Unternehmen auf digitale Angriffe vorbereiten

Cyber-Security. Österreichs Unternehmen sind immer öfter mit Cyber-Attacken konfrontiert. Beim Thema Cyber-Sicherheit besteht allerdings, vor allem bei Klein- und Mittelbetrieben, noch Aufholbedarf. Anfallende Kosten, technische Aufwände, Prozessanpassungen und auch fehlende IT-Sicherheitsfachkräfte bremsen die nötigen Maßnahmen, um für einen möglichen Cyber-Angriff gerüstet zu sein

Die Digitalisierung bringt heimischen Unternehmen Effizienzvorteile und wirtschaftliche Chancen, aber sie macht sie auch verwundbarer. Das Thema Cyber-Security ist daher von immer größerer Bedeutung. Laut dem Allianz Risk Barometer ist Cyber-Sicherheit unangefochtener Top-Risiko 2024. Cyber-Vorfälle (36 %) sind mit deutlichem Abstand weltweit das Hauptrisiko für Unternehmen, wie Experten aus 17 Ländern – unter ihnen auch Österreich – angaben.

59 Prozent der Befragten nennen Datenpannen als die besorgniserregendste Bedrohung noch vor Angriffen auf kritische Infrastruktur oder Vermögenswerte. Ransomware-Attacken haben im vergangenen Jahr zugenommen und betrafen mehr als die Hälfte der Befragten. 2023 sind Schadenfälle gegenüber 2022 um mehr als 50 Prozent gestiegen.

Sowohl drohende finanzielle Verluste als auch nachhaltige Imageschäden veranlassen Unternehmen, sich dem Thema Cyber-Sicherheit mit der nötigen Dringlichkeit zu widmen. „Kriminelle suchen stets Mittel und Wege um neue Technologien, wie Generative AI, zur Automatisierung und Beschleunigung von Angriffen mit effektiverer Malware und Phishing einzusetzen. Die steigende Anzahl an Vorfällen aufgrund von schwacher Cyber-Sicherheit, hauptsächlich bei mobilen Endgeräten, wird in diesem Jahr erneut die Anzahl der Cyber-Vorfälle erhöhen. Fehlende Cyber-Fachkräfte und die zunehmende Abhängigkeit kleinerer Unternehmen von IT-Outsourcing befeuern diesen Trend zusätzlich“, erklärt Scott Sayce, Global Head of Cyber bei Allianz Commercial.

Aufholbedarf bei KMU

Die österreichischen Unternehmen sind beim Thema Cyber-Sicherheit/Datensicherheit sehr unterschiedlich aufgestellt. „Das Problem liegt im großen Aufholbedarf, den die heimischen Unternehmen im Bereich Cyber-Security haben, da jahrelang die Bedrohung nicht ernst genug genommen wurde, bzw. die Einstellung vorherrschte man sei nicht wirklich exponiert“, erklärt Robert Herscovici, CEO Trusted Cyber Security Solutions und weiter: „Eine kleine Gruppe wie Banken und einige börsennotierte Unternehmen investieren schon seit geraumer Zeit sehr viel in ihre Cyber-Sicherheit und haben daher auch ein entsprechendes Niveau erreicht. Leider ist aber der überwiegende Teil der Unternehmen nach wie vor sehr geringfügig bis gar nicht geschützt. Mittlerweile gibt es jedoch auch für KMU maßgeschneiderte automatisierte Lösungen die durchaus kostenmäßig überschaubar sind. Man kann auch schon mit kleineren Investments sehr viel erreichen, wie etwa mit einem automatisierten Awareness Training für die Mitarbeiter (Schulungsplattform) gegen Phishing Mails, kombiniert mit einer End Point Security Lösung bzw. SOC as a service. Die Ära der künstlichen Intelligenz, die ein Game Changer ist, wird die Attacken massiv steigern, sowie komplexer machen. Auch darauf müssen Unternehmen sich einstellen und vorbereiten.“

Es ist daher wichtig, gerade bei Klein- und Mittelbetrieben, weiterhin präventiv ein Bewusstsein zu schaffen, dass es sie auch jederzeit treffen kann.

Mitarbeiter schulen

Gründe für die Zunahme der Cyberattacken sind aber auch die ständig wachsende Anzahl der mobilen Endgeräte im privaten und geschäftlichen Umfeld und der damit in Verbindung stehende Anstieg an sensiblen Daten und versendeten eMails.

Laut einer Studie der Prüfungs- und Beratungsorganisation EY Österreich unter 1000 Mitarbeitern österreichischer Unternehmen (ab 20 Mitarbeitern) verwenden 55 Prozent der Arbeitnehmer die vom Arbeitgeber zur Verfügung gestellten Endgeräte manchmal auch für private/persönliche Zwecke. 24 Prozent lesen private eMails sogar täglich auf ihren Arbeitsgeräten. „Weltweit steigen die Fälle von Cybercrime, auch Österreich ist davon betroffen. Mitarbeitende sind leider oft das Einfallstor für Cyberattacken, da sie sich meist nicht darüber im Klaren sind, welche Folgen mit dem einen oder anderen Klick verbunden sein könnten. Hacker infiltrieren private Netzwerke und nutzen die Schwachstellen mobiler Arbeitskonzepte aus. Noch dazu sind Mitarbeitende auch teilweise privat am Firmengerät unterwegs oder nutzen den privaten Laptop gelegentlich auch beruflich. Die Awareness unternehmensintern zu schärfen ist daher zentral“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei Ernst & Young Österreich.

Mittlerweile gibt es so gut wie kein Unternehmen mehr, das nicht ins Visier von Hackern kommt, Cyberangriffe sind fast auf der Tagesordnung. „Umso wichtiger ist es, dass die Mitarbeiter vom Unternehmen laufend in der Prävention von und dem Umgang mit Cyberangriffen geschult werden. Bei mehr als der Hälfte der Arbeitnehmer gibt es aktuell keine entsprechenden Schulungen, was Cyberkriminellen Tür und Tor öffnen kann“, so Tonweber. In Trainings der Mitarbeiter zu investieren lohnt sich daher für Unternehmen. 40 Prozent der Befragten der Studie hatten innerhalb der letzten zwölf Monate eine Schulung am Arbeitsplatz. 14 Prozent innerhalb der letzten ein bis zwei Jahre. Die meisten (69 %) lassen diese von einer unternehmensinternen Person, deren Aufgabengebiet den Schutz von Unternehmensdaten umfasst, durchführen, 25 Prozent greifen jedoch auf externe Anbieter zurück.

Fehlende Fachkräfte

Unternehmen mussten sich in den letzten Monaten mit einer zunehmenden Professionalität der Angreifer auseinandersetzen. Daher spielt auch der Fachkräftemangel beim Thema Cyber-Sicherheit eine große Rolle. Laut Cyber Security Report 2023 von Deloitte und SORA kämpfen 38 Prozent der Unternehmen mit dem anhaltenden Fach- und Arbeitskräftemangel.

„Das Fehlen der Talente hat massive Auswirkungen auf die Cyber-Security der Unternehmen. Eine sichere IT-Landschaft kann nur durch ausreichende, qualifizierte Personalressourcen gewährleistet werden. Trotz zahlreicher Herausforderungen sollten die Betriebe die Entwicklung einer nachhaltigen Personalstrategie unbedingt priorisieren. Nur so sind sie auch für die Zukunft gerüstet“, erklärt Karin Mair, Managing Partnerin Risk Advisory und Financial Advisory bei Deloitte Österreich.

Helene Tuma