Mehr Souveränität bei Cyber Crime

Cybersecurity
08.06.2022

Mehr Angriffe durch staatlich unterstützte Akteure und mehr Fachkräftebedarf sind zwei aktuelle Entwicklungen im Cyber-Crime-Bereich. Doch es gibt auch Good News in Sachen Cyber Security: Unternehmen investieren mehr und fühlen sich besser für Angriffe gewappnet.
against cybercrime

Ist von Cyber Crime die Rede, gibt es selten gute Nachrichten. Meist geht es um gestohlene Kundendaten, Lösegelder oder IT-Komplettausfälle. Und auch aktuell gibt es alarmierende Entwicklungen – zu ihnen später mehr. Zuerst wollen wir den Good News Raum geben, die es zum Glück auch gibt.
Mehr Budget Anfang 2022 gaben sieben von zehn Unternehmen in einer Befragung von KPMG an, dass ihr Cyber-Security-Budget deutlich gestiegen ist. Diese Zahl stammt aus der aktuellen Studie „Cyber Security in Österreich“, die KPMG jährlich veröffentlicht und für die rund 550 österreichische Unternehmen jeder Größe befragt wurden. Und wie hoch sind die Budgets? Die Unternehmen mit den höchsten Budgets gaben an, drei bis fünf Prozent ihres IT-Budgets für Cyber-Sicherheit auszugeben. Das sind derzeit 19 Prozent der befragten Unternehmen. Am anderen Ende der Skala liegen 24 Prozent der Unternehmen, die gar kein dezidiertes Cyber-Security-Budget haben.
Und die Investitionen wachsen weiter. So sagten in der von PwC weltweit durchgeführten Cybersicherheits-Studie „Global Digital Trust Insights 2022“ ebenfalls sieben von zehn Unternehmen einen weiteren Anstieg der Cyberbudgets voraus. Mehr als ein Viertel prognostiziert einen Anstieg des Cyberbudgets um mindestens zehn Prozent – in Österreich ist es gar jedes zweite Unternehmen. Für die Studie wurden rund 3600 Führungskräfte befragt, 51 davon aus Österreich.
Besser informiert Auch von Deloitte gibt es eine Studie zum Thema mit positiven Ergebnissen: Für den Deloitte Cyber Security Report 2022 wurden 450 österreichische Unternehmen mit mindestens 50 Mitarbeiterinnen und Mitarbeitern befragt. Demnach fühlen sich neun von zehn Unternehmen sehr oder ziemlich gut über mögliche Gefahren und Schutzmaßnahmen informiert. Bemerkenswert ist, dass sich der Wert vor allem bei Entscheidungsträgerinnen und -trägern, die nicht in der IT-Abteilung arbeiten, erhöht hat: Von ihnen fühlten sich 2022 82 Prozent sehr oder ziemlich gut informiert (2020 nur zwei Drittel).
Zudem vertrauen KPMG zufolge 83 Prozent im Fall eines Angriffs ihren Schutzmaßnahmen. Auch relativ positiv ist, dass 40 Prozent der Unternehmen, die von KPMG zur Cyber-Sicherheit befragt wurden, ein bis zwei Mitarbeiter für Cyber Security beschäftigen. Laut Gerald Kortschak, Sprecher der Experts Group IT Security im Fachverband UBIT in der Wirtschaftskammer, weisen diejenigen, die hier tätig sind, eine sehr hohe Kompetenz auf: „Grundsätzlich verfügen wir in Österreich über hervorragende IT-Security-Dienstleistungsbetriebe und -Fachkräfte.“

Die IT-Security kommt leider ­immer wieder
zu kurz.

