Cyberattacken in Österreich: 2 von 3 Unternehmen betroffen

Die KPMG-Studie zeigt eine wachsende Zahl an Cybercrime-Fällen – gegen die österreichische Unternehmen heute allerdings deutlich besser gerüstet sind als noch vor vier Jahren. (© KPMG) Lediglich 33 Prozent der österreichischen Unternehmen meldeten Cyberangriffe an Behörden. 53 Prozent betrachten Cyber Security nicht als fixen Bestandteil von Digitalisierungsinitiativen. Zu diesen Ergebnissen kommt die diesjährige Studie „Cyber Security in Österreich“ vom Prüfungs- und Beratungsunternehmen KPMG, an der mehr als 340 Vertreter österreichischer Unternehmen teilnahmen.

Die KPMG Studie analysiert bereits zum vierten Mal in Folge die wichtigsten Fakten, Trends und Entwicklungen der letzten vier Jahre hinsichtlich Cyberkriminalität. Auch heuer wurde sie wieder in Kooperation mit dem Sicherheitsforum Digitale Wirtschaft des Kuratorium Sicheres Österreich (KSÖ) durchgeführt.

Anstieg von Attacken und Bewusstsein

Zwei Drittel (66 Prozent) der österreichischen Unternehmen erlitten in den vergangenen zwölf Monaten einen Cyberangriff. Das sind fünf Prozent mehr als im Vergleich zum Vorjahr (61 Prozent). 2016 gab lediglich die Hälfte an, Opfer einer Cyberattacke gewesen zu sein (49 Prozent). Phishing und Malware sind und bleiben die häufigsten Angriffsarten aus der virtuellen Welt. Knapp die Hälfte der befragten Unternehmen (jeweils 47 Prozent) kam mit diesen Attacken in Berührung. Hier lässt sich ein eindeutiger Anstieg gegenüber dem Vorjahr erkennen: 2018 waren 24 Prozent der Unternehmen von Phishing und 22 Prozent von Malware betroffen. „Dieser Trend zeigt nicht nur, dass Cyberkriminalität immer noch am Vormarsch ist und bewährte Angriffsarten weiterhin wirksam sind. Wir sehen dadurch auch, dass Unternehmen immer öfter auch tatsächlich erkennen, dass sie angegriffen werden“, erklärt KPMG Partner Andreas Tomek. „Wichtig wäre aber, dass Cyberattacken von den Unternehmen so rasch wie möglich gemeldet werden. Auftauchen und darüber reden lautet die Devise.“

Wenig Information für Behörden

Aktuell schweigen die österreichischen Unternehmen meist noch: In den letzten zwölf Monaten informierte nur ein Drittel (33 Prozent) nach einem Angriff öffentliche Stellen über einen Sicherheitsvorfall. Große Unternehmen sind etwas offener: Fast die Hälfte (46 Prozent) wendete sich an eine Behörde. Zu dieser Sensibilisierung bei Großbetrieben hat vermutlich das Netz- und Informationssystemsicherheitsgesetz (NISG) beigetragen, das im Dezember 2018 vom Nationalrat beschlossen wurde, sowie entsprechende Regularien für die Finanzwirtschaft.

Für jedes zweite Unternehmen (53 Prozent) ist Security noch kein fixer Bestandteil beim Thema Digitalisierung. „Bei digitalen Initiativen muss Cybersicherheit immer von Beginn an eine Rolle spielen“, gibt KPMG Partner Gert Weidinger zu bedenken. „Cyber Security ist nicht weniger als die Basis für eine erfolgreiche Digitalisierung. Nur so können Unternehmen wachsen.“ Hier bestehe laut den Cyberexperten von KPMG akuter Handlungsbedarf, damit österreichische Unternehmen nicht ins Hintertreffen geraten.

Angriffe über Lieferanten oder Kunden

Ein Bruchteil der befragten Unternehmen (sieben Prozent) ist der Meinung, dass ihre Lieferanten ausreichende Sicherheitsmaßnahmen treffen. Gleichzeitig sieht es die Mehrheit der Unternehmen (82 Prozent) nicht als ihre Pflicht an, Kunden und Lieferanten regelmäßig über neue Gefahren zu informieren. Nur 28 Prozent der Unternehmen sind berechtigt, die Sicherheit der Lieferanten regelmäßig zu überprüfen. „Bei den immer komplexeren Wertschöpfungsketten der Unternehmen zählt jedes Glied. Es reicht ein Angriff auf das schwächste, um das gesamte System aus dem Gleichgewicht zu bringen“, erklärt Robert Lamprecht, KPMG Director im Bereich Cyber Security. „Die österreichischen Unternehmen gehen derzeit noch mit dem Risiko durch Zulieferunternehmen sehr wagemutig um.“ Dabei wäre es essenziell, dass die Betriebe über die Cybersicherheit der Geschäftspartner, Technologie-Provider oder Kunden Bescheid wissen und abschätzen können, welche Auswirkungen ein Angriff auf das eigene Unternehmen hätte. Schutz bieten unter anderem Cyberversicherungen: Der Trend dazu ist zwar weltweit spürbar, hat sich am heimischen Markt jedoch noch nicht durchgesetzt. Derzeit verfügen lediglich 19 Prozent der befragten Unternehmen über eine Cyberversicherung. Mehr als die Hälfte (53 Prozent) gab an, mit dem Angebot an Versicherungen nicht zufrieden zu sein.

Kommunikation schützt

„Die österreichischen Unternehmen sind 2019 schon viel besser gerüstet als noch vor vier Jahren. Das Bewusstsein der Unternehmen steigt und die CEOs befassen sich mit Cybersicherheit. Jetzt ist es an der Zeit, dass ein offener Austausch gepflegt wird“, sagt KPMG Partner Michael Schirmbrand. „Denn die Rahmenbedingungen werden durch die rasanten technologischen Entwicklungen immer schwieriger.“ Mit einem aktiveren Informationsfluss von Seiten der Unternehmen könnte ein klareres Lagebild in Sachen Cyberkriminalität für den Wirtschaftsstandort Österreich gezeichnet werden. „Nur wenn die Betroffenen über Angriffe sprechen, können Behörden ihre Unterstützung weiter optimieren – also redet miteinander“, fügt Robert Lamprecht hinzu. „Das NISG hat das Potenzial, diese Kommunikation zu fördern, indem nicht nur verpflichtende Meldungen, sondern auch freiwilliger Informationsaustausch und die Zusammenarbeit von Staat und Wirtschaft bei der Erstellung von Lagebildern gefördert werden“, ergänzt KSÖ Generalsekretär Alexander Janda.