Laut einer Studie von EY Österreich geht die Angst vor Cyberangriffen in österreichischen Unternehmen stark zurück. Für Gottfried Tonweber, Leiter Cybersecurity und Data Privacy und Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich, sind diese Umfrageergebnisse "alarmierend". [...]
Unternehmen sehen sich täglich neuen Bedrohungen ausgesetzt, die ihre sensiblen Daten und IT-Infrastrukturen gefährden. Nur gut ein Drittel der Entscheider (35 %) in Österreich schätzt jedoch das Risiko eines Cyberangriffs auf das eigene Unternehmen als sehr oder eher hoch ein. Fast doppelt so viele (64 %) sehen (eher) keine Gefahr, Opfer eines Cyberangriffs zu werden. Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY Österreich für die 201 Geschäftsführer sowie Führungskräfte aus den Bereichen IT-Sicherheit und Datenschutz von österreichischen Unternehmen ab 20 Mitarbeitern befragt wurden. Insgesamt gut jedes fünfte heimische Unternehmen (22 %) berichtet demnach von konkreten Hinweisen auf Cyberattacken: Bei sieben Prozent der Unternehmen einmalig, bei 15 Prozent sogar mehrfach. Dabei können im Falle eines Angriffs nicht nur die Produktion gefährdet und IT-Systeme lahmgelegt werden, sondern auch sensible Daten und das Kundenvertrauen verloren gehen. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte aber deutlich höher sein.
„Es ist alarmierend, dass nur ein Drittel der österreichischen Unternehmensentscheider das Risiko eines Cyberangriffs als hoch einschätzt, obwohl die Bedrohungen täglich zunehmen. Dass fast ein Viertel der heimischen Unternehmen bereits konkrete Hinweise auf Cyberattacken verzeichnet hat, unterstreicht die Notwendigkeit, Maßnahmen laufend auszubauen. Cybersicherheit sollte als integraler Bestandteil der Unternehmensstrategie betrachtet und nicht hintenangestellt werden“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich. Die ITWELT.at hat Gottfried Tonweber und Bernhard Zacherl, Direktor und Experte für Cybersecurity bei EY Österreich, Fragen zu der Studie geschickt, die die Experten per E-Mail beantworteten.
Die Studie zeigt, dass die Angst vor Cyberangriffen in österreichischen Unternehmen im Vergleich zum Vorjahr zurückgegangen ist. Wie interpretieren Sie diesen Rückgang? Bedeutet das, dass Unternehmen sich sicherer fühlen oder eher, dass sie die Risiken unterschätzen?
Trotz steigender Gefahrenlage tritt auch bei dem Thema Cyberangriffen ein gewisser Gewöhnungseffekt ein. Dieser macht sich bei der Einschätzung entsprechend bemerkbar – wenn man das Augenmerk auf die Fakten legt sieht man, dass die Unternehmen nach wie vor einem sehr sehr großen Gefahrenpotential gegenüberstehen.
Fast ein Viertel der Unternehmen berichtet von konkreten Hinweisen auf Cyberangriffe. Welche spezifischen Schwachstellen machen Unternehmen besonders anfällig für Angriffe, und wie könnten sie besser adressiert werden?
Leider sehen wir noch immer die meisten Schwachstellen bei dem Basisschutz. Die Bestandteile vom Basisschutz sind: regelmäßiges Schulen von Mitarbeitern, eine ganzheitliches IT Inventory (CMDB), Regelmäßiges Updates von Anwendungen und ein gut gesteuerter Zugriffschutz. Darüber hinaus sollte man sich einem Cyber Monitoring (SIEM) und einem kontinuierlichem Verbesserungsprozess unterwerfen.
Welche Unternehmensbereiche waren am stärksten von Cyberangriffen betroffen, und welche Maßnahmen wurden ergriffen, um diese Bereiche zu schützen?
Generell muss man sagen, dass es eine starke Tendenz, neben den üblichen „Brennpunkten“ wie Unternehmenssteuerung und Finanzbereiche, der Angriffsfokus auf stark auf Produktionsumgebungen (OT) als auch auf geistiges Eigentum und Produktentwicklung liegt. Dementsprechend reagieren die Unternehmen und stärken OT-Security und erweitern Awarnessmaßnahmen in diesen Bereichen.
Gibt es Unterschiede in der Wahrnehmung von Cyberrisiken und der Umsetzung von Sicherheitsmaßnahmen zwischen kleinen und großen Unternehmen?