Gerald Kortschak, UBIT

Gerald Kortschak
Gerald Kortschak, UBIT

Fachkräfte fehlen
Doch drei Viertel der Unternehmen (74 Prozent) haben KPMG zufolge Schwierigkeiten beim Rekrutieren von IT-Experten. 43 Prozent brauchen vier bis sechs Monate, um offene Stellen zu besetzen. 40 Prozent werben aktiv Sicherheitsexperten anderer Unternehmen ab. 26 Prozent rekrutieren IT-Experten im Ausland. Robert Lamprecht, KPMG Director und Autor der Studie, rät: „Wenn Sie gute IT-Security-Experten haben, sollten sie diese halten, denn Ihre Konkurrenz macht ihnen wahrscheinlich gerade ein gutes Angebot.“
Gerald Kortschak vom Fachverband UBIT sagt dazu: „Natürlich macht uns auch hier der Mangel an qualifiziertem Personal zu schaffen, doch steuern die Wirtschaftskammern bereits gegen.“ Er verweist etwa auf die Cyber-Security-Hotline (www.cys.at) der Wirtschaftskammern, eine „Cyber-Feuerwehr“ für Erstmaßnahmen. In den aktuell schwierigen Zeiten stünden speziell KMU vor finanziellen Herausforderungen, denn die Wartung und der Betrieb sowie die laufende Überprüfung der IT-Security-Systeme kostet: „Im wirtschaftlichen Überlebenskampf kommt die IT-Security leider immer wieder zu kurz. Das kann sich für Firmen als Bumerang erweisen.“ Kortschak plädiert für einen Ausbau der Förderangebote. 42 Prozent der Unternehmen helfen sich laut KPMG bereits selbst, indem sie Quereinsteiger anstellen und selbst ausbilden.

Übersehene Gefahren
Dass mehr in IT Security investiert wird, ist darauf zurückzuführen, dass Angriffe und Gefahren zunehmen. So ist etwa laut KPMG-Studie jedes fünfte Unternehmen von fortgeschrittenen andauernden Bedrohungen (APTs) betroffen. Auch die Angriffe durch staatlich unterstützte Akteure haben an Bedeutung gewonnen, konkret für 52 Prozent – und das, obwohl die Befragung kurz vor Beginn des Kriegs in der Ukraine durchgeführt wurde.
Leider mangelt es oft beim Risikomanagement. Deloitte zufolge weist nur jedes fünfte österreichische Unternehmen mit mehr als 50 Mitarbeitern einen Krisen- bzw. Notfallplan im Fall einer Ransomware-Attacke auf. Dazu passt eine Zahl von KPMG, der zufolge für jedes zweite Unternehmen Ransomware-Attacken eine besondere Herausforderung darstellen. Dabei wurden Deloitte zufolge bereits 18 Prozent der Unternehmen ab 50 Mitarbeitern schon einmal Opfer eines Ransomware-Angriffs. Die Schäden können erheblich sein: So schätzen die befragten Mittel- und Großunternehmen den finanziellen Schaden durch einen einwöchigen Ausfall ihres IT-Systems auf durchschnittlich 1,2 Millionen Euro – vom Imageschaden ganz zu schweigen.
Dazu sagt Peter Völkl, Leiter des Studiengangs Wirtschaftsinformatik an der Ferdinand Porsche FernFH und Experte für Informationssicherheit und IT-Sicherheit: „Grundlage jedes Informationssicherheitsmanagements ist ein funktionierendes IT-Risikomanagement. Dazu gehören entsprechende Risikoanalysen, die auf den Geschäftsprozessen basieren.“ Unternehmen müssten sich der kritischen Prozesse im Unternehmen bewusst sein und Maßnahmen treffen, um diese zu schützen. Er betont, dass die Gefahren hier nicht nur von außen kommen: „Dabei geht es auch um die Beachtung von Risiken im Bereich der Verfügbarkeit und Integrität der Systeme und Daten.“ Aktuell stünde meist die User-Sicht und nicht die Systemsicht im Vordergrund: Es gebe viele Methoden und Frameworks zum Schutz von Usern, jedoch nur wenig zum Schutz der Systeme vor Missbrauch des Zugangs durch berechtigte Anwenderinnen und Anwender: Ein Beispiel dafür seien Online-Prüfungen und damit verbundene Risiken durch eine mögliche Weitergabe von Login-Daten und den Einsatz unerlaubter Hilfsmittel und Kollaboration.
Gerald Kortschak, UBIT, sagt: „Wichtigstes To-Do für die Unternehmen wäre die Überprüfung ihrer Prozesse für den Worst Case. Was wird getan, wenn ein Angriff stattfindet, wie überlebt das Unternehmen diese Phase und wie kann es danach den Betrieb wieder aufnehmen?“ Für dieses Konsequenzenmanagement gebe es Spezialisten, die Unternehmen zeigen können, wie sie durch Hilfe zur Selbsthilfe ohne zusätzliche Investitionen das Beste aus dem Vorhandenen machen können.

Kurse der Wirtschaftsverlag Akademie

Ob es um die Datenschutzgrundverordnung oder um korrektes Verhalten im Home-Office geht: Mittels ­digitaler schulungen können  Mitarbeiter rasch und effizient geschult werden. ­Beispielsweise mit diesen Modulen.
https://akademie.wirtschaftsverlag.at/MagnificentCatalog/coursefilter/a…