Security
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

EY-Studie "Datendiebstahl in Österreich"

Österreichs Firmen zu sorglos

Fast jedes zweite österreichische Unternehmen war in den letzten fünf Jahren Opfer von Spionage oder Datendiebstahl, jedes sechste wurde bereits Opfer von Erpressungsversuchen. Aber nur knapp die Hälfte der Unternehmen hält einen Cyberangriff für wahrscheinlich.

Auch heimische Betriebe geraten zunehmend ins Visier von Cyberkriminellen: In Österreich gab es alleine 2016 über 13.000 Anzeigen wegen Cyberkriminalität. Fast jedes zweite Unternehmen (44 Prozent) in Österreich ist in den vergangenen Jahren Opfer von Spionage oder Datendiebstahl geworden, knapp ein Drittel (30 Prozent) sogar mehrfach. Die mit Abstand meisten Attacken gab es in den vergangenen fünf Jahren im Personalbereich (41 Prozent), gefolgt von Vertrieb (27 Prozent) und Finanzwesen (16 Prozent).

Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY, für die Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von hundert österreichischen Unternehmen befragt wurden.

Das wichtigste Motiv war dabei Geld: Gut drei von vier identifizierten Angriffen (77 Prozent) zielten auf finanzielle Vorteile ab. Jedes sechste Unternehmen in Österreich (17 Prozent) war bereits mit Erpressungsversuchen von Angreifern konfrontiert. Rund ein Drittel (36 Prozent) davon verweigerte die Zahlung, zwei Prozent zahlten. 62 Prozent gaben keine Auskunft darüber, ob Geld in Richtung der Erpresser geflossen ist.

Den durch Cyberangriffe und Datendiebstahl entstandenen Schaden schätzen 51 Prozent der Unternehmen auf bis zu 50.000 Euro, bei sechs Prozent ging dieser sogar bis zu 500.000 Euro. Bei einem Fünftel (20 Prozent) konnte die Schadenshöhe nicht festgestellt werden.

Unternehmen unterschätzen Gefahr

Besonders groß ist die Gefahr für Industriebetriebe und Großunternehmen mit mehr als einer Milliarde Euro Umsatz: Dort haben 69 Prozent bzw. 50 Prozent bereits konkrete Attacken festgestellt. Umso verwunderlicher: Immer noch sieht fast die Hälfte (47 Prozent) der Unternehmen hierzulande nur ein geringes Risiko, Opfer eines Cyberangriffs zu werden. 

"Österreichs Unternehmen sind im Visier von Cyberkriminellen, jedes zweite ist in den letzten Jahren Opfer eines Angriffes geworden – die Dunkelziffer ist bei diesem sensiblen Thema allerdings noch deutlich höher. Umso mehr überrascht die Sorglosigkeit bei vielen Unternehmen. Knapp jedes zweite Unternehmen glaubt nicht daran, Opfer eines Angriffs zu werden. Dabei zeigen die regelmäßigen neuen Enthüllungen, dass jeder Ziel solcher Attacken werden kann und dass die gängigen Schutzmechanismen umgangen werden können", so Gottfried Tonweber, Senior Manager IT Advisory und Leiter Cyber Services bei EY Österreich. 

Für die Zukunft erwarten nahezu alle Manager (99 Prozent), dass die Bedeutung des Problems zunehmen wird. 56 Prozent gehen sogar von einer stark wachsenden Bedrohung aus dem Netz aus. 

Drazen Lukac, Associate Partner und Geschäftsführer IT Advisory bei EY Österreich, ergänzt: "Jeder Warnschuss ist einer zu viel. Unternehmen müssen sich in Klaren sein, dass sie jederzeit attackiert werden können und die Schäden durch Angriffe existenzbedrohlich sein können. Die in neun Monaten in Kraft tretende Datenschutz-Grundverordnung erhöht das finanzielle Risiko weiter. Bei Verfehlungen im Datenschutz kann die Behörde drastische Bußgelder verhängen, die in Millionenhöhe gehen können. Unternehmen müssen technisch aufrüsten und vor allem die eigenen Mitarbeiter schulen und sensibilisieren, um gegen Cyberangriffe und Datendiebstahl bestehen zu können".

Hohe Dunkelziffer

Die Dunkelziffer von Cyberattacken dürfte aber deutlich höher sein – gerade bei den kleineren Unternehmen, die oft nicht die entsprechenden Mittel oder das Know-how haben, um diese zu entdecken. So sind 73 Prozent der entdeckten kriminellen Handlungen durch ein internes Kontrollsystem aufgeflogen. Bei 23 Prozent der Fälle wurden die Angriffe durch Hinweise Unternehmensinterner aufgedeckt, bei 20 Prozent waren es interne Routineprüfungen und bei sieben Prozent regierte der Zufall. Dort, wo das Kontrollsystem nicht ausreichte oder der Zufall nicht mithalf, sind also viele Angriffe unentdeckt geblieben.

