Managementtipp zu Cybersecurity : Cybersicherheit: Sind wir sicher oder fühlen wir uns bloß so?
Das Bild, dass sich aus der Studie herauslesen lässt, zeigt, dass sich die Anzahl der Angriffe, die angegriffenen Unternehmen und der daraus resultierende Stillstand in den letzten Jahren weder verringert noch zum Stillstand gekommen ist.
- © Song_about_summer - stock.adobe.comDie Daten der aktuelle EY Österreich Cyber Security Studie umfassen Informationen von über 200 Interviews. Damit ist es gelungen eine Markteinschätzung zu bekommen im Hinblick auf die Bedrohungslage und die bereits gesetzten Maßnahmen. Bei der Befragung wurden unterschiedlichste Sektoren berücksichtigt. Die befragten Personen sind in ihrem jeweiligen Unternehmen verantwortlich für das Thema Cybersicherheit.
Das Bild, dass sich aus der Studie herauslesen lässt, zeigt, dass sich die Anzahl der Angriffe, die angegriffenen Unternehmen und der daraus resultierende Stillstand in den letzten Jahren weder verringert noch zum Stillstand gekommen ist.
Bei den betroffenen Sektoren gab ein wenig Bewegung. In den Vorjahren waren meist noch Banken oder kritische Infrastruktur im Fokus. Nun scheinen sich die „Hacker“ intensiver mit den anzugreifenden Unternehmen zu beschäftigen. Denn die Studie zeigt je höher der Jahresumsatz des Unternehmens, desto höher ist die Gefahr eines Angriffs. Der Branchenfokus deutet darauf hin, dass die bereits in Kraft getretenen regulatorischen Anforderungen (NIS 1 bzw. EBA-Guidelines) bei den vormals betroffenen Sektoren bereits positive Auswirkungen haben. Aktuell sehen sich folgende Branchen stärker im Fokus von Angreifern: Versicherungen, der öffentliche Sektor, die Bau- und Immobilien- sowie Energiebranche liegen bei der Gefährdungslage doch recht deutlich über dem Durchschnitt. Wie so oft spielt bei einem Angriff immer der Aufwand bzw. Ertragsfaktor eine wesentliche Rolle.
Der Faktor äußert sich unter anderem auch darin, dass die erhobenen Daten darauf schließen lassen, dass Angriffe bei kleineren Unternehmen – aufgrund des zumeist hohen Aufwands von präventiven Abwehrmaßnahmen – nicht oder sehr spät entdeckt werden. Dieser Verdacht erhärtet sich, wenn 24 % der Angriffe zufällig entdeckt wurden.
Leider ergibt sich durch diese „low hanging fruits“ eine Möglichkeit für Angreifer auch in vermeintlich besser geschützte Unternehmen einzudringen. Denn durch die steigende Komplexität und Vernetzung von IT-Systemen wird die Sicherung und Überwachung der gesamten Infrastruktur erheblich erschwert. Drei Viertel der befragten Unternehmen geben an, dass ihre IT-Infrastruktur in den letzten Jahren erheblich komplexer geworden ist.
Die Komplexität der „IT-Welt“ erfordert immer mehr IT-Spezialist:innen. Leider ist es nach wie vor so, dass es einen sehr großen Mangel an Fachkräften gibt. Auch das führt zu einem erheblichen Risiko für Unternehmen.
All diese erhobenen Faktoren sprechen ein sehr klares Bild der Bedrohungslage.
Im Gegensatz dazu stellt die Studie fest, dass 64 % der Befragten der Meinung sind, dass das Risiko eines Angriffs eher gering oder sehr niedrig ist.
Dadurch ergeben sich zwei Schlussfolgerungen:
- Lässt sich feststellen, dass die regulatorischen Maßnahmen zwar ein guter Beginn Startpunkt sind, aber man sich nicht auf den gesetzten Maßnahmen ausruhen darf. Mit Hilfe von NIS 2.0 werden die aktuell betroffenen Sektoren ein neues Sicherheitsniveau erreichen (müssen).
- Es zeigt sich auch, dass es gewisse Ermüdungserscheinungen gibt bei den Mitarbeiter:innen. Das Thema Cyber Security ist in den letzten Jahren zum täglichen Begleiter geworden und unter den IT-Anwender:innen hat sich eine gewisse Mattigkeit zu dem Thema breit gemacht.
Da Anwender:innen nach wie vor die einfachste Hürde ist für einen Angreifer in ein IT-System zu gelangen braucht es neue Impulse um die Awareness (wieder) anzuheben.
Vielleicht hilft es auch eine gewisse Transparenz bei „verjährten“ Angriffen auf Unternehmen her zu stellen, damit man nicht nur vor einer virtuellen Gefahr gewarnt wird, sondern auch sieht wie sich die nach wie vor hohe Bedrohungslage manifestieren kann.
Gottfried Tonweber leitet den Bereich Cyber Security und Data Privacy bei EY Österreich. Nach seinem Studium des Wirtschaftsingenieurwesens für Maschinenbau an der Technischen Universität Wien widmet er sich seit Beginn seiner Karriere den Themen Cyber Security und Datenschutz.
Bernhard Zacherl ist Director im Bereich Cyber Security und verantwortet den Bereich rund im Cyber Security Transformationen bei EY. Mit seinem Team berät er sämtliche Themen im Hinblick auf Cyber Governance und Cyber Resilience . Zusätzlich hat er einen starken Fokus auf regulatorische Cybersecurity-Anforderungen.
Mehr zur Studie finden Sie auf der EY-Website. EY-Studie zu Cyberangriffen und Datendiebstahl in Österreich 2024 | EY - Österreich