Nur bedingt – die Ausprägung der Lösung kann unterschiedlich sein. So sieht man bei kleineren Unternehmen mehr managed services und bei größeren oftmals “in-house” betriebene Lösungen. Der Hintergrund liegt daran, dass bei größeren Unternehmen der Betrieb eines eigenen SOC eher rentiert als bei kleineren.
Phishing-Angriffe sind laut der Studie die häufigste Bedrohung. Welche konkreten Maßnahmen können Unternehmen ergreifen, um ihre Mitarbeiter für diese Art von Angriffen zu sensibilisieren und zu schützen?
Schulungen und Awareness bildende Maßnahmen wird unserer Erfahrung nach am besten ankommen mit einer gewissen „Gameification“ verknüpft, um einen Nachhaltigen Effekt bei den Mitarbeitern zu erlangen.
Welche Rolle spielen Ransomware-Angriffe in Österreich und welche Folgen haben sie für betroffene Unternehmen?
Mittlerweile gehören diese Angriffe zum tagtäglichen Geschäft. Maßnahmen für Notfallvorsorge und Notfallbewältigung wurden etabliert. Krisenübungen werden durchgeführt.
81 % der Unternehmen verfügen über Pläne zur Wiederherstellung nach Cyberangriffen. Wie bewerten Sie die Qualität und Effektivität dieser Pläne, und wo sehen Sie Verbesserungsbedarf?
Diese Pläne werden selten aktualisiert. Wir empfehlen diese jährlich auf Effektivität hin zu überprüfen, beispielweise durch eine Krisensimulationen.
Ein Fünftel der Unternehmen plant den zukünftigen Einsatz von GenAI-Tools. Welche Herausforderungen und Chancen sehen Sie in der Einführung solcher Technologien?
KI können durch die Nutzung durch beispielsweise LLM Modellen einen signifikaten Mehrwert bieten bzw. Fachbereiche entlasten. Dennoch sollte deren Einsatz gut überlegt und sicher umgesetzt werden, um sicherzustellen, dass Abfragen nicht verfälscht oder unberechtigter Zugriff auf Informationen verhindert wird. Der AI Act bietet einen groben regulatorischen Rahmen für die Nutzung dieser Technologie.
Nur die Hälfte der Unternehmen kennt das eigene Cybersecurity-Budget, und 36 % investieren weniger als 25.000 Euro jährlich. Welche Empfehlungen haben Sie, um eine angemessene Budgetierung sicherzustellen?
Gerade KMUs haben es schwer, auf bestehende Bedrohungen angemessen zu reagieren. Investments sollten in Abwägung auf jeweilige Geschäftsmodelle getroffen werden. Die Budgetierung sollte vor allem im Zusammenhang mit der Risikoeinschätzung und der Bedrohungslage durchgeführt werden.
Die Studie zeigt, dass viele Unternehmen keine regelmäßigen Schulungen zum Thema Cybersicherheit anbieten. Welche Folgen hat das für die Unternehmenssicherheit?
Regelmäßige Schulungen sind ein wesentlicher Bestandteil bei der Cybersicherheit, da eines der effektivsten Einfallstore in das Unternehmen der Mitarbeiter ist.
Wie können Unternehmen sicherstellen, dass ihre Cybersicherheitsmaßnahmen auch in Zukunft effektiv bleiben, angesichts der ständig wachsenden Komplexität von Cyberbedrohungen?
Eine regelmäßige Überprüfung im Rahmen von Tests und Übungen – die auch auf Einzelmaßnahmen abzielen können – stellen sicher, dass die getroffenen Entscheidungen effektiv umgesetzt wurden. Zusätzlich sollte einmal jährlich eine größere Übung durchgeführt werden auch in Zusammenarbeit mit einem etwaigen Dienstleister.
Welche neuen Technologien und Trends werden die Cybersicherheitslandschaft in den nächsten Jahren prägen?
Die künstliche Intelligenz – im positiven wie im negativen Sinne. Angriffe werden dadurch vereinfacht und so sind komplexe Angriffe auch von Nicht-Experten durchführbar. Aber die Abwehr von hochkomplexen Cyberangriffen mit Hilfe von Massendatenanalysen wird durch den Einsatz von KI deutlich vereinfacht. Auch sollte im Fokus sein den unternehmensinternen Einsatz von KI sicher auszugestalten.
Be the first to comment