In einer stark digitalisierten Welt sehen sich Unternehmen täglich neuen Bedrohungen ausgesetzt, die ihre sensiblen Daten und IT-Infrastrukturen gefährden. Nur gut ein Drittel der Entscheider:innen (35 %) in Österreich schätzt jedoch das Risiko eines Cyberangriffs auf das eigene Unternehmen als sehr oder eher hoch ein. Fast doppelt so viele (64 %) sehen (eher) keine Gefahr, Opfer eines Cyberangriffs zu werden. Aber: Je höher der Jahresumsatz der Unternehmen, desto höher wird die Gefahr eingeschätzt.
Bei einem Umsatz von mehr als 50 Millionen Euro stuft beispielsweise fast die Hälfte der heimischen Betriebe die Gefahr, Opfer eines Cyberangriffs zu werden, als (sehr) hoch ein. Auch gibt es starke Branchenunterschiede: Versicherungen (25 %) oder der öffentliche Sektor (17 %) liegen bei ihrer Einschätzung eines sehr hohen Risikos als einzige Branchen über dem Durchschnittswert von gesamt elf Prozent.
Am höchsten wird das Risiko eingeschätzt, einem organisierten Verbrechen zum Opfer zu fallen: Knapp ein Viertel (23 %) der Befragten bestätigt das, vor allem jene aus Unternehmen mit einem Jahresumsatz von über 50 Mio. Euro. Hacktivisten-Gruppen liegen mit 19 Prozent knapp dahinter in der Risikoeinschätzung.
Insgesamt gut jedes fünfte heimische Unternehmen (22 %) berichtet von konkreten Hinweisen auf Cyberattacken: Bei sieben Prozent der Unternehmen einmalig, bei 15 Prozent sogar mehrfach. Dabei können im Falle eines Angriffs nicht nur die Produktion gefährdet und IT-Systeme lahmgelegt werden, sondern auch sensible Daten und das Kundenvertrauen verloren gehen. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte aber deutlich höher sein.
Mit dem Umsatz steigt die Wahrscheinlichkeit nochmal an: 35 Prozent der Unternehmen ab 51 Millionen Euro Umsatz haben sogar mehrfache Angriffe erlebt. In 60 Prozent aller Cyberangriffe waren die Angreifer:innen maximal einen Tag aktiv, die Wiederherstellung und der Neuaufbau konnte in zwei von drei Fällen (67 %) innerhalb weniger Tage abgeschlossen werden. Mehr als acht von zehn Führungskräfte (84 %) rechnen in Zukunft über alle Branchen hinweg weiters mit einer stark steigenden Gefahr durch Cyberangriffe und Datendiebstahl.
Viele Führungskräfte setzen daher bereits entsprechende Maßnahmen zur Sicherung ihrer Daten und Infrastruktur um: 91 Prozent nutzen Firewalls und Antivirus-Software, 87 Prozent Sicherheitsupdates und Patches. Mit Notfallplänen und Incident Response Teams sind dagegen nur 36 Prozent ausgestattet. 58 Prozent der Unternehmen bieten ihren Mitarbeiter:innen Schulungs- und Fortbildungsmaßnahmen an. Allerdings erhalten rund 40 Prozent der Mitarbeiter:innen keine Schulungen zu Cybersicherheit und Datensicherheit, was ein erhebliches Risiko für die Unternehmenssicherheit darstellt. Am häufigsten werden Schulungen zum Thema Cybersicherheit (46 %) angeboten.
Lediglich in jedem zweiten Unternehmen, das Fortbildungsmaßnahmen anbietet, werden aktuelle Bedrohungen wie Deep Fakes und der Umgang mit KI-Bedrohungen behandelt. Ein Viertel berichtet dabei von der Simulation von Phishing-Angriffen. Damit sind Unternehmen auch gut beraten: Phishing ist auf Platz 1 der häufigsten Angriffsarten – 67 Prozent sind davon betroffen. Jede zweite Attacke fällt in die Kategorie Malware (51 %), vier von zehn (38 %) in den Bereich Ransomware-Angriff.
Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY Österreich. Dafür wurden 201 Geschäftsführer:innen sowie Führungskräfte aus den Bereichen IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeiter:innen befragt.
