Mit dem steigenden Grad der Digitalisierung wächst auch die Gefahr, einer Cyber-Attacke zum Opfer zu fallen. Viele Unternehmen haben in den vergangenen Jahren kräftig investiert, um sich besser vor virtuellen Angriffen zu schützen. Allerdings ist die überwiegende Mehrheit selbst der Überzeugung, dass ihre Aktivitäten nicht ausreichen. Zu diesem Ergebnis kommt der 19. Global Information Security Survey der Prüfungs- und Beratungsorganisation EY. [...]
87 Prozent der befragten IT-Sicherheitsexperten geben demnach an, dass ihr System zur Abwehr von Cyber-Attacken nicht voll den Bedürfnissen ihrer Unternehmen entspricht. Eine große Mehrheit von 86 Prozent geht davon aus, dass das Budget für Cyber-Sicherheit um mehr als 50 Prozent erhöht werden müsste. Diese Investitionen wären dringend nötig: 57 Prozent der Unternehmen wurden in der jüngsten Zeit Opfer eines relevanten Cyber-Angriffs.
Großer Nachholbedarf bestehe vor allem in der Ausbildung von Mitarbeitern: „So wichtig Analysen und Software auch sind, in einer Krisensituation kommt es nach wie vor auf den Menschen an. Häufig sind Unternehmen auf den Ernstfall schlecht vorbereitet. Sie schulen ihre Mitarbeiter nicht ausreichend. Im Fall eines Cyber-Angriffes müssen Abläufe sitzen, sonst nutzt selbst die beste Software nichts. So wie Piloten im Simulator den Ernstfall üben, müssten auch Mitarbeiter im IT-Bereich denkbare Szenarien durchgehen. Das ist im Moment noch die Ausnahme“, so Gunther Reimoser, Partner bei EY Österreich. Wie wichtig die Schulung der Mitarbeiter ist, belegt auch ein weiteres Ergebnis: 73 Prozent der Unternehmen bereitet das unzureichende Bewusstsein und Verhalten der Mitarbeiter im Zuge der steigenden Verbreitung von mobilen Endgeräten große Sorgen.
Unternehmen kennen die Folgen von Cyber-Angriffen oft nicht
Ein System zur Abwehr von Cyber-Kriminalität solle umfassend aufgebaut sein, so EY-Partner Reimoser: „Es gibt drei zentrale Säulen beim Schutz vor Cyber-Attacken: Gefahren frühzeitig erkennen, mit entsprechenden Programmen vorsorgen und ein Krisenmanagement für Angriffe aufbauen.“ Das sei die Basis, damit ein Unternehmen im Falle eines Angriffs seine Geschäftstätigkeit weiter aufrechterhalten kann. Für 57 Prozent der Unternehmen ist das auch das wichtigste Ziel im Fall einer Attacke. Allerdings sind sich viele Unternehmen nicht im Klaren, welche Schäden Angriffe aus dem virtuellen Raum verursachen: Die überwiegende Mehrheit von 89 Prozent der befragten Unternehmen nimmt keine Bewertungen der finanziellen Folgen jedes relevanten Angriffs vor. Die Hälfte (49 Prozent) hat laut eigenen Angaben überhaupt keine Vorstellung über den finanziellen Schaden einer Cyber-Attacke.
Ein System zur Abwehr von Cyber-Kriminalität solle umfassend aufgebaut sein, so EY-Partner Reimoser: „Es gibt drei zentrale Säulen beim Schutz vor Cyber-Attacken: Gefahren frühzeitig erkennen, mit entsprechenden Programmen vorsorgen und ein Krisenmanagement für Angriffe aufbauen.“ Das sei die Basis, damit ein Unternehmen im Falle eines Angriffs seine Geschäftstätigkeit weiter aufrechterhalten kann. Für 57 Prozent der Unternehmen ist das auch das wichtigste Ziel im Fall einer Attacke. Allerdings sind sich viele Unternehmen nicht im Klaren, welche Schäden Angriffe aus dem virtuellen Raum verursachen: Die überwiegende Mehrheit von 89 Prozent der befragten Unternehmen nimmt keine Bewertungen der finanziellen Folgen jedes relevanten Angriffs vor. Die Hälfte (49 Prozent) hat laut eigenen Angaben überhaupt keine Vorstellung über den finanziellen Schaden einer Cyber-Attacke.
