Vermehrte Arbeit im Homeoffice und die jüngste geopolitische Krise bergen neue Bedrohungen für die IT-Sicherheit in Unternehmen. Auf Unternehmensseite werden aber oft nur unzureichende IT-Sicherheitsmaßnahmen getroffen, geht aus einer repräsentativen Umfrage der Unternehmensberatung Deloitte Österreich und des Sozialforschungsinstituts SORA hervor. Nur 20 Prozent der befragten Unternehmen verfügten über einen Krisenplan für Cyber-Angriffe.
In den letzten Jahren habe Cyber-Kriminalität signifikant zugenommen, sagt Deloitte. Schätzungen von SORA zufolge gibt es jährlich 150.000 bis 200.000 Attacken allein bei Mittel- und Großunternehmen. Mittlerweile gehe es nicht mehr um die Frage, ob ein Unternehmen Ziel eines Cyberangriffs werde, sondern wann es passiert, so Deloitte-Expertin Timea Pahi. Die Hälfte der befragten Unternehmen war bereits Ransomware-Angriffen ausgesetzt. Unter Ransomware versteht man Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Cyber-Kriminelle würden dann hohe Summen für die Freigabe der verschlüsselten Daten fordern. Nur 5 Prozent der von Datenverschlüsselungen betroffenen Unternehmen gaben an, Lösegeldforderungen nachzukommen. Die Dunkelziffer sei jedoch deutlich höher, meinte Georg Schwondra, IT-Sicherheitsexperte bei Deloitte.
Die wirtschaftlichen Folgen durch Ransomware-Attacken seien nicht zu unterschätzen. Wenn es infolge eines Cyber-Angriffs zu einem einwöchigen Ausfall des Computersystems kommt, rechnen die befragten Unternehmen durchschnittlich mit einem finanziellen Schaden von 1,2 Mio. Euro. Die tatsächlichen Kosten für einen Stillstand des IT-Systems müssten jedoch merklich höher angesetzt werden. Neben den Umsatzausfällen müssten auch sämtliche Kosten für die Wiederherstellung und -beschaffung der verschlüsselten Daten miteingerechnet werden, sagte Schwondra. Volkswirtschaftlich betrachtet, würden sich die jährlichen Schäden in Milliardenhöhe belaufen.
Zusätzlich zu den finanziellen Schäden stellten für jedes zehnte betroffene Unternehmen auch die Image-Folgen und der Verlust wichtiger Informationen als Konsequenz eines Cyber-Angriffs eine große Belastung dar. Die Angst vor einem Image-Schaden sei groß, daher würde sich kaum ein betroffenes Unternehmen an die zuständigen Behörden wenden. Gerade das sei jedoch wichtig, damit andere Unternehmen vor aktuell stattfindenden Angriffen gewarnt werden. Für Unternehmen sei daher eine offene Fehlerkultur und der gegenseitige Austausch ein wirksames Mittel gegen zukünftige Cyberangriffe.
Neben offener interner wie auch externer Kommunikation spielen für Pahi umfassende und regelmäßig getestete Vorbereitungsmaßnahmen eine entscheidende Rolle. „Ein gutes IT-Sicherheitskonzept sollte neben einem Krisen- und Notfallplan auch Werkzeuge wie Netzwerksegmentierung und Detektionsmaßnahmen für Cyber-Angriffe enthalten.“
Die Unternehmensberatung Deloitte und das Forschungsinstitut SORA erheben jährlich die IT-Sicherheitsmaßnahmen in heimischen Unternehmen. Für den “Cyber Security Report 2022” wurden IT-Verantwortliche und Führungspersonen in 450 Mittel- und Großunternehmen in Österreich befragt.
apa