Es ist alarmierend, dass nur ein Drittel der österreichischen Unternehmensentscheider:innen das Risiko eines Cyberangriffs als hoch einschätzt, obwohl die Bedrohungen täglich zunehmen. Dass fast ein Viertel der heimischen Unternehmen bereits konkrete Hinweise auf Cyberattacken verzeichnet hat, unterstreicht die Notwendigkeit, Maßnahmen laufend auszubauen. Cybersicherheit sollte als integraler Bestandteil der Unternehmensstrategie betrachtet und nicht hintenangestellt werden.
Gottfried Tonweber, Leiter Cybersecurity und Data Privacy, EY Österreich
Jede:r Fünfte bereits mit Erpressung konfrontiert
Von Erpressungsversuchen, bei denen Lösegeld gefordert wird, war bereits jedes fünfte Unternehmen betroffen, vier Prozent sogar mehrfach – laut eigenen Angaben hat jedoch keines der betroffenen Unternehmen gezahlt. Cyberangriffe kosten den Unternehmen dennoch Geld: In 22 Prozent der Fälle fiel ein Schaden von unter 25.000 Euro an, bei neun Prozent lag er teils deutlich über dieser Summe. Die Dunkelziffer bleibt unklar, da mehr als die Hälfte der Befragten (53 %) keine Angaben zur Schadenhöhe machen wollte.
Vier von zehn Angriffe konnten über unternehmensinterne Kontrollsysteme aufgedeckt werden, 18 Prozent im Rahmen interner, routinemäßiger Überprüfungen. Elf Prozent geben aber auch an, dass dies nur zufällig passiert sei. Betrachtet man die betroffenen Abteilungen, richten sich die Angriffe und der Datendiebstall in erster Linie an Finanz- und Kreditabteilungen (31 %), gefolgt vom Vertrieb (20 %) und dem höheren Management (18 %).
In Cybersecurity-Maßnahmen zu investieren ist aufgrund der Schäden, die daraus resultieren können, dringend angebracht. Jedoch weiß nur jede:r Zweite über ein Cyber-Budget Bescheid (52 %). 36 Prozent der Befragten haben bis zu 25.000 Euro jährlich zur Verfügung, um sich zu schützen. Der eigenen Einschätzung nach stehen 44 Prozent der Unternehmen (eher) viele Ressourcen zur Verfügung. Knapp ein Drittel plant sogar eine Erhöhung dieser Kostenstelle. Nur ein Viertel gibt an, ausreichend vor Informationsabfluss geschützt zu sein (26 %). Ebenfalls rund ein Viertel (27 %) ist davon jedoch weniger oder überhaupt nicht überzeugt.
Viele Manager:innen erwarten, dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen. Angesichts der komplexen digitalen Umgebungen – sei es durch Ausweitung von Homeoffice, Mobile Devices oder Cloud Computing – werden auch die Angriffsflächen immer größer und die Sicherung der eigenen Systeme immer schwieriger. Dadurch können Hacker:innen unbemerkt in die unternehmenseigene Infrastruktur eindringen und großen Schaden anrichten. Ausreichend Budget, das effektiv eingesetzt wird, ist für einen guten Schutz daher notwendig.
Bernhard Zacherl, Direktor und Experte für Cybersecurity, EY Österreich
Was passiert, wenn’s passiert ist
Bei einem Angriff auf die IT-Systeme eines Unternehmens oder dem Verdacht auf Manipulation gilt es, schnell zu handeln. Insbesondere Verantwortliche für die Informationssicherheit sollten auf solche Fälle vorbereitet sein, um im Ernstfall richtig zu reagieren. So geben 81 Prozent der Führungskräfte an, dass sie Pläne für die Wiederherstellung der Infrastruktur nach einem Angriff haben. Für die rasche Reaktion auf Cyberangriffe in ihrem Unternehmen haben elf Prozent der Unternehmen nach eigener Aussage keinen Krisenplan, acht Prozent sind gerade in der Ausarbeitung.
