4-10-2016 Gedruckt am 27-05-2017 aus www.monitor.co.at/index.cfm/storyid/16978

Cisco-Studie über IT-Sicherheit

IT-Security in Österreich: Was ich nicht weiß, macht mich nicht heiß

"IT-Sicherheit ist in allen Köpfen, wird aber oft falsch interpretiert und nicht mit der gebührenden Aufmerksamkeit wahrgenommen", eröffnete heute Achim Kaspar, General Manager von Cisco Austria, die Präsentation der Ergebnisse einer Studie zur Lage der IT-Sicherheit in Österreich. Studien über den heimischen IT-Sektor sind selten, solche über den Zustand der IT-Security hierzulande noch seltener. Insgesamt wurden dafür im Juli 250 heimische Führungskräfte von kleinen, mittleren und großen Unternehmen – "über alle Branchen verteilt", wie Kaspar versicherte – befragt.

Achim Kaspar, General Manager von Cisco Austria (c) Cisco Austria - APA-Fotoservice - Tanzer

"Die Österreich-Umfrage unter Führungskräften von Unternehmen zeigt ganz deutlich eine Diskrepanz zwischen faktischen IT-Sicherheitsvorfällen in Österreichs Unternehmen und dem subjektiven Sicherheitsgefühl österreichischer Führungskräfte. Darüber hinaus ist IT-Sicherheit in Österreich noch immer nicht Chefsache. Diese Entwicklung ist Besorgnis erregend, denn IT-Sicherheit muss in Unternehmen eine wesentlich höhere Priorität einnehmen", so Kaspar.
 
Worauf er dabei Bezug nimmt: Die Umfrage zeigt, dass die Verantwortlichkeit für IT-Sicherheit bzw. Entscheidung für entsprechende Maßnahmen nur bei jedem zweiten Unternehmen (51 Prozent) bei der Geschäftsführung liegt. Zwar hinkt der Vergleich mit einer anderen, internationalen Studie von Cisco, dem "Annual Security Report 2016" von Februar, wegen dem unterschiedlichen Studiendesign, dennoch lässt sich ein grundlegender Unterschied erkennen. Während die anderen Ergebnisse großteils ähnlich sind, ist die Awareness für IT-Security-Themen in den Chefetagen andernorts höher. Kaspar: "Was vielen Geschäftsführern nicht klar ist, ist, dass sie im Schadensfall persönlich haften." 
 
Doch zurück zu den rot-weiß-roten Ergebnissen: Zwei Drittel der jüngst befragten Führungskräfte sind nicht über mögliche Cybersecurity-Angriffe gegen ihr Unternehmen besorgt, die Minderheit – etwa ein Drittel (33 Prozent) – sind zumindest etwas besorgt. Dabei gab nur jeder zweite Befragte an, dass er gut (37 Prozent) bzw. sehr gut (18 Prozent) über die IT-Sicherheit seines eigenen Unternehmens informiert ist. Aber: Fast drei Viertel (74 Prozent) hatten in den letzten zwölf bis 18 Monaten einen Sicherheitsvorfall. Davon hatten 29 Prozent einen dadurch bedingten Systemausfall, 21 Prozent sogar einen Datenverlust. 
 

"Dunkelziffer sehr, sehr hoch"

Alarmierend ist, dass nur acht Prozent einen Sicherheitsvorfall an die Behörden melden. "Da nur ein geringer Prozentsatz Sicherheitsvorfälle an eine öffentliche Behörde oder aber auch dem IT-Lieferanten oder Provider meldet, gehen wir davon aus, dass die Dunkelziffer von Cyberattacken sehr, sehr hoch ist", folgerte Kaspar. Seiner Meinung nach wäre es wichtig, diese Dunkelheit zu erhellen – etwa durch eine anonyme Möglichkeit, Vorfälle zu melden: "Nur dann können auch die Behörden entsprechende Ressourcen zur Verfügung stellen und die Verfolgung von Cyberkriminalität verbessern."
 
