Die heimischen Unternehmen haben weiterhin zu wenig Fokus auf Cybersicherheit.
Laut aktueller CyberRisk-Analyse der KSV1870 Nimbusec GmbH sind drei von zehn heimischen Betrieben weiterhin nicht in der Lage, IT-Sicherheitsvorfälle zuverlässig zu erkennen. Zudem überschätzen 22 Prozent (+ 2 % gegenüber der Analyse 2022) der Firmen ihre eigenen Vorkehrungen gegen Hacking-Angriffe – sie wähnen sich also in falscher Sicherheit. Weiters hat jeder vierte Betrieb kein adäquates Cyber-Notfallkonzept, um im Ernstfall rasch reagieren zu können. Eine Analyse von rund 250.000 Unternehmenswebseiten durch die KSV1870 Nimbusec GmbH zeigt, dass selbst nach einem erfolgreichen Hacking-Angriff 90 Prozent der rund 200 infizierten Webseiten einen Monat später noch immer Schadsoftware an ihre Besucher verteilen.
Die Gefahr aus dem Netz steigt eklatant. Laut heimischer Kriminalstatistik des Bundeskriminalamtes hat sich die Internetkriminalität zwischen den Jahren 2012 und 2021 mehr als verfünffacht – und zwar von 8.900 auf rund 46.000 Fälle. Etwa ein Drittel (15.500 Fälle) davon bezog sich im Jahr 2021 auf sogenannte Cybercrime-Delikte, womit sich diese Zahl im mehrjährigen Verlauf sogar versiebenfacht hat. Zu den häufigsten Cybercrime-Vorfällen zählen zum Beispiel Hacking, Datenbeschädigung/-fälschung und Datenverarbeitungsmissbrauch. „Die Zahl der IT-Sicherheitsvorfälle erhöht sich laufend, trotzdem unterschätzen viele Betriebe das Risiko nach wie vor. Insbesondere Klein- und Mittelbetriebe müssen sich besser schützen“, erklärt Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH.
22 % überschätzen eigene IT-Sicherheit
Obwohl die Cyber-Gefahr im vergangenen Jahrzehnt massiv gestiegen ist, haben weiterhin drei von zehn Unternehmen keine ausreichenden IT-Sicherheitsmaßnahmen implementiert, um Cybervorfälle zuverlässig zu erkennen. Gleichzeitig überschätzen 22 Prozent (2022: 20 %) der heimischen Unternehmen ihre bestehenden Sicherheitsmaßnahmen. „Unternehmen erkennen zwar häufig ihre IT-Security als Problemfeld, gleichzeitig stellen sie aber zu wenig personelle und finanzielle Ressourcen bereit, um das Risiko zu minimieren. Insbesondere KMU sind davon häufig betroffen“, so Mitter. „Um das Problem in den Griff zu bekommen, wäre es am einfachsten, die eingesetzten Hard- und Softwarelösungen zu reduzieren und Prozesse konsequent zu standardisieren. Praktisch ist jedoch das Gegenteil zu beobachten. Mehr und mehr Systeme werden miteinander verbunden und dadurch erhöht sich die Komplexität. Die Konsequenz ist eine Zuspitzung des Problems“, erklärt Mitter.
Jeder vierte Betrieb agiert ohne Cyber-Sicherheitskonzept
In Zeiten der Digitalisierung muss gewährleistet sein, dass sich Kunden und Lieferanten sicher im Netz bewegen können - ohne Angst haben zu müssen, das hinter jeder Ecke eine virtuelle Gefahr lauert.
Eine Folge der Selbstüberschätzung der Unternehmen ist auch, dass 25 Prozent der Betriebe ohne adäquates Konzept agieren, um auf IT-Sicherheitsvorfälle reagieren zu können. „In Zeiten der Digitalisierung muss gewährleistet sein, dass sich Kunden und Lieferanten sicher im Netz bewegen können, ohne Angst haben zu müssen, dass hinter jeder Ecke eine virtuelle Gefahr lauert, die das eigene Geschäft schädigen könnte“, erklärt Ricardo-José Vybiral, CEO der KSV1870 Holding AG. Zu diesem Zweck hat die KSV1870 Nimbusec GmbH mehr als 250.000 Webseiten österreichischer Unternehmen unter die Lupe genommen. Das Ergebnis: Rund 200 Webseiten wurden gehackt und stellten damit ein hohes Sicherheitsrisiko dar. „Das klingt im ersten Moment harmlos, wenn man aber bedenkt, dass auf diese Webseiten tagtäglich zigtausende Zugriffe erfolgen, kann dadurch Schadsoftware großflächig verbreitet werden“, so Mitter. Unter diesen Sicherheitsrisiken sind betrügerische Inhalte ebenso zu finden wie Programmcodes, die Computerviren installieren oder auch sogenannte Cryptominer, die auf (Strom-)Kosten der Webseitenbesucher Cryptowährungen verbreiten. Im Zuge der Überprüfung wurden die betroffenen Unternehmen von dem österreichischen CERT kontaktiert, um auf bestehende Cybervorfälle aufmerksam zu machen. Dennoch waren 90 Prozent der infizierten Webseiten auch einen Monat nach der Überprüfung weiterhin infiziert und stellen somit ein erhebliches Sicherheitsrisiko dar.
KSV1870 Tools verbessern Cybersicherheit
Um der steigenden Cybergefahr Rechnung zu tragen, hat der KSV1870 den WebRisk Indicator in seine Unternehmensauskünfte integriert. Konkret wird das öffentlich sichtbare Cyberrisiko von Webseiten in vier Kategorien klassifiziert. Wenn Unternehmen mehr wissen möchten, bevor sie sich mit den IT-Systemen eines Geschäftspartners verbinden, können sie ein detailliertes CyberRisk Rating über den potenziellen Partner beauftragen. „Das CyberRisk Rating zeigt strukturiert die sicherheitstechnische Verfassung eines Unternehmens und belegt, ob gesetzliche Vorgaben erfüllt werden“, so Mitter. Darüber hinaus liefert das Rating eine Anleitung, welche Sicherheitsmaßnahmen mit dem geringsten Ressourcenaufwand die größte Verbesserung im Betrieb erreichen.
Nachweis bald Pflicht
Ein derartiger Beleg wird für Unternehmen, insbesondere jene der kritischen Infrastruktur und deren Lieferanten, spätestens ab Oktober 2024 entscheidend sein. Ab dann wird die bestehende EU-Richtlinie 2016/1148 („NIS“) durch die NIS-2-Richtlinie ersetzt, die einen Nachweis für IT-Sicherheit erfordert. Ist ein solcher Nachweis nicht vorhanden, kann das Eingehen einer Geschäftsbeziehung Haftungen und Strafen für Unternehmen und deren Vorstände bedeuten. Zusätzlich können Unternehmen mit einem ausgezeichneten CyberRisk Rating das Cyber Trust Austria-Gütesiegel beantragen und so ihre Marktchancen, speziell bei Betreibern von kritischer Infrastruktur, nachhaltig steigern.
Fotodownload:
Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH
Ricardo-José Vybiral, CEO der KSV1870 Holding AG