Viele Firmen halten Cyberrisiko noch immer für niedrig

Viele Firmen halten Cyberrisiko noch immer für niedrig

(kunid) Zugleich glauben drei Viertel, dass die Bedeutung des Problems künftig steigen wird. Gut ein Drittel sieht sich „auf jeden Fall“ gut gerüstet, umgekehrt fehlen in einigen Unternehmen Cybernotfallpläne. Cyberversichert ist rund die Hälfte.

Die Unternehmensberatung EY hat nun die Ergebnisse einer neuen Umfrage zu Cyberrisiken und Datendiebstahl veröffentlicht. Sie basieren auf einer telefonischen Befragung von 202 Führungskräften österreichischer Unternehmen mit zumindest 20 Mitarbeitern.

Die Market Marktforschungs-Ges.m.b.H. hat hierfür Geschäftsführer, Konzernsicherheits- oder IT-Sicherheitsleiter aus verschiedenen Branchen interviewt, darunter auch solche aus 13 Versicherungsunternehmen.

Den Großteil bildeten Unternehmen der Branchen Handel und Konsumgüter (53), Industrie (50) und öffentliche Verwaltung (40). Weiters sind 27 Energieunternehmen und 19 Banken unter den Befragten.

Rund ein Viertel von Angriffen betroffen

16 % der Unternehmen registrierten in den vergangenen fünf Jahren konkrete Hinweise auf einen Cyberangriff bzw. Datendiebstahl, weitere 7 % sogar mehrfach. Die übrigen 77 % gaben an, keine derartigen Erfahrungen gemacht zu haben.

8 % waren bereits mit einem Ransomware-Angriff, also einem Erpressungsversuch, konfrontiert, bei dem Geld gefordert wurde, ein weiteres Prozent mehrfach. 75 % der Betroffenen gaben an, in so einem Fall nicht gezahlt zu haben.

Aufgedeckt wurden kriminelle Handlungen in erster Linie durch das interne Kontrollsystem, nämlich in 30 % der Fälle. Jeder Fünfte (19 %) gab an, dass ein Angriff nur durch Zufall aufgedeckt wurde. Die Dunkelziffer der tatsächlich erfolgten Fälle dürfte demnach deutlich höher sein.

Besonders der Vertrieb (45 %) und das Finanzwesen (31 %) sind laut Umfrage Unternehmensbereiche, die Cyberkriminelle im Visier haben.

Mehrheit schätzt Risiko als niedrig ein

Das Risiko, dass ihr Unternehmen Opfer von Cyberangriffen und Datendiebstahl wird, schätzen 4 % als sehr hoch, weitere 25 % als eher hoch ein. Eine Mehrheit von 59 % erachtet es als eher niedrig, 12 % als sehr niedrig oder nicht vorhanden.

Tendenziell orten größere Unternehmen eher Risiken.

Was die künftige Entwicklung des Risikos angeht, ist die Skepsis größer: 10 % erwarten, dass die Bedeutung des „Problems Cyberangriffe“ stark steigen wird; weitere 66 % rechnen damit, dass es zumindest „etwas“ ansteigen wird.

Insbesondere der Versicherungssektor zeigt sich sensibilisiert: Hier gehen 70 % davon aus, dass die Gefahr stark steigen wird, weitere 20 % davon, dass sie „etwas“ ansteigen wird.

Mehr als ein Drittel hält sich „auf jeden Fall“ für sicher

37 % halten die präventiven Vorkehrungen in ihrem Unternehmen „auf jeden Fall“ für ausreichend, um sich wirkungsvoll gegen Informationsabfluss zu schützen, 52 % meinen, dass sie „eher“ ausreichend sind.

Gibt es in den Unternehmen Krisenpläne zur Reaktion auf Cyberattacken? 57 % sagen „Ja“, 10 % „sind gerade in der Ausarbeitung solcher Pläne“, die restlichen 33 % haben keine Krisenpläne.

Gibt es im Unternehmen Pläne für die Wiederherstellung der Infrastruktur nach einem Cyberangriff? Hier sagen 65 % „Ja“, 24 % „Nein“, die restlichen 11 % haben solche in Arbeit.

Nicht an eigene Unverwundbarkeit glauben

Gottfried Tonweber, Leiter des Bereichs Cybersecurity und Data Privacy bei EY Österreich, warnt indes davor, sich in falscher Sicherheit zu wiegen.

Oft werde von Managern angenommen, „dass sie ihre gesteigerten Investitionen in IT-Security unverwundbar machen“. Die „Kreativität und Professionalität“ der Angreifer werde dabei jedoch unterschätzt, „denn die Arten der Angriffe werden immer unauffälliger“.

Angesichts komplexer digitaler Umgebungen, etwa durch Ausweitung von Homeoffice, mobile Geräte oder Cloud-Computing.

Die Hälfte ist versichert

Haben die Unternehmen eine Versicherung gegen digitale Risiken wie eben z.B. Hackerangriffe?

Nur 47 % der Befragten bestätigen, dass ihr Unternehmen eine solche abgeschlossen habe, 53 % haben keine.

Besprechen Sie sich auch hier mit Ihrem Berater, um den bestmöglichen Cyber-Schutz für Ihr Unternehmen zu gewährleisten.