Laut einer aktuellen Studie von EY hat die Coronakrise und der damit verbundende Digitalisierungsschub auch in Österreich zu einer deutlichen Steigerung in Sachen Datendiebstahl geführt. [...]
Der Wert der Daten ist in den letzten Jahren aufgrund der immer rascher voranschreitenden digitalen Transformation erheblich gestiegen. Diesen Kursanstieg haben auch Cyberkriminelle erkannt. Für sie hat die Coronakrise zudem neue illegale Geschäftsfelder eröffnet. Durch die fast flächendeckende Umstellung auf Home Office und den kurzfristigen Digitalisierungsschub haben sich neue Einfallstore für Angriffe und Datendiebstahl geöffnet, wie auch einige öffentlich bekannt gewordene Fälle in den letzten Wochen unterstreichen. Dass unter dem großen Zeitdruck auch Kontrollprozesse vernachlässigt wurden, befeuert diese Entwicklung weiter und lässt die ohnehin schon große Bedrohung von Datendiebstahl durch Cyberkriminelle weiter steigen.
Bereits vor dem Ausbruch der Coronakrise hat die Anzahl an Angriffen auf Netzwerke und die Infrastruktur rasant zugenommen und in manchen heimischen Unternehmen Schäden in Millionenhöhe verursacht. Neben vielen Fällen, die nie entdeckt oder bekannt werden, häufen sich auch öffentlich kommunizierte Angriffe.
Das Thema Cybersicherheit und Cyberkriminalität ist in Unternehmen fast täglich präsent. 41 Prozent der heimischen Führungskräfte bewerten das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als eher oder sehr hoch. Je größer das Unternehmen, desto größer das Risiko: Etwa jedes fünfte größere Unternehmen (21 Prozent) mit mehr als 100 Mitarbeitern schätzt das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als sehr hoch ein – bei den mittleren und kleineren Unternehmen sind es 13 Prozent bzw. vier Prozent. Die mit Abstand meisten Attacken gab es bei Unternehmen im Bereich Handel und Konsumgüter sowie bei Versicherungsunternehmen (jeweils 40 Prozent). Das sind Ergebnisse einer Studie von EY, für die Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 200 österreichischen Unternehmen ab 20 Mitarbeitern befragt wurden.
Risiko durch Datendiebstahl
Auch in der aktuellen Umfrage gehen immer noch 81 Prozent der Befragten davon aus, dass die Gefahr für Unternehmen, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, weiterhin zunehmen wird. 2017 waren die Zukunftsaussichten allerdings noch deutlich pessimistischer. Wie bereits in den Jahren zuvor zeigen sich die Unternehmen alarmiert. Besonders Versicherungsunternehmen, die bereits jetzt ein verhältnismäßig großes Risiko sehen, erwarten für die kommenden Jahre eine stark zunehmende Bedrohung. „Österreichs Unternehmen sind im Visier von Cyberkriminellen und das Bewusstsein dafür ist in den letzten Jahren gestiegen“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich. „Trotz der Bedrohung fühlen sich die meisten Unternehmen zumindest eher gut vor Informationsabfluss geschützt. Gut die Hälfte der Befragten hat laut eigenen Angaben ihre Hausübungen gemacht und kann vollkommen ruhig schlafen. Die andere Hälfte sieht im eigenen Unternehmen noch Handlungsbedarf. Die richtige Vorbereitung ist essenziell und wurde gerade bei der raschen Umstellung auf Home Office in der Coronakrise teilweise vernachlässigt. Wenn man auf einen Angriff wartet, ist es schon zu spät.“
Furcht vor organisierter Kriminalität
Heimische Unternehmen fürchten insbesondere, Opfer von organisierter Kriminalität zu werden. So bewertet jede dritte Führungskraft dieses Risiko als hoch oder sehr hoch. Auch das Risiko, von Hacktivisten oder ausländischen Geheimdiensten bzw. staatlichen ausländischen Stellen geschädigt zu werden, wird vergleichsweise als hoch eingeschätzt. Drazen Lukac, Leiter Risk IT und Cybersecurity bei EY Österreich, ergänzt: „Als deutlich weniger gefährlich als vor zwei Jahren stufen die Befragten hingegen den durch eigene Mitarbeiter verschuldeten Datendiebstahl ein. Der Anteil ist von 17 Prozent auf sechs Prozent gesunken. Hier scheinen die Manager davon auszugehen, dass die Weiterbildungen und Schulungen von Mitarbeitern zu einem stärkeren Bewusstsein geführt haben. Die Fortbildung und Sensibilisierung von Mitarbeitern in Bezug auf Programme, Prozesse und Verhalten im Krisenfall ist wichtig und hilft enorm beim Schutz gegen Cyberkriminalität.“
Beliebtes Ziel: Lösegeldforderungen
Wie bereits in den Jahren zuvor zielen die mit Abstand meisten Hackerangriffe auf die IT-Systeme ab (65 Prozent). Hatte im Jahr 2017 noch jeder siebte Angriff das Ziel, IT-Systeme lahmzulegen (14 Prozent), so ist dies 2019 schon bei jedem dritten registrierten Angriff der Fall (31 Prozent).
