Datendiebstahl. In fast jedem vierten österreichischen Unternehmen (23%) gab es in den vergangenen fünf Jahren konkrete Hinweise auf Cyberangriffe. Aber 71 Prozent der Manager sehen „wenig“ bis „gar kein Risiko“ für ihr Unternehmen, so EY.
Drei Viertel der Führungskräfte (76%) in Österreich rechnen in Zukunft mit einer allgemein steigenden Gefahr durch Cyberangriffe und Datendiebstahl, doch nur 29 Prozent der Befragten bewerten das Risiko, selbst Opfer eines Angriffs zu werden, als „hoch“, so das Ergebnis einer aktuellen Studie des Beratungsunternehmens EY.
Insgesamt jedes vierte heimische Unternehmen (23%) berichtet demnach von konkreten Hinweisen auf Cyberattacken:
- Bei 16 Prozent der Unternehmen einmalig,
- bei sieben Prozent mehrfach.
Die Angriffsszenarien werden technisch immer raffinierter: „Auch Spionage, Sabotage und Erpressung gehören bei Cyberattacken längst zum – leider oft sehr lukrativen – Geschäftsmodell. Laut dem Cybercrime Report des Innenministeriums ist im Jahr 2021 die Zahl der gemeldeten Cybercrime-Delikte erneut gestiegen – plus 28,6 Prozent“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.
Weniger als ein Drittel ist besorgt
Auch wenn das Gefahrenbewusstsein und die weitreichenden Konsequenzen eines Cyberangriffes mittlerweile in den Köpfen der Führungskräfte angekommen sind, schätzen noch immer knapp drei Viertel das Risiko, dass ihr Unternehmen selbst Opfer von Cyberkriminellen wird, als „eher niedrig“ bzw. „sehr niedrig“ ein (71%). Nur 29 Prozent der Befragten sehen ein „großes“ bzw. „sehr großes Risiko“ für ihr eigenes Unternehmen.
Je größer das Unternehmen, desto größer sei dabei die Risikowahrnehmung: Etwa jedes siebte größere Unternehmen (14%) mit mehr als 100 Beschäftigten schätzt das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als „sehr hoch“ ein. Wie schon im Vorjahr zeigen sich auch im Branchenvergleich Banken wieder besonders gefahrenbewusst (10% „sehr hohes“ Risiko, 30% „hohes“ Risiko), gefolgt von der Energiebranche (27% „sehr hohes“ Risiko, 8% „hohes“ Risiko).
„Viele Manager erwarten, dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen. Dabei unterschätzen sie die Kreativität und Professionalität der Angreifer, denn die Arten der Angriffe werden immer unauffälliger. Angesichts der komplexen digitalen Umgebungen – sei es durch Ausweitung von Homeoffice, Mobile Devices oder Cloud Computing – werden auch die Angriffsflächen immer größer und die Sicherung der eigenen Systeme immer schwieriger. Dadurch können Hacker unbemerkt in die unternehmenseigene Infrastruktur eindringen und großen Schaden anrichten“, so Tonweber.
Jeder Achte bereits mit Erpressung konfrontiert
In fast jedem vierten österreichischen Unternehmen (23%) gab es in den vergangenen fünf Jahren konkrete Hinweise auf Cyberangriffe bzw. Datendiebstahl. Knapp ein Drittel der Angriffe wurde vom internen Kontrollsystem entdeckt (30%), jeder Fünfte (19%) gab an, dass ein Angriff nur durch Zufall aufgedeckt wurde. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte laut Tonweber deutlich höher sein. Besonders der Vertrieb (45%) und das Finanzwesen (31%) seien beliebte Angriffsziele von Cyberkriminellen.
Eine besondere Form des Cyberangriffs ist der Einsatz von Ransomware oder Erpressungssoftware – acht Prozent der Befragten waren bereits mit einem derartigen Angriff konfrontiert. Durch die Schadsoftware erhalten Eindringlinge Zugriff auf Daten und Computersysteme, die von den Angreifern verschlüsselt werden. Für die Entschlüsselung fordern die Erpresser Lösegeld, das jedoch von drei Viertel der österreichischen Unternehmen (75%) laut Studie nicht bezahlt wurde.
Auch in diesem Jahr sind die mit Abstand meisten Attacken Hackerangriffe auf unternehmenseigene IT-Systeme (40%), gefolgt von Stören bzw. Lahmlegen der IT-Systeme (7%) und Manipulation von Finanzdaten (6%). Während im Vorjahr noch Datendiebstahl durch eigene Mitarbeiter mit 21 Prozent zu den häufigsten Angriffen zählte, berichteten 2022 nur mehr verschwindend geringe zwei Prozent von dieser konkreten Handlung.
Rund die Hälfte verfügt über Krisenplan
57 Prozent der Führungskräfte geben an, dass sie einen Krisenplan zur Reaktion auf Cyberangriffe in ihrem Unternehmen haben. Knapp zwei Drittel (63%) üben die Abläufe jährlich oder mehr als einmal im Jahr. Jedes dritte Unternehmen (33%) hat nach eigener Aussage keinen Krisenplan, zehn Prozent sind gerade in der Ausarbeitung. 64 Prozent der Unternehmen, die Opfer eines Angriffes wurden, gaben an, dass der Neuaufbau und die Wiederherstellung des Betriebs innerhalb weniger Tage erfolgten.
Knapp die Hälfte der österreichischen Unternehmen (45%) lässt ihre IT-Systeme jährlich oder halbjährlich von externen Stellen auf Schwachstellen in Hinblick auf Datendiebstahl prüfen. Um im Falle, dass es trotz aller getroffenen Sicherheitsmaßnahmen zu einem Cyberangriff kommt, vor schwerwiegenden Folgen geschützt zu sein, hat knapp die Hälfte der Unternehmen (47%) derzeit eine Versicherung gegen Cyberrisiken. 2021 lag diese Kennzahl mit 54 Prozent allerdings etwas höher. Besonders hoch ist der Anteil der Unternehmen mit Versicherungsschutz bei den Banken (65%) sowie im Handel und in der Industrie (beide 47%).