Von der in dem für den Herbst geplanten IT-Sicherheits-Gesetz geplanten Meldepflicht hält Kaspar demzufolge viel: "Ich bin für diese Meldepflicht, aber auch dafür, dass eine strikte Geheimhaltung seitens der Behörden eingehalten wird – damit diese Fälle nicht am nächsten Tag in den Medien zu lesen sind. Die öffentliche Hand muss sich ein Bild machen können." Auch in der digitalen Welt müssten Exekutive und Legislative zum Zug kommen, so Kaspar, denn: "Wenn ich mich in eine digitalisierte Gesellschaft begebe, muss auch dort die Strafverfolgung funktionieren." Cybercrime müsse auf globaler Basis betrachtet und verfolgt werden, erklärte der heimische Cisco-Chef.
 

Das schwächste Glied

Führungskräfte österreichischer Unternehmen wurden auch gefragt, ob sie sich vergewissern, wie ihre Lieferanten oder Partner gespeicherte Kundendaten schützen und welche IT-Sicherheitstechnologien sie einsetzen. Laut den Zahlen erheben etwa zwei Drittel (68 Prozent) den Stand der IT-Sicherheit ihres Partners bzw. Lieferanten nicht.
 
"Hier muss noch Bewusstsein dafür geschaffen werden, dass Partner oder Lieferanten, die nicht ausreichend geschützt sind, als Einfallstor für Cyberkriminelle genutzt werden und somit ein Sicherheitsproblem für Unternehmen darstellen können. Es ist daher zu empfehlen, bei einer geschäftlichen Zusammenarbeit auch diesen Aspekt vertraglich zu sichern", sagte Kaspar.
 
Doch auch umgekehrt wird nicht durchgängig geprüft. Bei 37 Prozent der befragten Unternehmen erfolgt durch ihre Auftraggeber und Partner ebenfalls keine Überprüfung der Sicherheitsstandards.
 

IT-Security ist wichtig – trotzdem gibt’s kein Geld

Die Bedeutung von IT-Sicherheit ist für heimische Geschäftsführer und Führungskräfte unbestritten: IT-Sicherheit ist für die Vertrauenswürdigkeit eines Unternehmens wichtig (73 Prozent) – für 35 Prozent sogar sehr wichtig – und fördert den Unternehmenserfolg (66 Prozent). Mehr als die Hälfte (60 Prozent) der Befragten ist allerdings der Meinung, dass IT-Sicherheit mit einem hohen Kostenaufwand verbunden ist. Budgetrestriktionen (32 Prozent), Probleme aufgrund der Kompatibilität mit vorhandener IT-Infrastruktur (30 Prozent) und unterschiedliche Prioritäten (28 Prozent) wurden auch als größte Hürden für ein umfassendes IT-Security-Update in Unternehmen genannt.
 
Die ebenfalls von einigen der Befragten getroffene Aussage, die IT-Sicherheit behindere die Produktivität eines Unternehmens, ließ Kaspar nicht gelten. "Das ist eine Fehleinschätzung! Wenn eine Ransomware Ihre Daten verschlüsselt, wird Ihre Produktivität auf Null gehen."
 
Apropos Ransomware: Es wurde natürlich auch erhoben, welcher Art die Sicherheitsvorfälle in den heimischen Unternehmen waren – abgefragt wurden dabei die letzten zwölf bis 18 Monate, Mehrfachnennungen waren möglich. Mit 47 Prozent auf Platz Nummer 1 landeten Spam-Mails, gefolgt vom klassischen "Computervirus" mit 20 und Trojanern mit 19 Prozent. Spyware und der "Computerwurm" liegen mit jeweils neun Prozent gleichauf, gefolgt von Denial-of-Service-Attacken und Ransomware mit jeweils 5 Prozent. 36 Prozent der Befragten gaben an, in diesem Zeitraum kein Sicherheitsproblem gehabt zu haben. Aber es gäbe durchaus Firmen, die gehackt wurden und es nicht wissen, so Kaspar, und weiter: "Ob ich gehackt wurde, oder ob dabei ein sichtbarer Schaden entstanden ist, das sind zwei Paar Schuhe."
 
Oder anders gesagt: Wer nach dem Credo "Was ich nicht weiß, macht mich nicht heiß" handelt, könnte früher oder später kräftig auf der Nase landen.