Open menu
Business, Recht, Tools

Angst vor Cyberangriffen ist jetzt nur noch halb so groß, so EY

Gottfried Tonweber ©EY Österreich / Christina Häusler

Umfrage. In einer digitalisierten Welt sehen sich Unternehmen neuen Bedrohungen ausgesetzt. Doch die Angst vor Cyberangriffen ist in den letzten zwei Jahren massiv gesunken, so eine EY-Umfrage. Die Gefahr bleibe aber hoch.

In einer stark digitalisierten Welt sehen sich Unternehmen täglich neuen Bedrohungen ausgesetzt, die ihre sensiblen Daten und IT-Infrastrukturen gefährden. Nur gut ein Drittel der Entscheider:innen (35%) in Österreich schätzt jedoch das Risiko eines Cyberangriffs auf das eigene Unternehmen als sehr oder eher hoch ein. Im Jahr 2022 waren es noch 76 Prozent.

Aber: Je höher der Jahresumsatz der Unternehmen, desto höher wird die Gefahr eingeschätzt. Bei einem Umsatz von mehr als 50 Millionen Euro stuft beispielsweise fast die Hälfte der heimischen Betriebe die Gefahr, Opfer eines Cyberangriffs zu werden, als (sehr) hoch ein. Auch gibt es starke Branchenunterschiede: Versicherungen (25%) oder der öffentliche Sektor (17%) liegen bei ihrer Einschätzung eines sehr hohen Risikos als einzige Branchen über dem Durchschnittswert von gesamt elf Prozent.

Am höchsten werde das Risiko eingeschätzt, einem organisierten Verbrechen zum Opfer zu fallen: Knapp ein Viertel (23%) der Befragten bestätigt das, vor allem jene aus Unternehmen mit einem Jahresumsatz von über 50 Mio. Euro. Hacktivisten-Gruppen liegen mit 19 Prozent knapp dahinter in der Risikoeinschätzung. Das sind Ergebnisse einer Studie von Big Four-Multi EY Österreich. Dafür wurden laut den Angaben 201 Geschäftsführer:innen sowie Führungskräfte aus den Bereichen IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeiter:innen befragt.

„Es ist alarmierend, dass nur ein Drittel der österreichischen Unternehmensentscheider:innen das Risiko eines Cyberangriffs als hoch einschätzt, obwohl die Bedrohungen täglich zunehmen. Dass fast ein Viertel der heimischen Unternehmen bereits konkrete Hinweise auf Cyberattacken verzeichnet hat, unterstreicht die Notwendigkeit, Maßnahmen laufend auszubauen. Cybersicherheit sollte als integraler Bestandteil der Unternehmensstrategie betrachtet und nicht hintenangestellt werden“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.

Cyberattacken bleiben eine häufige Erscheinung

Insgesamt gut jedes fünfte heimische Unternehmen (22%) berichtet von konkreten Hinweisen auf Cyberattacken: Bei sieben Prozent der Unternehmen einmalig, bei 15 Prozent sogar mehrfach. Dabei können im Falle eines Angriffs nicht nur die Produktion gefährdet und IT-Systeme lahmgelegt werden, sondern auch sensible Daten und das Kundenvertrauen verloren gehen. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte aber deutlich höher sein, so EY.

Mit dem Umsatz steige die Wahrscheinlichkeit nochmal an: 35 Prozent der Unternehmen ab 51 Millionen Euro Umsatz haben sogar mehrfache Angriffe erlebt. In 60 Prozent aller Cyberangriffe waren die Angreifer:innen maximal einen Tag aktiv, die Wiederherstellung und der Neuaufbau konnte in zwei von drei Fällen (67%) innerhalb weniger Tage abgeschlossen werden. Mehr als acht von zehn Führungskräfte (84%) rechnen in Zukunft über alle Branchen hinweg weiters mit einer stark steigenden Gefahr durch Cyberangriffe und Datendiebstahl.

Viele Führungskräfte setzen daher bereits entsprechende Maßnahmen zur Sicherung ihrer Daten und Infrastruktur um: 91 Prozent nutzen Firewalls und Antivirus-Software, 87 Prozent Sicherheitsupdates und Patches. Mit Notfallplänen und Incident Response Teams sind dagegen nur 36 Prozent ausgestattet. 58 Prozent der Unternehmen bieten ihren Mitarbeiter:innen Schulungs- und Fortbildungsmaßnahmen an. Allerdings erhalten rund 40 Prozent der Mitarbeiter:innen keine Schulungen zu Cybersicherheit und Datensicherheit, was ein erhebliches Risiko für die Unternehmenssicherheit darstelle.