Laut EY-Studie waren 17 Prozent der Befragten bereits mit einem Ransonware-Angriff konfrontiert, jeder 20. sogar mehrfach. Für die Angreifer war dies jedoch selten von Erfolg gekrönt: Nur drei Prozent der Unternehmen haben gezahlt, 97 Prozent haben die Drohung ignoriert.
Wird ein Cyberangriff bekannt, ist die IT-Abteilung in 63 Prozent der Fälle die erste Anlaufstelle. Immer häufiger ziehen Unternehmen zur Aufklärung von Angriffen externe Dienstleister hinzu. Hier gab es einen Anstieg von sieben Prozent auf 19 Prozent.
Versicherungen und Krisenpläne
Digitale Risiken sind für Unternehmen weiterhin nicht zu unterschätzen. Im Schadensfall können dabei Kosten in Millionenhöhe entstehen. Zum Schutz vor diesen schwerwiegenden Folgen schließen immer mehr Unternehmen Versicherungen gegen Cyberrisiken ab: 35 Prozent der befragten Unternehmen haben inzwischen nach eigenen Angaben eine solche Versicherung in Anspruch genommen.
57 Prozent verfügen bereits über Krisenpläne, die das Vorgehen im Falle eines entdeckten Datenklaus definieren. Rund ein Drittel der Unternehmen hat bisher noch keinen Plan für ein Notfallszenario vorbereitet. Sobald ein Angriff auf IT und Daten erkannt wird, sollte ein Unternehmen möglichst schnell handlungsfähig sein. Hierfür ist eine Übung der Abläufe eines Krisenplans essenziell. So werden bei nur etwas mehr als der Hälfte der Unternehmen (60 Prozent) die Abläufe der Krisenpläne einmal jährlich geübt. Ein Viertel gibt sogar an, noch keine Übungen durchgeführt zu haben.
„Das Thema Datenschutz bringt zusätzliche Brisanz, denn mit dem Verlust von Daten können durch die DSGVO auch Strafen, Schadenersatzansprüche und Reputationsverlust kommen“, so Thomas Breuss, Rechtsanwalt und Director bei EY Law. „Um diese Risiken zu reduzieren haben schon viele Unternehmen ein Datenschutz-Management-System eingerichtet. Vor allem für Unternehmen, die umfangreiche Daten ihrer Endkunden erheben und verarbeiten, wie beispielsweise Banken, Versicherungen und Handelsunternehmen, ist es wichtig, dass der Datenschutz systematisch gemanagt wird.“
Hohe Dunkelziffer
Bei mehr als einem Viertel der Unternehmen hat es in den vergangenen fünf Jahren konkrete Hinweise auf Datendiebstahl gegeben. 19 Prozent der befragten Unternehmen gaben an, dass kriminelle Handlungen nur durch Zufall aufgedeckt worden seien. Die Dunkelziffer der tatsächlich erfolgten Fälle von Cyberangriffen bzw. Datenklau dürfte demnach deutlich höher sein. Konkrete Hinweise gab es zuletzt am häufigsten bei Unternehmen aus den Bereichen Versicherung bzw. Handel und Konsumgüter (jeweils 40 Prozent). „Gerade große und namhafte Unternehmen sind massiv gefährdet – es dürfte kaum einen österreichischen Top-Konzern geben, der nicht schon Opfer eines Angriffes zum Diebstahl von Daten wurde. In 42 Prozent der größeren Unternehmen mit mehr als 100 Mitarbeitern gab es zuletzt Hinweise auf Attacken“, so Benjamin Weißmann, Leiter Cyberforensik bei EY Österreich. „Viele Unternehmen bemerken es nur nicht, weil die Sicherheitssysteme den Angriff nicht entdecken. Oft fällt der Schaden erst dann auf, wenn es schon zu spät ist – wenn sensible Daten also an anderer beziehungsweise falscher Stelle wiederauftauchen.“
Be the first to comment