Cybersecurity: Widersprüche bei österreichischen Unternehmen

Bei 57 Prozent der Unternehmen kam es in den letzten 12 Monaten zu einer Cyberattacke, 51 Prozent wurden mehrmals attackiert. [...]

„Das Bewusstsein österreichischer Unternehmen für Cybersecurity steigt und es wurden bereits entsprechende Vorkehrungen getroffen. Doch es ist noch viel Luft nach oben – denn Unternehmen fühlen sich sicherer, als sie es tatsächlich sind“, sagt KPMG-Partner Andreas Tomek zu den diesjährigen Ergebnissen der Studie „Cybersecurity in Österreich“, die vom Wirtschaftsprüfungs- und Beratungsunternehmen KPMG in Kooperation mit dem Sicherheitsforum Digitale Wirtschaft des Kuratorium Sicheres Österreich (KSÖ) durchgeführt wurde. Die Fakten sowie Trends rund um das Thema Cybersicherheit gehen zurück auf die Rückmeldungen von 652 Vertretern österreichischer Unternehmen und wurden im Zeitraum Februar bis März 2020 erhoben.

Digitalisierung als Chance und Risiko für Unternehmen

57 Prozent der österreichischen Unternehmen waren in den letzten zwölf Monaten von Cyberattacken betroffen, jedes zweite davon gleich mehrmals. „Unternehmen nutzen die Chancen der Digitalisierung, sehen aber gleichzeitig die Herausforderungen, die dadurch entstehen“, erklärt KPMG-Director und Studienautor Robert Lamprecht. „Sie stehen vor der Herkulesaufgabe das Risiko der digitalen Transformation durch Cybersecurity einzudämmen, ohne dass die Chancen dabei verloren gehen.“

Dennoch ist das Vertrauen in die Digitalisierung hoch: Nur 20 Prozent würden sie zumindest teilweise rückgängig machen. Bei einem Viertel (26 Prozent) der Unternehmen beeinflussen Cyberattacken die Bereitschaft, in die Digitalisierung zu investieren. „Digitalisierung fordert in allen Bereichen neues Denken, Handeln und neue Strategien und Cybersecurity muss daher von Anfang an in alle Prozesse eingebunden werden. Je digitalisierter ein Unternehmen ist, desto größer sind die Angriffsflächen der Cyberkriminellen“, erklärt KPMG-Partner Gert Weidinger.

Wenig Investitionen in Schutzmechanismen

Nur acht Prozent der Unternehmen vertrauen in die Sicherheitsmaßnahmen ihrer Lieferanten und Cloud-Dienstleister. Gleichzeitig investieren aber nur 19 Prozent der Umfrageteilnehmer in die Risikobereiche, die durch Drittparteien, wie etwa Lieferanten oder (Cloud-) Dienstleister entstehen. „In den meisten Fällen liegt es daran, dass Unternehmen mit der Auslagerung ihrer Dienstleistungen auch die Verantwortung über Cybersicherheit an ihre externen Partner übergeben. Hier gilt es, nicht nachlässig zu sein und sich als Organisation sowie die Mitarbeiter in die Verantwortung zu nehmen“, betont KPMG-Partner Michael Schirmbrand.

Hinsichtlich Cyberversicherungen sind österreichische Unternehmen noch zurückhaltend: Nur ein Viertel (25 Prozent) besitzt eine Versicherung gegen Cyberangriffe. „Hier gibt es aktuell noch unterschiedliche Erwartungshaltungen. Viele Unternehmen geben an, zuerst in die Technologien zur Cyberabwehr zu investieren und denken erst im nächsten Schritt über eine Cyberversicherung nach. 41 Prozent bereiten sich nicht auf die finanziellen Auswirkungen und die zu erwartenden Aufwände (Kosten) eines Cyberangriffs vor“, schildert Robert Lamprecht.

Cyberkriminelle werden meist unterschätzt

Darüber hinaus bestätigen die Studienergebnisse, dass viele Unternehmen die Bedrohung durch Cyberkriminelle unterschätzen: Während die Verweildauer von Angreifern im Netzwerk heimischer Unternehmen zwischen 100 und 170 Tagen beträgt, glaubt ein Drittel (31 Prozent) der Befragten ein bis vier Wochen zu benötigen, um den Angreifer aus dem Unternehmen zu entfernen. Knapp ein Viertel (23 Prozent) ist überzeugt davon, dass es nur zwei bis sechs Tage dauern würde. 85 Prozent vertrauen ihren Sicherheitsmaßnahmen „eher“ (58 Prozent) oder „sehr“ (27 Prozent).

Daneben kann rund ein Fünftel (18 Prozent) keine Angabe darüber machen, ob es je von einem Cyberangriff betroffen war und 36 Prozent wissen nach einem Vorfall nicht, wie hoch der verursachte finanzielle Schaden ist.

Zusammenarbeit zwischen Staat und Wirtschaft erwünscht

Beim Thema Cybersicherheit erwarten sich 77 Prozent der österreichischen Unternehmen eine Unterstützung vom Staat. Darüber hinaus wünschen sich 82 Prozent eine staatliche Organisation, die sich ausschließlich mit Cybersecurity beschäftigt und rund zwei Drittel (64 Prozent) erwarten sich Information und Austausch von staatlichen Stellen. Eine Kooperation dieser Art hat das KSÖ mit dem Sicherheitsforum Digitale Wirtschaft gestartet, bei welcher Wirtschaft, Forschung und Behörden gemeinsam ihren Beitrag zur Digitalisierung leisten.

Neue Herausforderungen für Cyber Security durch COVID-19

Die Erhebung der Studie erfolgte vor der Corona-Krise im März. Der Einfluss von COVID-19 auf das Thema Cyber Security ist bereits gegeben: „In vielen Unternehmen ist es zu einer Transformation gekommen, die unter normalen Verhältnissen eine intensive Vorbereitung erfordert hätte. Dieser schnelle Veränderungsprozess hat einerseits neue Chancen geschaffen, andererseits aber auch Schattenseiten aufgezeigt. Interne Kontrollsysteme wurden aus Zeitgründen vernachlässigt und Cyberattacken haben im Homeoffice zugenommen“, sagt KPMG-Partner Andreas Tomek zu den aktuellen Entwicklungen. Mit der richtigen Strategie können Österreichs Unternehmen diese Krise nutzen, um Schwachstellen innerhalb des Unternehmens zu erkennen und resilienter gegenüber fortgeschrittenen und zielgerichteten Angriffen zu werden.

Auch das KSÖ zeigt sich zuversichtlich hinsichtlich der Entwicklung von Cybersecurity: „Diese Krise hat einmal mehr gezeigt, wie wichtig digitale Sicherheit sein sollte und welche Folgen durch Cyberangriffe zu Stande kommen können. Nun liegt es an den Unternehmen, ihre Erfahrungen in Aktionen umzuwandeln“, sagt Alexander Janda, Generalsekretär des KSÖ.