Kooperation als einzige Waffe

Kooperation als einzige Waffe

Für jedes zweite Unternehmen ist Cybersecurity noch kein fixer Bestandteil der Digitalisierung. 

Von Alexander Blach

Cybersecurity steht nach wie vor ganz oben auf der Tagesordnung. Die fortschreitende Digitalisierung und die zunehmende Vernetzung im Alltag stellen uns vor immer mehr Herausforderungen“, sagt KPMG Director Robert Lamprecht bei der Präsentation der bereits vierten Cybersecurity-Studie, die vom Prüfungs- und Beratungsunternehmen KPMG mit der Unterstützung des Kuratoriums Sicheres Österreich (KSÖ) durchgeführt wurde und anhand der Antworten von 342 Unternehmen aus 13 Branchen ein aktuelles Lagebild für Österreich zeichnet.

„Cyberattacken gehören mittlerweile zum täglichen Geschäft und zählen heutzutage zu den größten Risiken für Unternehmen. Sie finden an 365 Tagen im Jahr und 24 Stunden am Tag statt“, weiß Lamprecht. So erlitten 66 Prozent der Unternehmen in den letzten 12 Monaten einen Cyberangriff. Das sind um 5 Prozent mehr als im Vergleich zum Vorjahr.

Phishing und Malware sind und bleiben die häufigsten Angriffsarten. Knapp die Hälfte der befragten Unternehmen (jeweils 47 Prozent) kam mit diesen Attacken in Berührung. 2018 waren nur 24 Prozent der Unternehmen von Phishing und 22 Prozent von Malware betroffen. „Dieser Aufwärtstrend zeigt nicht nur, dass Cyberkriminalität immer noch am Vormarsch ist und bewährte Angriffsarten weiterhin wirksam sind. Wir sehen dadurch auch, dass Unternehmen immer öfter auch tatsächlich erkennen, dass sie angegriffen werden“, erklärt KPMG Partner Andreas Tomek. „Wichtig wäre aber, dass Cyberattacken von den Unternehmen so rasch wie möglich gemeldet werden.“

Diskussion bei der Präsentation der Cybersecurity Studie

Andreas Tomek, Peter Gerdenitsch, Martin Stierle (AIT), Alexander Janda, Vanessa Langhammer (Rail Cargo Group) und Peter Uher (A1) diskutierten am Podium. (c) KPMG/Anna Rauchenberger

Aktuell herrscht in Österreich aber noch große Verschwiegenheit: Nur 33 Prozent der Unternehmer berichten über die Vorfälle und kommunizieren diese Vorfälle an die öffentliche Verwaltung. Große Unternehmen sind laut Lamprecht hingegen etwas offener: Fast die Hälfte (46 Prozent) wandte sich an eine Behörde. Zu dieser Sensibilisierung bei Großbetrieben habe vermutlich das Netz- und Informationssystemsicherheitsgesetz (NIS) beigetragen, welches im Dezember 2018 vom Nationalrat beschlossen wurde, sowie entsprechende Regularien für die Finanzwirtschaft. Die Meldung eines solchen Vorfalles stellt vor allem das Vertrauen auf die Probe. Viele Unternehmen fürchten einen Image­schaden, sollte die Information darüber an die Öffentlichkeit geraten, so Lamprecht.

Weiters sieht der Experte noch massiven Nachholbedarf bei der Verankerung von Cybersecurity im Unternehmen, denn für 53 Prozent der Befragten ist Security noch kein fixer Bestandteil beim Thema Digitalisierung. „Bei digitalen Initiativen muss Cybersicherheit immer von Beginn an eine Rolle spielen“, empfiehlt Lamprecht. Auch die Verfügbarkeit von Cybersecurity-Teams in Unternehmen sei relativ überschaubar: Lediglich 42 Prozent geben an, dass sie ein dezidiertes Team dafür haben. Positiv sei aber, dass nur mehr 34 Prozent Cybersecurity als rein technische Angelegenheit sehen. „Das heißt, der Stellenwert dieses Themas ist der Unternehmensleitung bekannt und hat sich somit eine strategisch wichtige Bedeutung erarbeitet“, freut sich Lamprecht.

Stark unterschätzt werde allerdings das sogenannte „Third-Party-Risiko“. „Bei den immer komplexeren Wertschöpfungsketten der Unternehmen zählt jedes Glied. Es reicht ein Angriff auf das schwächste, um das gesamte System aus dem Gleichgewicht zu bringen“, erklärt Lamprecht. Nur 7 Prozent sind der Meinung, dass ihre Lieferanten ausreichende Sicherheitsvorkehrungen treffen. Gleichzeitig sieht es die Mehrheit der Unternehmen (82 Prozent) nicht als ihre Pflicht an, Kunden und Lieferanten regelmäßig über neue Gefahren zu informieren. Dabei wäre es essenziell, dass die Betriebe über die Cybersicherheit ihrer Geschäftspartner oder Kunden Bescheid wissen und abschätzen können, welche Auswirkungen ein Angriff auf das Unternehmen hätte.

„Die Ergebnisse der Studie zeigen, dass wir aus den dunklen Untiefen raus- und immer näher an die Wasseroberfläche kommen. Die Hoffnungslosigkeit und Ohnmachtsgefühle verschwinden schön langsam“, freut sich Lamprecht. Dennoch gibt es keinen Grund sich zurückzulehnen: Einerseits fehle es oft noch an den Basisstrukturen, andererseits kommen neue Herausforderungen wie künstliche Intelligenz in hoher Geschwindigkeit. „Die Digitalisierung schlägt also hohe Wellen und erfordert neues Denken, Handeln und neue Strategien von Österreichs Unternehmern“, so Lamprecht.

Austausch stärken

Ein aktiverer Informationsfluss zwischen Wirtschaft, Behörden und Wissenschaft würde zu mehr Cybersicherheit in Österreich beitragen, waren sich die Teilnehmer einer Podiumsdiskussion zur Studienpräsentation einig. „Gemeinsam sind wir stärker. Nur durch ausreichende Vernetzung untereinander können wir die Herausforderungen in diesem Bereich bewältigen“, ist Marcus Grausam, CEO der A1 Telekom Austria, überzeugt. „Das NIS-Gesetz hat das Potenzial, diese Kommunikation zu fördern, indem nicht nur verpflichtende Meldungen, sondern auch freiwilliger Informationsaustausch und die Zusammenarbeit von Staat und Wirtschaft bei der Erstellung von Lagebildern gefördert werden“, ergänzt KSÖ-Generalsekretär Alexander Janda. „Die einzige Waffe, die wir haben, ist das Kooperieren untereinander“, pflichtet auch A1 Cybersecurity Officer, Wolfgang Schwabl bei. In der Finanzbranche findet bereits ein informeller Austausch statt, wie Peter Gerdenitsch, Head of Group Information & Cybersecurity der Raiffeisen Bank International, berichtet. Dieser soll in naher Zukunft mit der Einführung eines Banken-CERTs (Computer Emergency Response Team) institutionalisiert werden. „Das würde nicht nur den Bankenstandort Österreich sicherer gestalten, sondern auch das Vertrauen der Kundschaft weiter stärken.“

Posted in: