Security
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

EY-Studie "Datendiebstahl in Österreich"

Österreichs Firmen zu sorglos

Fast jedes zweite österreichische Unternehmen war in den letzten fünf Jahren Opfer von Spionage oder Datendiebstahl, jedes sechste wurde bereits Opfer von Erpressungsversuchen. Aber nur knapp die Hälfte der Unternehmen hält einen Cyberangriff für wahrscheinlich.

Auch heimische Betriebe geraten zunehmend ins Visier von Cyberkriminellen: In Österreich gab es alleine 2016 über 13.000 Anzeigen wegen Cyberkriminalität. Fast jedes zweite Unternehmen (44 Prozent) in Österreich ist in den vergangenen Jahren Opfer von Spionage oder Datendiebstahl geworden, knapp ein Drittel (30 Prozent) sogar mehrfach. Die mit Abstand meisten Attacken gab es in den vergangenen fünf Jahren im Personalbereich (41 Prozent), gefolgt von Vertrieb (27 Prozent) und Finanzwesen (16 Prozent).

Das sind Ergebnisse einer Studie der Prüfungs- und Beratungsorganisation EY, für die Geschäftsführer sowie Führungskräfte aus IT-Sicherheit und Datenschutz von hundert österreichischen Unternehmen befragt wurden.

Das wichtigste Motiv war dabei Geld: Gut drei von vier identifizierten Angriffen (77 Prozent) zielten auf finanzielle Vorteile ab. Jedes sechste Unternehmen in Österreich (17 Prozent) war bereits mit Erpressungsversuchen von Angreifern konfrontiert. Rund ein Drittel (36 Prozent) davon verweigerte die Zahlung, zwei Prozent zahlten. 62 Prozent gaben keine Auskunft darüber, ob Geld in Richtung der Erpresser geflossen ist.

Den durch Cyberangriffe und Datendiebstahl entstandenen Schaden schätzen 51 Prozent der Unternehmen auf bis zu 50.000 Euro, bei sechs Prozent ging dieser sogar bis zu 500.000 Euro. Bei einem Fünftel (20 Prozent) konnte die Schadenshöhe nicht festgestellt werden.

Unternehmen unterschätzen Gefahr

Besonders groß ist die Gefahr für Industriebetriebe und Großunternehmen mit mehr als einer Milliarde Euro Umsatz: Dort haben 69 Prozent bzw. 50 Prozent bereits konkrete Attacken festgestellt. Umso verwunderlicher: Immer noch sieht fast die Hälfte (47 Prozent) der Unternehmen hierzulande nur ein geringes Risiko, Opfer eines Cyberangriffs zu werden. 

"Österreichs Unternehmen sind im Visier von Cyberkriminellen, jedes zweite ist in den letzten Jahren Opfer eines Angriffes geworden – die Dunkelziffer ist bei diesem sensiblen Thema allerdings noch deutlich höher. Umso mehr überrascht die Sorglosigkeit bei vielen Unternehmen. Knapp jedes zweite Unternehmen glaubt nicht daran, Opfer eines Angriffs zu werden. Dabei zeigen die regelmäßigen neuen Enthüllungen, dass jeder Ziel solcher Attacken werden kann und dass die gängigen Schutzmechanismen umgangen werden können", so Gottfried Tonweber, Senior Manager IT Advisory und Leiter Cyber Services bei EY Österreich. 

Für die Zukunft erwarten nahezu alle Manager (99 Prozent), dass die Bedeutung des Problems zunehmen wird. 56 Prozent gehen sogar von einer stark wachsenden Bedrohung aus dem Netz aus. 

Drazen Lukac, Associate Partner und Geschäftsführer IT Advisory bei EY Österreich, ergänzt: "Jeder Warnschuss ist einer zu viel. Unternehmen müssen sich in Klaren sein, dass sie jederzeit attackiert werden können und die Schäden durch Angriffe existenzbedrohlich sein können. Die in neun Monaten in Kraft tretende Datenschutz-Grundverordnung erhöht das finanzielle Risiko weiter. Bei Verfehlungen im Datenschutz kann die Behörde drastische Bußgelder verhängen, die in Millionenhöhe gehen können. Unternehmen müssen technisch aufrüsten und vor allem die eigenen Mitarbeiter schulen und sensibilisieren, um gegen Cyberangriffe und Datendiebstahl bestehen zu können".

