Wien. Lediglich 33 Prozent der österreichischen Unternehmen melden Cyberangriffe an die Behörden, so eine KPMG-Studie.
Für die Studie „Cyber Security in Österreich“ des Prüfungs- und Beratungsmultis KPMG wurden laut den Angaben rund 340 Vertreter österreichischer Unternehmen befragt.
Die Studie analysiere zum vierten Mal in Folge die wichtigsten Fakten, Trends und Entwicklungen der letzten vier Jahre hinsichtlich Cyberkriminalität. Auch heuer wurde sie wieder in Kooperation mit dem Sicherheitsforum Digitale Wirtschaft des Kuratorium Sicheres Österreich (KSÖ) durchgeführt.
Anstieg von Attacken und Bewusstsein
Zwei Drittel (66 Prozent) der österreichischen Unternehmen erlitten in den vergangenen zwölf Monaten einen Cyberangriff. Das sind fünf Prozent mehr als im Vergleich zum Vorjahr (61 Prozent). 2016 gab lediglich die Hälfte an, Opfer einer Cyberattacke gewesen zu sein (49 Prozent).
Dabei bleiben Phishing und Malware die häufigsten Angriffsarten aus der virtuellen Welt. Knapp die Hälfte der befragten Unternehmen (jeweils 47 Prozent) kam mit diesen Attacken in Berührung. Hier lasse sich ein eindeutiger Anstieg gegenüber dem Vorjahr erkennen: 2018 waren 24 Prozent der Unternehmen von Phishing und 22 Prozent von Malware betroffen.
„Dieser Trend zeigt nicht nur, dass Cyberkriminalität immer noch am Vormarsch ist und bewährte Angriffsarten weiterhin wirksam sind. Wir sehen dadurch auch, dass Unternehmen immer öfter auch tatsächlich erkennen, dass sie angegriffen werden“, so KPMG Partner Andreas Tomek: „Wichtig wäre, dass Cyberattacken von den Unternehmen so rasch wie möglich gemeldet werden. Auftauchen und darüber reden lautet die Devise.“
Wenig Information für Behörden
Aktuell schweigen die österreichischen Unternehmen meist noch:
- In den letzten zwölf Monaten informierte nur ein Drittel (33 Prozent) nach einem Angriff öffentliche Stellen über einen Sicherheitsvorfall.
- Große Unternehmen sind etwas offener: Fast die Hälfte (46 Prozent) wendete sich laut den Studienautoren an eine Behörde.
Zu dieser Sensibilisierung bei Großbetrieben habe vermutlich das Netz- und Informationssystemsicherheitsgesetz (NISG) beigetragen, welches im Dezember 2018 vom Nationalrat beschlossen wurde, sowie entsprechende Regularien für die Finanzwirtschaft (So gab es u.a. recht deutliche Weckrufe der FMA).
Sichere Digitalisierung als Ziel
Für jedes zweite Unternehmen (53 Prozent) ist Security noch kein fixer Bestandteil beim Thema Digitalisierung. „Bei digitalen Initiativen muss Cybersicherheit immer von Beginn an eine Rolle spielen“, gibt KPMG Partner Gert Weidinger zu bedenken: „Cyber Security ist nicht weniger als die Basis für eine erfolgreiche Digitalisierung. Nur so können Unternehmen wachsen.“ Hier bestehe akuter Handlungsbedarf, damit österreichische Unternehmen nicht ins Hintertreffen geraten.
Die Lieferanten und Kunden als Schwachstelle
Ein Bruchteil der befragten Unternehmen (sieben Prozent) ist der Meinung, dass ihre Lieferanten ausreichende Sicherheitsmaßnahmen treffen. Gleichzeitig sieht es die Mehrheit der Unternehmen (82 Prozent) nicht als ihre Pflicht an, Kunden und Lieferanten regelmäßig über neue Gefahren zu informieren. Nur 28 Prozent der Unternehmen sind berechtigt, die Sicherheit der Lieferanten regelmäßig zu überprüfen.
„Bei den immer komplexeren Wertschöpfungsketten der Unternehmen zählt jedes Glied. Es reicht ein Angriff auf das schwächste, um das gesamte System aus dem Gleichgewicht zu bringen“, so Robert Lamprecht, KPMG Director im Bereich Cyber Security: „Die österreichischen Unternehmen gehen derzeit noch mit dem Risiko durch Zulieferunternehmen sehr wagemutig um.“
Cyberversicherungen wenig verbreitet
Schutz bieten unter anderem Cyberversicherungen: Der Trend dazu ist zwar weltweit spürbar, habe sich am heimischen Markt jedoch noch nicht durchgesetzt. Derzeit verfügen lediglich 19 Prozent der befragten Unternehmen über eine Cyberversicherung. Mehr als die Hälfte (53 Prozent) gab an, mit dem Angebot an Versicherungen nicht zufrieden zu sein.
Kommunikation schützt
„Die österreichischen Unternehmen sind 2019 schon viel besser gerüstet als noch vor vier Jahren. Das Bewusstsein der Unternehmen steigt und die CEOs befassen sich mit Cybersicherheit. Jetzt ist es an der Zeit, dass ein offener Austausch gepflegt wird“, sagt KPMG Partner Michael Schirmbrand. „Denn die Rahmenbedingungen werden durch die rasanten technologischen Entwicklungen immer schwieriger.“
Mit einem aktiveren Informationsfluss von Seiten der Unternehmen könnte ein klareres Lagebild in Sachen Cyberkriminalität für den Wirtschaftsstandort Österreich gezeichnet werden. „Nur wenn die Betroffenen über Angriffe sprechen, können Behörden ihre Unterstützung weiter optimieren – also redet miteinander“, fügt Lamprecht hinzu.
„Das NISG hat das Potenzial, diese Kommunikation zu fördern, indem nicht nur verpflichtende Meldungen, sondern auch freiwilliger Informationsaustausch und die Zusammenarbeit von Staat und Wirtschaft bei der Erstellung von Lagebildern gefördert werden“, ergänzt KSÖ Generalsekretär Alexander Janda.
Herausforderungen für Staat und Wirtschaft
Das Ergebnis der parallel durchgeführten Befragung des KSÖ zu den aktuellen Cyber Security-Risiken ergänze die Studie „Cyber Security in Österreich“ um eine strategische Betrachtung. An der Spitze stehen der Fachkräftemangel, die Abhängigkeit von ausländischen Sicherheitstechnologien und staatlich unterstützte Cyberangriffe. „Das sind nicht nur technische, sondern vor allem wirtschaftspolitische Aufgaben, die niemand alleine lösen kann“, warnt Janda.