Erpressung als beliebter Modus Operandi

Von Erpressungsversuchen, bei denen Lösegeld gefordert wird, war bereits jedes fünfte Unternehmen betroffen, vier Prozent sogar mehrfach – laut eigenen Angaben hat jedoch keines der betroffenen Unternehmen gezahlt. Cyberangriffe kosten die Unternehmen dennoch Geld: In 22 Prozent der Fälle fiel ein Schaden von unter 25.000 Euro an, bei neun Prozent lag er teils deutlich über dieser Summe. Die Dunkelziffer bleibe unklar, da mehr als die Hälfte der Befragten (53%) keine Angaben zur Schadenhöhe machen wollte.

Vier von zehn Angriffe konnten über unternehmensinterne Kontrollsysteme aufgedeckt werden, 18 Prozent im Rahmen interner, routinemäßiger Überprüfungen. Elf Prozent geben aber auch an, dass dies nur zufällig passiert sei. Betrachtet man die betroffenen Abteilungen, richten sich die Angriffe und der Datendiebstall in erster Linie an Finanz- und Kreditabteilungen (31%), gefolgt vom Vertrieb (20%) und dem höheren Management (18%).

Mehr als drei Viertel verfügen über einen Krisenplan

Bei einem Angriff auf die IT-Systeme eines Unternehmens oder dem Verdacht auf Manipulation gilt es, schnell zu handeln. Insbesondere Verantwortliche für die Informationssicherheit sollten auf solche Fälle vorbereitet sein, um im Ernstfall richtig zu reagieren, so EY. So geben 81 Prozent der Führungskräfte an, dass sie Pläne für die Wiederherstellung der Infrastruktur nach einem Angriff haben. Für die rasche Reaktion auf Cyberangriffe in ihrem Unternehmen haben elf Prozent der Unternehmen nach eigener Aussage keinen Krisenplan, acht Prozent sind gerade in der Ausarbeitung.

Sicherheitssysteme, die künstliche Intelligenz (KI) berücksichtigen, könnten helfen, Hacker-Angriffe besser zu erkennen und Schäden zu vermeiden, heißt es. Dennoch setzen derzeit die wenigsten Unternehmen KI-Technologien im Bereich Cybersicherheit ein (12%). Unternehmen, die über mehr Mitarbeitende sowieso einen höheren Umsatz von mehr als 50 Millionen Euro verfügen, seien hier mit 35 Prozent allerdings Vorreiter.

Bedrohungen besser und schneller zu erkennen, wird von 43 Prozent der Befragten als Hauptziel des KI-Einsatzes genannt, gefolgt von einem effizienteren Sicherheitsmanagement (33%). Eines von fünf Unternehmen hat zwar vor, zukünftig GenAI-Tools einzusetzen, eine große Mehrheit von 57 Prozent wird auf Technologie für die Cyberabwehr aber weiterhin verzichten. Wenn, dann kommen vor allem Technologien zur Bedrohungsanalyse und -intelligenz zum Einsatz (36%), gefolgt von automatisierter Sicherheitsüberwachung und -management (32%).

Sensibilisierung als wichtigstes Werkzeug für IT-Security

Homeoffice könne für viele Unternehmen zum Risikofaktor werden: Remote-Verbindungen sind ein attraktives Einfallstor für Cyberkriminelle. Bei einem Viertel der Befragten (26%) ist Homeoffice gang und gäbe – je größer das Unternehmen, desto eher wird verstärkt die Möglichkeit geboten. Bei Betrieben mit über 100 Mitarbeitenden sind es 40 Prozent.

Zwar haben neun von zehn Unternehmen keine Veränderung von Cyberangriffen durch die Homeoffice-Möglichkeit festgestellt, nur vier Prozent konnten einen Zuwachs bemerken. Mehr als die Hälfte habe jedoch verstärkt interne Maßnahmen gesetzt, Mitarbeitende sensibilisiert (52%), vier von zehn setzen auf modernere Technik (42%) und verschärfen Sicherheitsmaßnahmen (42%).

Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich: „Der Mensch ist eine der größten Schwachstellen bei der IT-Sicherheit. Oftmals aus Unwissenheit. Schulungen und Trainings, um Awareness bei Mitarbeitenden zu schaffen und das nötige Know-how zu vermitteln, sollten daher hohe Priorität haben, um allfällige Angriffe abzuwehren.“

Weitere Meldungen:

  1. Autonomes Fahren richtig einführen: Handbuch für Gemeinden
  2. Harald Kapper geht in die 9. Amtszeit als Präsident der Internet-Provider
  3. IT-Berater emagine übernimmt Allgeier Experts mit Noerr
  4. Black Friday als teurer Spaß für den Handel: So soll KI die Erträge retten