Hohe Dunkelziffer

Die Dunkelziffer von Cyberattacken dürfte aber deutlich höher sein – gerade bei den kleineren Unternehmen, die oft nicht die entsprechenden Mittel oder das Know-how haben, um diese zu entdecken. So sind 73 Prozent der entdeckten kriminellen Handlungen durch ein internes Kontrollsystem aufgeflogen. Bei 23 Prozent der Fälle wurden die Angriffe durch Hinweise Unternehmensinterner aufgedeckt, bei 20 Prozent waren es interne Routineprüfungen und bei sieben Prozent regierte der Zufall. Dort, wo das Kontrollsystem nicht ausreichte oder der Zufall nicht mithalf, sind also viele Angriffe unentdeckt geblieben.

"Gerade große und namhafte Unternehmen sind massiv gefährdet – es dürfte kaum einen österreichischen Top-Konzern geben, der nicht schon Opfer einer Cyberattacke wurde", so Benjamin Weissmann, Leiter Cyber-Forensik bei EY Österreich. "Viele Unternehmen bemerken es nur nicht, weil die Sicherheitssysteme den Angriff nicht entdecken. Oft fällt der Schaden erst dann auf, wenn es schon zu spät ist – wenn sensible Daten also an anderer beziehungsweise falscher Stelle wieder auftauchen. In einer immer enger vernetzten Welt ist völlige Sicherheit ohnehin nicht mehr zu gewährleisten. Umso wichtiger ist es, Datendieben den Zugriff auf wichtige Informationen so schwer wie möglich und damit unattraktiv zu machen."

Drahtzieher bleiben oft unbemerkt

Mehr als jedes dritte befragte Unternehmen (38 Prozent) geht davon aus, dass es Regionen gibt, von denen ein besonders hohes Gefährdungspotenzial ausgeht. Als Länder bzw. Regionen mit besonders hohem Gefährdungspotenzial schätzen Österreichs Unternehmen vor allem China und Russland sowie Asien und Osteuropa ein. Als Tätergruppen besonders gefürchtet sind organisierte Verbrecherbanden (47 Prozent), Hacktivisten wie "Anonymous" (38 Prozent) und ausländische Geheimdienste (24 Prozent). 

Benjamin Weissmann dazu: "Unsere Erfahrung zeigt, dass selbst große Unternehmen das tatsächliche Ausmaß der Bedrohung unterschätzen und identifizierte Angriffe oft zu schnell mit einschlägigen Akteuren attribuieren. Es kann zwar sein, dass ein großer Teil der Angriffe aus Ländern wie China oder Russland gestartet wird. Diese Gruppen sind aber oft nur ausführende Organe, die eigentlichen Auftraggeber bleiben im Dunkeln". 

Zu wenig Ressourcen für IT-Security

Im Kampf gegen Cyberattacken droht Österreich eine Zweiklassengesellschaft: Exakt die Hälfte der Unternehmen (50 Prozent) beklagt mangelnde personelle, technologische oder finanzielle Ressourcen, während sich die andere Hälfte gut gerüstet fühlt. Bei Großunternehmen verfügen sogar drei Viertel (75 Prozent) laut eigener Aussage über ausreichend Ressourcen.

Dennoch ist das Sicherheitsgefühl der heimischen Betriebe hoch: 79 Prozent der Manager halten die präventiven Maßnahmen gegen Datendiebstahl in ihrem Unternehmen für ausreichend. Die Sicherheitsvorkehrungen sind in der Regel aber eher konventionell: Zur Vorbeugung von Cyber-Angriffen bzw. Spionageakten setzen Unternehmen am häufigsten auf Firewalls (98 Prozent), Passwörter auf allen Geräten (94 Prozent) und Antivirensoftware (92 Prozent). 

"Passwörter und Antivirensoftware können von Hackern heute mitunter minutenschnell umgangen werden. Ein Sicherheitssystem, das lediglich auf diese herkömmlichen Schutzmaßnahmen setzt, öffnet Hackern bereitwillig die Tore. Wer sensible Firmen- oder Kundendaten auf seinen Servern hat, sollte unbedingt strengere Sicherheitsvorkehrungen einführen", warnt Tonweber. 