"Gerade große und namhafte Unternehmen sind massiv gefährdet – es dürfte kaum einen österreichischen Top-Konzern geben, der nicht schon Opfer einer Cyberattacke wurde", so Benjamin Weissmann, Leiter Cyber-Forensik bei EY Österreich. "Viele Unternehmen bemerken es nur nicht, weil die Sicherheitssysteme den Angriff nicht entdecken. Oft fällt der Schaden erst dann auf, wenn es schon zu spät ist – wenn sensible Daten also an anderer beziehungsweise falscher Stelle wieder auftauchen. In einer immer enger vernetzten Welt ist völlige Sicherheit ohnehin nicht mehr zu gewährleisten. Umso wichtiger ist es, Datendieben den Zugriff auf wichtige Informationen so schwer wie möglich und damit unattraktiv zu machen."

Drahtzieher bleiben oft unbemerkt

Mehr als jedes dritte befragte Unternehmen (38 Prozent) geht davon aus, dass es Regionen gibt, von denen ein besonders hohes Gefährdungspotenzial ausgeht. Als Länder bzw. Regionen mit besonders hohem Gefährdungspotenzial schätzen Österreichs Unternehmen vor allem China und Russland sowie Asien und Osteuropa ein. Als Tätergruppen besonders gefürchtet sind organisierte Verbrecherbanden (47 Prozent), Hacktivisten wie "Anonymous" (38 Prozent) und ausländische Geheimdienste (24 Prozent). 

Benjamin Weissmann dazu: "Unsere Erfahrung zeigt, dass selbst große Unternehmen das tatsächliche Ausmaß der Bedrohung unterschätzen und identifizierte Angriffe oft zu schnell mit einschlägigen Akteuren attribuieren. Es kann zwar sein, dass ein großer Teil der Angriffe aus Ländern wie China oder Russland gestartet wird. Diese Gruppen sind aber oft nur ausführende Organe, die eigentlichen Auftraggeber bleiben im Dunkeln". 

Zu wenig Ressourcen für IT-Security

Im Kampf gegen Cyberattacken droht Österreich eine Zweiklassengesellschaft: Exakt die Hälfte der Unternehmen (50 Prozent) beklagt mangelnde personelle, technologische oder finanzielle Ressourcen, während sich die andere Hälfte gut gerüstet fühlt. Bei Großunternehmen verfügen sogar drei Viertel (75 Prozent) laut eigener Aussage über ausreichend Ressourcen.

Dennoch ist das Sicherheitsgefühl der heimischen Betriebe hoch: 79 Prozent der Manager halten die präventiven Maßnahmen gegen Datendiebstahl in ihrem Unternehmen für ausreichend. Die Sicherheitsvorkehrungen sind in der Regel aber eher konventionell: Zur Vorbeugung von Cyber-Angriffen bzw. Spionageakten setzen Unternehmen am häufigsten auf Firewalls (98 Prozent), Passwörter auf allen Geräten (94 Prozent) und Antivirensoftware (92 Prozent). 

"Passwörter und Antivirensoftware können von Hackern heute mitunter minutenschnell umgangen werden. Ein Sicherheitssystem, das lediglich auf diese herkömmlichen Schutzmaßnahmen setzt, öffnet Hackern bereitwillig die Tore. Wer sensible Firmen- oder Kundendaten auf seinen Servern hat, sollte unbedingt strengere Sicherheitsvorkehrungen einführen", warnt Tonweber. 

Umfassendere Schutzvorkehrungen sind in den Unternehmen hingegen Mangelware: Ein Intrusion-Detection- bzw. Prevention-System, das Hinweise auf die Aktivitäten von Eindringlingen geben kann, leisten sich nur 37 Prozent der Unternehmen. Drei von vier Unternehmen (75 Prozent) lassen besonders sensible Bereiche überwachen, auch ein gesonderter Serverbereich findet sich inzwischen bei der überwiegenden Mehrheit (71 Prozent). Zwei Drittel (68 Prozent) haben Zugangskontrollen zum Firmenareal, regelmäßige Untersuchungen auf Wanzen sind bei jedem siebten Unternehmen (14 Prozent) gängige Praxis.