Der Großteil der österreichischen Unternehmen lässt ihre IT-Systeme jährlich von externen Expert:innen auf Schwachstellen in Hinblick auf Datendiebstahl prüfen, 32 Prozent tun dies sogar häufiger. Um im Falle, dass es trotz aller getroffenen Sicherheitsmaßnahmen zu einem Cyberangriff kommt, vor schwerwiegenden Folgen geschützt zu sein, hat knapp die Hälfte der Unternehmen (47 %) derzeit eine Versicherung gegen Cyberrisiken. Besonders hoch ist der Anteil der Unternehmen mit Versicherungsschutz in der Branche Bau und Immobilien (61 %) und Energie (67 %).
Viele Unternehmen blenden die reale Gefahr eines Angriffs weiterhin aus oder scheinen die Thematik nicht so ernst zu nehmen, um entsprechende Maßnahmen zu ergreifen und das Risiko zu adressieren. Es braucht neben medialer Beachtung des Themas somit weitere Anstrengungen, um die Umsetzung von Cybersicherheitsmaßnahmen zu erhöhen, konkrete Pläne bei einem Anlassfall zu erstellen und entsprechend auf präventive Maßnahmen zu setzen.
Gottfried Tonweber
Cyberabwehr: Einsatz von KI-Technologien noch in Kinderschuhen
Auch Sicherheitssysteme, die künstliche Intelligenz (KI) berücksichtigen, können helfen, Hacker-Angriffe besser zu erkennen und Schäden zu vermeiden. Dennoch setzen derzeit die wenigsten Unternehmen KI-Technologien im Bereich Cybersicherheit ein (12 %). Unternehmen, die über mehr Mitarbeitende sowieso einen höheren Umsatz von mehr als 50 Millionen Euro verfügen, sind hier mit 35 Prozent Vorreiter. Bedrohungen besser und schneller zu erkennen, wird von 43 Prozent der Befragten als Hauptziel genannt, gefolgt von einem effizienteren Sicherheitsmanagement (33 %).
Mit jeder neuen Technologie kommen auch Herausforderungen auf Unternehmen zu: Bei KI haben 44 Prozent Bedenken in Bezug auf Datenschutz und Ethik, 36 Prozent sehen hohe Kosten als Risiko sowie den Mangel an qualifiziertem Personal (32 %), um KI überhaupt richtig anzuwenden.
Eines von fünf Unternehmen hat zwar vor, zukünftig GenAI-Tools einzusetzen, eine große Mehrheit von 57 Prozent wird auf Technologie für die Cyberabwehr aber weiterhin verzichten. Wenn, dann kommen vor allem Technologien zur Bedrohungsanalyse und -intelligenz zum Einsatz (36 %), gefolgt von automatisierter Sicherheitsüberwachung und -management (32 %). 40 Prozent der Befragten halten den Beitrag von KI für sehr groß bzw. groß, während ungefähr der gleiche Prozentsatz (44 %) wenig überzeugt von der Effektivität der Technologie ist.
Sensibilisierung von Mitarbeitenden
Darüber hinaus kann Homeoffice für viele Unternehmen zum Risikofaktor werden. Remote-Verbindungen sind ein attraktives Einfallstor für Cyberkriminelle. Bei einem Viertel der Befragten (26 %) ist Homeoffice gang und gäbe – je größer das Unternehmen, desto eher wird verstärkt die Möglichkeit geboten. Bei Betrieben mit über 100 Mitarbeitenden sind es 40 Prozent. Aber neun von zehn Unternehmen haben keine Veränderung von Cyberangriffen durch die Homeoffice-Möglichkeit festgestellt, nur vier Prozent konnten einen Zuwachs bemerken. Mehr als die Hälfte hat jedoch verstärkt interne Maßnahmen gesetzt, Mitarbeitende sensibilisiert (52 %), vier von zehn setzen auf modernere Technik (42 %) und verschärfen Sicherheitsmaßnahmen (42 %).
Zacherl dazu: „Der Mensch ist eine der größten Schwachstellen bei der IT-Sicherheit. Oftmals aus Unwissenheit. Schulungen und Trainings, um Awareness bei Mitarbeitenden zu schaffen und das nötige Know-how zu vermitteln, sollten daher hohe Priorität haben, um allfällige Angriffe abzuwehren.“
Die vollständigen Studienergebnisse stehen hier zum Download zur Verfügung.
