EY-Studie „Datendiebstahl in Österreich“

Gefahr von Datendiebstahl in österreichischen Unternehmen steigt laut EY-Studie weiter: Vier von zehn Verantwortlichen rechnen mit Verschärfung. [...]

Die EY-Experten zum Thema Cybersecurity: Thomas Breuss, Gottfried Tonweber, Benjamin Weissmann und Drazen Lukac. (c) EY
Die EY-Experten zum Thema Cybersecurity: Thomas Breuss, Gottfried Tonweber, Benjamin Weissmann und Drazen Lukac. (c) EY

Der Wert der Daten ist in den letzten Jahren aufgrund der immer rascher voranschreitenden digitalen Transformation erheblich gestiegen. Diesen Kursanstieg haben auch Cyberkriminelle erkannt. Für sie hat die Coronakrise neue „Geschäftsfelder“ eröffnet. Gerade durch die fast flächendeckende Umstellung auf Homeoffice und den kurzfristigen Digitalisierungsschub haben sich neue Einfallstore für Angriffe und Datendiebstahl geöffnet, wie auch einige öffentlich bekannt gewordene Fälle in den letzten Wochen unterstreichen. Dass unter dem großen Zeitdruck auch Kontrollprozesse vernachlässigt wurden, befeuert diese Entwicklung weiter und lässt die ohnehin schon große Bedrohung von Datendiebstahl durch Cyberkriminelle weiter steigen.



Bereits vor dem Ausbruch der Coronakrise hat die Anzahl an Angriffen auf Netzwerke und die Infrastruktur rasant zugenommen und in manchen heimischen Unternehmen Schäden in Millionenhöhe verursacht. Neben vielen Fällen, die nie entdeckt oder bekannt werden, häufen sich auch öffentlich kommunizierte Angriffe.



Das Thema Cybersicherheit und Cyberkriminalität ist in Unternehmen fast täglich präsent. 41 Prozent der heimischen Führungskräfte bewerten das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als eher oder sehr hoch. Je größer das Unternehmen, desto größer das Risiko: Etwa jedes fünfte größere Unternehmen (21 Prozent) mit mehr als 100 Mitarbeitern schätzt das Risiko, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, als sehr hoch ein – bei den mittleren und kleineren Unternehmen sind es 13 Prozent bzw. vier Prozent. Die mit Abstand meisten Attacken gab es bei Unternehmen im Bereich Handel und Konsumgüter sowie bei Versicherungsunternehmen (jeweils 40 Prozent).



Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY, für die Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von 200 österreichischen Unternehmen ab 20 Mitarbeitern befragt wurden.



Mehr als jede vierte Führungskraft sieht stark steigendes Risiko durch Datendiebstahl
Auch in der aktuellen Umfrage gehen immer noch 81 Prozent der Befragten davon aus, dass die Gefahr für Unternehmen, Opfer von Cyberangriffen bzw. Datendiebstahl zu werden, weiterhin zunehmen wird. 2017 waren die Zukunftsaussichten allerdings noch deutlich pessimistischer. Wie bereits in den Jahren zuvor zeigen sich die Unternehmen alarmiert. Besonders Versicherungsunternehmen, die bereits jetzt ein verhältnismäßig großes Risiko sehen, erwarten für die kommenden Jahre eine stark zunehmende Bedrohung.



„Österreichs Unternehmen sind im Visier von Cyberkriminellen und das Bewusstsein dafür ist in den letzten Jahren gestiegen. Trotz der Bedrohung fühlen sich die meisten Unternehmen zumindest eher gut vor Informationsabfluss geschützt. Gut die Hälfte der Befragten hat laut eigenen Angaben ihre Hausübungen gemacht und kann vollkommen ruhig schlafen. Die andere Hälfte sieht im eigenen Unternehmen noch Handlungsbedarf. Die richtige Vorbereitung ist essenziell und wurde gerade in der raschen Umstellung auf Homeoffice in der Coronakrise teilweise vernachlässigt. Wenn man auf einen Angriff wartet, ist es schon zu spät“, so Gottfried Tonweber, Leiter Cybersecurity und Data Privacy bei EY Österreich.

Heimische Manager fürchten am meisten die organisierte Kriminalität


Österreichische Unternehmen fürchten insbesondere, Opfer von organisierter Kriminalität zu werden. So bewertet jede dritte Führungskraft dieses Risiko als hoch oder sehr hoch. Auch das Risiko, von Hacktivisten oder ausländischen Geheimdiensten bzw. staatlichen ausländischen Stellen geschädigt zu werden, wird vergleichsweise als hoch eingeschätzt.



Drazen Lukac, Leiter Risk IT und Cybersecurity bei EY Österreich, ergänzt: „Als deutlich weniger gefährlich als vor zwei Jahren stufen die Befragten hingegen den durch eigene Mitarbeiter verschuldeten Datendiebstahl ein. Der Anteil ist von 17 Prozent auf sechs Prozent gesunken. Hier scheinen die Manager davon auszugehen, dass die Weiterbildungen und Schulungen von Mitarbeitern zu einem stärkeren Bewusstsein geführt haben. Die Fortbildung und Sensibilisierung von Mitarbeitern in Bezug auf Programme, Prozesse und Verhalten im Krisenfall ist wichtig und hilft enorm beim Schutz gegen Cyberkriminalität“.