Immerhin: Fast jedes zweite österreichische Unternehmen (49 Prozent) lässt sich regelmäßig auf Schwachstellen im Hinblick auf Cyberangriffe testen. Drei von zehn Betrieben (29 Prozent) verzichten allerdings auf diese Überprüfungen. Jedes fünfte österreichische Unternehmen (20 Prozent) gibt an, eine Versicherung gegen digitale Risiken abgeschlossen zu haben. Besonders hoch ist der Anteil bei Großunternehmen (75 Prozent). Die Mehrheit der Unternehmen (58 Prozent) verfügt über keinen derartigen Versicherungsschutz.

Angriffe auf EDV-Systeme sind häufigste Art der Attacke

In fast drei Viertel der Fälle (61 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, bei 36 Prozent wurden die Unternehmen Opfer der Methode des sogenannten ‚Social Engineering‘. Dabei versuchen die Täter, Mitarbeiter durch gezielte Beeinflussung und die Infiltration von Systemen zu täuschen. In diesem Zusammenhang wurden bei einem Fünftel (20 Prozent) Telefonate abgehört bzw. E-Mails abgefangen, bei elf Prozent wurden Finanzdaten manipuliert und bei fünf Prozent wurde ein "Fake President Fraud" durchgeführt – bei diesem Angriff geben sich Betrüger als hochrangige Mitarbeiter aus, um unternehmensinterne Systeme zu infiltrieren und hohe Zahlungen zu beauftragen. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen, geschäftskritisches Know-how gestohlen oder Datendiebstahl durch eigene Mitarbeiter begangen (jeweils 2 Prozent). 

In den meisten Fällen (45 Prozent) ließ sich der Täter nicht zuordnen und blieb unerkannt. In 34 Prozent der Fälle konnten sogenannte Hacktivisten – also Hackergruppen wie Anonymous – als Täter identifiziert werden, in 23 Prozent eine Gruppe des organisierten Verbrechens.

Hier finden Sie die Ergebnisse der Studie als PDF.

Mehr Artikel zum Thema: Security

Doppelt gemoppelt schützt besser

Die neue Datenschutzgrundverordnung kennt kein Pardon: Neben...

Weiterlesen

Cyberangriffs-Simulation aus der Cloud

BreakingPoint Cloud ist eine SaaS-Lösung, mit der man seine...

Weiterlesen

Sicherheitsrisiko Fachkräftemangel

Die Bekämpfung von Wirtschaftskriminalität im digitalen...

Weiterlesen

Atos will Gemalto

Insgesamt würde sich der IT-Dienstleister den...

Weiterlesen

Sicherheit bleibt bei der Digitalen Transformation nahezu unberücksichtigt

Eine Vielzahl von Unternehmen beschäftigt sich momentan mit...

Weiterlesen

Paradigmenwechsel

Helmut Leopold beschäftigt sich am AIT Austrian Institute of...

Weiterlesen

Hacking-Angriffe auf Flugzeuge

Wie vor kurzem bekannt wurde, hat es ein Team von...

Weiterlesen

5 Mythen der Datenverschlüsselung

Unternehmen sehnen sich nach Lösungen interne Daten so...

Weiterlesen

Das Ziel ist, die User zu beschützen

Ist es für einen IT-Security-Anbieter ein Vor- oder ein...

Weiterlesen

Viren sind keine Magie

Juraj Malcho ist der Chief Technology Officer von ESET. Wir...

Weiterlesen

Security Basics: Aller Anfang ist leicht?!

IT-Sicherheit ist nichts, das man auf die leichte Schulter...

Weiterlesen

Sicherheit beginnt mit dem richtigen Passwort

Wie ein sicheres Passwort aussehen sollte, hat jeder schon...

Weiterlesen

Mitarbeiter sind Sicherheitsrisiko Nummer eins

Die größte Gefahr für die IT-Sicherheit eines Unternehmens...

Weiterlesen

Urbanski wechselt zu ESET

Der europäische IT-Security Hersteller ESET begrüßt einen...

Weiterlesen

Grois leitet Sophos-Niederlassung

Sophos hat Wolfgang Grois zum Country Manager für Österreich...

Weiterlesen

"Wir kommen ins Spiel, wenn die Security umgangen wurde"

Mit einem Rekordquartal im Rücken und einem neuen Release...

Weiterlesen

PrivacyWeek 2017 des C3W

Über hundert internationale ExpertInnen diskutieren und...

Weiterlesen

it-sa mit neuen Bestmarken

Die Nürnberger IT-Security-Messe it-sa hat sowohl bei...

Weiterlesen

Trends und Prognosen zur IT-Sicherheit

Für IT-Sicherheitsmaßnahmen geben Unternehmen heute mehr aus...

Weiterlesen

Bericht über Bankomaten-Hacker

Trend Micro und das European Cybercrime Centre (EC3) bei...

Weiterlesen