Umfassendere Schutzvorkehrungen sind in den Unternehmen hingegen Mangelware: Ein Intrusion-Detection- bzw. Prevention-System, das Hinweise auf die Aktivitäten von Eindringlingen geben kann, leisten sich nur 37 Prozent der Unternehmen. Drei von vier Unternehmen (75 Prozent) lassen besonders sensible Bereiche überwachen, auch ein gesonderter Serverbereich findet sich inzwischen bei der überwiegenden Mehrheit (71 Prozent). Zwei Drittel (68 Prozent) haben Zugangskontrollen zum Firmenareal, regelmäßige Untersuchungen auf Wanzen sind bei jedem siebten Unternehmen (14 Prozent) gängige Praxis.

Immerhin: Fast jedes zweite österreichische Unternehmen (49 Prozent) lässt sich regelmäßig auf Schwachstellen im Hinblick auf Cyberangriffe testen. Drei von zehn Betrieben (29 Prozent) verzichten allerdings auf diese Überprüfungen. Jedes fünfte österreichische Unternehmen (20 Prozent) gibt an, eine Versicherung gegen digitale Risiken abgeschlossen zu haben. Besonders hoch ist der Anteil bei Großunternehmen (75 Prozent). Die Mehrheit der Unternehmen (58 Prozent) verfügt über keinen derartigen Versicherungsschutz.

Angriffe auf EDV-Systeme sind häufigste Art der Attacke

In fast drei Viertel der Fälle (61 Prozent) handelte es sich bei den Attacken um Hackerangriffe auf die EDV-Systeme, bei 36 Prozent wurden die Unternehmen Opfer der Methode des sogenannten ‚Social Engineering‘. Dabei versuchen die Täter, Mitarbeiter durch gezielte Beeinflussung und die Infiltration von Systemen zu täuschen. In diesem Zusammenhang wurden bei einem Fünftel (20 Prozent) Telefonate abgehört bzw. E-Mails abgefangen, bei elf Prozent wurden Finanzdaten manipuliert und bei fünf Prozent wurde ein "Fake President Fraud" durchgeführt – bei diesem Angriff geben sich Betrüger als hochrangige Mitarbeiter aus, um unternehmensinterne Systeme zu infiltrieren und hohe Zahlungen zu beauftragen. Deutlich seltener wurden Kunden- oder Arbeitnehmerdaten abgegriffen, geschäftskritisches Know-how gestohlen oder Datendiebstahl durch eigene Mitarbeiter begangen (jeweils 2 Prozent). 

In den meisten Fällen (45 Prozent) ließ sich der Täter nicht zuordnen und blieb unerkannt. In 34 Prozent der Fälle konnten sogenannte Hacktivisten – also Hackergruppen wie Anonymous – als Täter identifiziert werden, in 23 Prozent eine Gruppe des organisierten Verbrechens.

Hier finden Sie die Ergebnisse der Studie als PDF.

Mehr Artikel zum Thema: Security

"Die große Chance" für Security-Startups

Vom 9. bis 11. Oktober 2018 dreht sich in Nürnberg auf der...

Weiterlesen

Cyberforensiker wird EY-Partner

Benjamin Weißmann wurde in die Partnerschaft von EY...

Weiterlesen

WP: Schnell und sicher durch Automatisierung

Routineaufgaben kosten viel Zeit und machen keinen Spaß:...

Weiterlesen

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen

Wie funktionieren Endpoint-Attacken?

Ein besseres Verständnis über die verschiedenen Schritte...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Mit Neuronen auf Cybergangsterjagd

In der Cybersicherheits-Branche wird der Begriff "Machine...

Weiterlesen

WP: Schwachstellen automatisch erkennen & patchen

Spätestens seit WannaCry und NotPetya hat sich die...

Weiterlesen

Zu viele Angriffspunkte? Veraltete Systeme?

Umfassende Security ist eine große Herausforderung. Dennoch...

Weiterlesen

Sicherheitsrisiko Führungskraft

NTT Security, das "Security Center of Excellence" der NTT...

Weiterlesen