Mittelständische Betriebe besonders anfällig für Cyber-Angriffe
Ein umfassender Schutz der IT-Sicherheit beschränkt sich nicht auf Großkonzerne. Auch bei mittelständischen Unternehmen rückt die IT-Sicherheit immer stärker in den Fokus. Dazu Reimoser: „Aufgrund ihrer starken internationalen Ausrichtung und ihrem immer höheren Digitalisierungsgrad sind Mittelstandsunternehmen durch Lieferanten und Kunden weltweit vernetzt. Das macht sie besonders anfällig für Cyber-Angriffe. Für viele Unternehmen wird der Aufbau und Unterhalt eines komplett eigenen Sicherheitssystems mit zu hohen Kosten verbunden sein. Deswegen kann es für solche Unternehmen sinnvoll sein, spezialisierte Dienstleister zu beauftragen.“
Ein umfassender Schutz der IT-Sicherheit beschränkt sich nicht auf Großkonzerne. Auch bei mittelständischen Unternehmen rückt die IT-Sicherheit immer stärker in den Fokus. Dazu Reimoser: „Aufgrund ihrer starken internationalen Ausrichtung und ihrem immer höheren Digitalisierungsgrad sind Mittelstandsunternehmen durch Lieferanten und Kunden weltweit vernetzt. Das macht sie besonders anfällig für Cyber-Angriffe. Für viele Unternehmen wird der Aufbau und Unterhalt eines komplett eigenen Sicherheitssystems mit zu hohen Kosten verbunden sein. Deswegen kann es für solche Unternehmen sinnvoll sein, spezialisierte Dienstleister zu beauftragen.“
Unternehmen müssen Verlust von Daten ab 2018 melden
Auch aus einem ganz anderen Grund müssen die Unternehmen schneller, besser und effizienter auf Cyber-Angriffe reagieren und Reporting-Prozesse aufbauen: Nach der EU-Datenschutz-Grundverordnung müssen Unternehmen ab 2018 innerhalb von 72 Stunden melden, wenn personenbezogene Daten entwendet wurden. Bei Verstößen droht eine Strafe von bis zu vier Prozent des weltweiten Konzernumsatzes. „Die Verletzung der Berichtspflicht kann Unternehmen hart treffen. Auch deswegen sollten Unternehmen ihre Aktivitäten zur Cyber-Sicherheit in Zukunft noch viel stärker als bisher mit ihrer Geschäftsstrategie verknüpfen“, empfiehlt EY-Partner Reimoser. Der Schutz vor Cyber-Attacken sei keine Angelegenheit der IT-Abteilung, sondern eine zentrale Aufgabe, die auf höchster Unternehmensebene angesiedelt sein solle.
Auch aus einem ganz anderen Grund müssen die Unternehmen schneller, besser und effizienter auf Cyber-Angriffe reagieren und Reporting-Prozesse aufbauen: Nach der EU-Datenschutz-Grundverordnung müssen Unternehmen ab 2018 innerhalb von 72 Stunden melden, wenn personenbezogene Daten entwendet wurden. Bei Verstößen droht eine Strafe von bis zu vier Prozent des weltweiten Konzernumsatzes. „Die Verletzung der Berichtspflicht kann Unternehmen hart treffen. Auch deswegen sollten Unternehmen ihre Aktivitäten zur Cyber-Sicherheit in Zukunft noch viel stärker als bisher mit ihrer Geschäftsstrategie verknüpfen“, empfiehlt EY-Partner Reimoser. Der Schutz vor Cyber-Attacken sei keine Angelegenheit der IT-Abteilung, sondern eine zentrale Aufgabe, die auf höchster Unternehmensebene angesiedelt sein solle.
Be the first to comment