Rund 70 bis 80 Prozent der Cybercrime-Fälle geschehen aufgrund von Unachtsamkeiten der Mitarbeitenden, sagt Gerald Kortschak, Bundessprecher der Experts Group IT-Security des WKO-Fachverbands Unternehmensberatung, Buchhaltung und IT (UBIT). "Mitarbeiter klicken unbedacht auf MS-Teams-Kalendereinträge, E-Mail-Anhänge oder gefährliche Links – Dinge, die wir seit 30 Jahren predigen, werden noch immer nicht eingehalten", ergänzt er.

Zwar sei das Problembewusstsein in den Unternehmen durchaus gestiegen, nur die Konsequenzen, die daraus gezogen würden, seien ausbaufähig. "Vorfälle werden in den Unternehmen nicht durchgespielt", mahnt er. In den meisten Betrieben werde davon ausgegangen, dass alles technisch zu lösen sei. "Für die IT-Sicherheit wird in Österreich viel installiert und auch viel investiert, aber nur selten gibt es dafür auch Mitarbeiterschulungen." Kortschak vergleicht diese Schulungen mit den routinemäßigen Brandschutzübungen – auch diese mag keiner gerne, trotzdem sind sie notwendig. Im Bereich der IT-Security wären solche Übungen ebenfalls sinnvoll.

Angreifer werden gewiefter

Denn die "Qualität" der Cyberangriffe hat in Österreich zugenommen, wie der Cyber Security Report 2023 von Deloitte und Sora zeigt. Die Anzahl der Attacken befinde sich im Vergleich zum Vorjahr auf einem ähnlichen Stand, aber die Abwehr erweise sich als immer schwieriger. Fast die Hälfte der Unternehmen (47 Prozent) hat laut dieser Umfrage kein Risikomanagement implementiert oder Maßnahmen getroffen, sagte Karin Mair von Deloitte Österreich.

Für den Report wurden 350 Mittel- und Großunternehmen telefonisch befragt. Und er bestätigt, dass sich Firmen vor allem mit Präventionsmaßnahmen wappnen. Auch Kortschak meint, dass es kaum Notfallpläne in den Betrieben gebe. "Das Interesse, sich zu schützen, wird immer stärker, kein Interesse gibt es aber, auch organisatorisch etwas zu ändern", sagt Kortschak. Bei der Beratung zum Thema Cyber Security gebe es laut ihm jedenfalls noch Nachholbedarf.

Starker Fokus auf Prävention

Auch der Cyber Security Report kommt zu demselben Schluss: "Die Unternehmen verfolgen nach wie vor eine Cybersecurity-Strategie, die auf Prävention basiert", sagt Georg Schwondra von Deloitte Österreich. So wollen sich künftig 20 Prozent vor allem auf die Filterung des Datenverkehrs mit Antivirussoftware und Firewalls fokussieren, weitere 19 Prozent reagieren mit regelmäßigen Awareness-Schulungen der Mitarbeiterinnen und Mitarbeiter. Die Implementierung gezielter technischer Maßnahmen findet sich bei den meisten hingegen weiter unten auf der Prioritätenliste: Lediglich elf Prozent der Befragten wollen derzeit ihre Systeme updaten oder verbessern. Nur fünf Prozent planen, Zugriffsrechte für Benutzerinnen und Benutzer einzugrenzen. Kontrollen der Systeme durch interne IT-Abteilungen oder externe Experten stehen lediglich bei 17 Prozent der Unternehmen auf der Agenda.

Systeme regelmäßig von außen testen zu lassen wäre aus Sicht von Kortschak ein wichtiger Punkt. "Es muss nicht immer ein kostenintensives ‚penetration testing‘ sein, auch eine Schwachstellenanalyse kann Lücken finden. Die Kosten sind da viel günstiger." Und den Ernstfall bis zu Schluss durchzuspielen sei das Um und Auf. "Denn wenn dann etwas passiert, gibt es kein böses Erwachen", ergänzt er. (Gudrun Ostermann, 19.5.2023)