Beliebtes Ziel: IT-Systeme lahmlegen und Lösegeldforderungen stellen


Wie bereits in den Jahren zuvor zielen die mit Abstand meisten Hackerangriffe auf die EDV-Systeme ab (65 Prozent). Hatte im Jahr 2017 noch jeder siebte Angriff das Ziel, IT-Systeme lahmzulegen (14 Prozent), so ist dies 2019 schon bei jedem dritten registrierten Angriff der Fall (31 Prozent). Dabei umfasst das vorsätzliche Stören oder Lahmlegen der Geschäftstätigkeiten oder der IT-Systeme auch die Verschlüsselung und den darauffolgenden Zugriffsverlust auf die eigenen Daten durch sogenannte Ransomware. Für die Entschlüsselung fordert der Angreifer Lösegeld. 17 Prozent der Befragten waren bereits mit einem derartigen Angriff konfrontiert, jeder 20. sogar mehrfach. Für die Angreifer war dies jedoch selten von Erfolg gekrönt: Nur drei Prozent der Unternehmen haben gezahlt, 97 Prozent haben dem Druck der Erpresser nicht nachgegeben.



Wird ein Cyberangriff bekannt, ist die IT-Abteilung in 63 Prozent der Fälle die erste Anlaufstelle. Immer häufiger ziehen Unternehmen zur Aufklärung von Angriffen externe Dienstleister hinzu. Hier gab es einen Anstieg von sieben Prozent auf 19 Prozent.

Schutz durch Versicherungen und Krisenpläne


Digitale Risiken sind für Unternehmen weiterhin nicht zu unterschätzen. Im Schadensfall können dabei Kosten in Millionenhöhe entstehen. Zum Schutz vor diesen schwerwiegenden Folgen schließen immer mehr Unternehmen Versicherungen gegen Cyberrisiken ab: 35 Prozent der befragten Unternehmen haben inzwischen nach eigenen Angaben eine solche Versicherung in Anspruch genommen.



57 Prozent verfügen bereits über Krisenpläne, die das Vorgehen im Falle eines entdeckten Datenklaus definieren. Rund ein Drittel der Unternehmen hat bisher noch keinen Plan für ein Notfallszenario vorbereitet. Sobald ein Angriff auf IT und Daten erkannt wird, sollte ein Unternehmen möglichst schnell handlungsfähig sein. Hierfür ist eine Übung der Abläufe eines Krisenplans essenziell. So werden bei nur etwas mehr als der Hälfte der Unternehmen (60 Prozent) die Abläufe der Krisenpläne einmal jährlich geübt. Ein Viertel gibt sogar an, noch keine Übungen durchgeführt zu haben.



„Das Thema Datenschutz bringt zusätzliche Brisanz, denn mit dem Verlust von Daten können durch die DSGVO auch Strafen, Schadenersatzansprüche und Reputationsverlust kommen. Um diese Risiken zu reduzieren haben schon viele Unternehmen ein Datenschutz-Management-System eingerichtet. Vor allem für Unternehmen, die umfangreiche Daten ihrer Endkunden erheben und verarbeiten, wie beispielsweise Banken, Versicherungen und Handelsunternehmen, ist es wichtig, dass der Datenschutz systematisch gemanagt wird“, so Thomas Breuss, Rechtsanwalt und Director bei EY Law.

Weiterhin hohe Dunkelziffer bei Datendiebstählen

Bei mehr als einem Viertel der Unternehmen hat es in den vergangenen fünf Jahren konkrete Hinweise auf Datendiebstahl gegeben. 19 Prozent der befragten Unternehmen gaben an, dass kriminelle Handlungen nur durch Zufall aufgedeckt worden seien. Die Dunkelziffer der tatsächlich erfolgten Fälle von Cyberangriffen bzw. Datenklau dürfte demnach deutlich höher sein. Konkrete Hinweise gab es zuletzt am häufigsten bei Unternehmen aus den Bereichen Versicherung bzw. Handel und Konsumgüter (jeweils 40Prozent).

„Gerade große und namhafte Unternehmen sind massiv gefährdet – es dürfte kaum einen österreichischen Top-Konzern geben, der nicht schon Opfer eines Angriffes zum Diebstahl von Daten wurde. In 42 Prozent der größeren Unternehmen mit mehr als 100 Mitarbeitern gab es zuletzt Hinweise auf Attacken.“, so Benjamin Weißmann, Leiter Cyberforensik bei EY Österreich. „Viele Unternehmen bemerken es nur nicht, weil die Sicherheitssysteme den Angriff nicht entdecken. Oft fällt der Schaden erst dann auf, wenn es schon zu spät ist – wenn sensible Daten also an anderer beziehungsweise falscher Stelle wiederauftauchen. Die Coronakrise hat uns verstärkt gezeigt, wie wichtig digitale Sicherheit sein sollte. Die Unternehmen sind mehr denn je mit diesem Thema konfrontiert und müssen den Fokus darauf legen.“


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*