Die Gefahr der Cyberkriminalität werde von vielen Unternehmen unterschätzt, sagt Studienautor Robert Lamprecht vom Beratungsunternehmen KPMG, das im Februar und März dieses Jahres 652 mittlere und große Unternehmen befragt hat. Demnach sind 57 Prozent der österreichischen Unternehmen in den letzten zwölf Monaten Opfer von Cyberattacken geworden und jedes zweite von ihnen gleich mehrmals.
"Mit der Anzahl steigt auch die Professionalität und die Kreativität der Angreifer, um mit möglichst geringem Aufwand Schadsoftware zu installieren, um beispielsweise zu Kontodaten oder Passwörtern zu kommen", sagte Lamprecht. Zu den häufigsten Angriffsarten zählten das Phishing und der Einsatz von Schadsoftware, aber auch der "CEO Fraud" nehme zu, bei dem sich die Täter gegenüber Mitarbeitern eines Unternehmens als Geschäftsführer ausgeben und an Firmengeld zu kommen.
"Bewusstsein steigt, aber noch viel Luft nach oben"
"Das Bewusstsein österreichischer Unternehmen für Cyber Security steigt zwar", sagte KPMG-Partner Andreas Tomek am Dienstag in einem Online-Pressegespräch, "doch es gibt viel Luft nach oben, denn die Unternehmen fühlen sich sicherer, als sie es tatsächlich sind."
So betrage die Verweildauer von Angreifern im Netzwerk der Unternehmen zwischen 100 und 170 Tagen - dennoch glaube ein Drittel der in Kooperation mit dem Sicherheitsforum Digitale Wirtschaft und dem Kuratorium Sicheres Österreich befragten Unternehmen, nur eine bis vier Wochen zu benötigen, um den Angreifer aus dem Unternehmen zu entfernen. Knapp ein Viertel (23 Prozent) ist überzeugt davon, dass es nur zwei bis sechs Tage dauern würde. 85 Prozent vertrauen ihren Sicherheitsmaßnahmen - 27 Prozent "sehr", 58 Prozent "eher". Andererseits wünschen sich 82 Prozent der Unternehmen eine staatliche Organisation, die sich ausschließlich mit Cyber Security beschäftigt.
Nur jedes vierte Unternehmen versichert
Eine Versicherung gegen Cyberangriffe hat nur jedes vierte Unternehmen abgeschlossen. "Viele Unternehmen wollen zuerst in Technologien zur Cyberabwehr investieren und denken erst im nächsten Schritt über eine Versicherung nach", so Lamprecht. 36 Prozent wissen nach einem Vorfall nicht, wie hoch der verursachte finanzielle Schaden ist. Oft bewege sich der Schaden in der Größenordnung von 10.000 Euro, aber er könne auch einige Hunderttausend Euro oder mehr erreichen.
Festzustellen sei auch die Zunahme vermutlich staatlicher Akteure als Täter, diese würden von den Unternehmen aber meist nicht konkret genannt, weil das für österreichische Unternehmen, die in gewissen Nischen Weltmarktführer seien, heikel sei.
Die Befragung sei noch vor der Coronakrise im März durchgeführt worden, sagte Tomek, dennoch sei klar, dass sich die Krise bereits auf die Cybersicherheit auswirke. In vielen Unternehmen sei es zu einer Transformation gekommen, die unter normalen Verhältnissen eine intensive Vorbereitung erfordert hätte. "Interne Kontrollsysteme wurden aus Zeitgründen vernachlässigt und Cyberattacken haben im Home-Office zugenommen."