich Banken wieder besonders gefahrenbewusst (10% sehr hohes Risiko, 30% hohes Risiko), gefolgt von der Energiebranche (27% sehr hohes Risiko, 8% hohes Risiko). 

Angriffe immer unauffälliger 

„Viele Manager:innen erwarten, dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen. Dabei unterschätzen sie die Kreativität und Professionalität der Angreifer:innen, denn die Arten der Angriffe werden immer unauffälliger. Angesichts der komplexen digitalen Umgebungen – sei es durch Ausweitung von Homeoffice, Mobile Devices oder Cloud Computing – werden auch die Angriffsflächen immer größer und die Sicherung der eigenen Systeme immer schwieriger. Dadurch können Hacker:innen unbemerkt in die unternehmenseigene Infrastruktur eindringen und großen Schaden anrichten“, so Tonweber. 

Jede:r Achte bereits mit Erpressung konfrontiert  

In fast jedem vierten österreichischen Unternehmen (23%) gab es in den vergangenen fünf Jahren konkrete Hinweise auf Cyberangriffe bzw. Datendiebstahl. Knapp ein Drittel der Angriffe wurde vom internen Kontrollsystem entdeckt (30%), jeder Fünfte (19%) gab an, dass ein Angriff nur durch Zufall aufgedeckt wurde. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte demnach deutlich höher sein. Besonders der Vertrieb (45%) und das Finanzwesen (31%) sind beliebte Angriffsziele von Cyberkriminellen. 

© PantherMedia/Andriy Popov

Auch in diesem Jahr sind die mit Abstand meisten Attacken Hackerangriffe auf unternehmenseigene IT-Systeme (40%), gefolgt von Stören bzw. Lahmlegen der IT-Systeme (7%) und Manipulation von Finanzdaten (6%). Während im Vorjahr noch Datendiebstahl durch eigene Mitarbeiter:innen mit 21% zu den häufigsten Angriffen zählte, berichteten 2022 nur mehr verschwindend geringe 2% von dieser konkreten Handlung. 

Mehr als die Hälfte verfügt über Krisenplan 

Bei einem Angriff auf die IT-Systeme eines Unternehmens oder dem Verdacht auf Manipulation gilt es, schnell zu handeln. Insbesondere Verantwortliche für die Informationssicherheit sollten auf solche Fälle vorbereitet sein, um im Ernstfall richtig zu reagieren. So geben 57% der Führungskräfte an, dass sie einen Krisenplan zur Reaktion auf Cyberangriffe in ihrem Unternehmen haben, knapp zwei Drittel (63%) üben die Abläufe jährlich oder mehr als einmal im Jahr. Jedes dritte Unternehmen (33%) hat nach eigener Aussage keinen Krisenplan, 10% sind gerade in der Ausarbeitung. 64% der Unternehmen, die Opfer eines Angriffes wurden, gaben an, dass der Neuaufbau und die Wiederherstellung des Betriebs innerhalb weniger Tage erfolgten. 

„Obwohl auch kleine KMU erwiesenermaßen ein interessantes Angriffsziel sind, werden viele grundlegende Schutzmaßnahmen nicht in ausreichendem Maße umgesetzt. Viele Unternehmen blenden diese reale Gefahr aus dem digitalen Raum weiterhin aus oder scheinen zu träge oder von der Problematik überfordert zu sein, um entsprechende Maßnahmen zu ergreifen und das Risiko zu adressieren. Es braucht neben medialer Beachtung des Themas somit weitere Anstrengungen, um die Umsetzung von Cybersicherheitsmaßnahmen zu erhöhen“, so Gottfried Tonweber. 

Sensibilisierung von Mitarbeiter:innen wichtigstes Werkzeug  

© EY/Christina Häusler

Das Homeoffice kann für viele Unternehmen zum Risikofaktor werden, Remote-Verbindungen zu einem attraktiven Einfallstor für Cyberkriminelle: In den meisten Fällen musste neue Software installiert werden und private Laptops sind nicht mit derselben Software geschützt wie Firmen-PCs. Eines der häufigsten Szenarien: Programme funktionieren nicht, IT-Mitarbeiter:innen versuchen das Problem remote zu lösen und dabei entstehen Schwachstellen in der IT-Umgebung. 

Viele heimische Unternehmen haben dieses gesteigerte Risiko erkannt und in den letzten Monaten ihre Cybersecurity-Maßnahmen verschärft. Die Top-3-Maßnahmen sind dabei die Sensibilisierung der Mitarbeiter:innen (56%), die Modernisierung der IT-Infrastruktur (54%) und die Verschärfung der Sicherheitsrichtlinien (46%). 

Birgit Eschinger, Senior Manager Cybersecurity & Data Privacy bei EY Österreich, dazu: „Der Mensch ist weiterhin die größte Schwachstelle im Bereich der IT-Sicherheit. Sei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus – vertrauliche Unternehmensdaten geraten schnell in die falschen Hände oder das Netzwerk ist infiziert. Schulungen und Trainings, um Awareness bei Mitarbeiter:innen zu schaffen und das nötige Know-how zu vermitteln, sollte daher hohe Priorität haben, um allfällige Angriffe abzuwehren.“ 

Für die Studie „Cyberangriffe und Datendiebstahl: virtuelle Gefahr – reale Schäden“ der Prüfungs- und Beratungsorganisation EY Österreich wurden 202 Geschäftsführer:innen sowie Führungskräfte aus IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeiter:innen befragt. 

Weitere Informationen unter: www.ey.com/at