Die Welt im Wandel Die Welt im Wandel Die Welt im Wandel

Die Welt ändert sich – und wir mit ihr. Die COVID-19-Pandemie hat Österreichs Unternehmen schlagartig zu einem Digitalisierungsschub gezwungen. Das hat einerseits die Chancen, andererseits aber auch die Risiken explosionsartig steigen lassen. Die Studie „Cyber Security in Österreich 2021“¹, die KPMG Österreich zum sechsten Mal in Folge gemeinsam mit dem Sicherheits­forum Digitale Wirtschaft des Kuratorium Sicheres Österreich erstellt hat, beschäftigt sich insbesondere mit den Auswirkungen der Pandemie auf Cybersicherheit und Cyberangriffe. Unsere Studie untermauert, wie sehr österreichische Unternehmen von der digitalen Gefahr betroffen sind.

Die Auswirkungen der Pandemie in Österreich sind eindeutig: 38 Prozent der Unternehmen geben an, eine Zunahme an Cyberangriffen in der Pandemie festgestellt zu haben. Besonders getroffen hat es die großen Unternehmen: Jedes zweite (54 Prozent) registriert einen Anstieg der Angriffe. In den letzten 12 Monaten wurden rund 60 Prozent der befragten Unternehmen Ziel einer Cyberattacke, der Großteil davon gleich mehrmals. Für zwei Drittel der Aufsichtsrätinnen und Aufsichtsräte  ist klar, dass sich der Umgang mit Cyber Security Risken nach der Pandemie verändern wird.

Europa ist ein beliebtes Ziel für Hacker. Schätzungen gehen davon aus, dass rund ein Drittel aller weltweiten Cyberangriffe auf europäische Unternehmen stattfinden. Es ist vorhersehbar, dass die Anzahl der Cyberangriffe weiterhin zunehmen wird. 

In Sachen Cybersicherheit darf nicht ausschließlich der technische Schutz im Vordergrund stehen. Eine Tatsache, die dem Großteil der Unternehmen in Österreich längst bewusst ist. Denn die Mehrheit der Cyberkriminellen nutzt nach wie vor die Gutgläubigkeit der Menschen in Unternehmen aus. Doch gleichzeitig sind geschulte Mitarbeiterinnen und Mitarbeiter auch ein entscheidender Abwehrmechanismus. Die Bedeutung des Menschen einerseits als Risikofaktor, andererseits als „menschliche Firewall“ ist keinesfalls zu unterschätzen.

Wenn es nicht bereits bisher so war – die Digitalisierung und die damit verbundenen Risiken bringen das Thema zunehmend auf die Agenda des Top-Managements. Die Auswirkungen von Cyberangriffen sind enorm und stellen grundlegende Geschäftsrisiken dar. Allerdings haben lediglich fünf Prozent der Aufsichtsrätinnen und Aufsichtsräte  aktiv Informationen zu Cyber Security eingefordert. 

Österreichs Unternehmen lagern ihre Daten aus. Das Vertrauen an die externen Dienstleister steigt allerdings sehr langsam: Nur etwas mehr als jede bzw jeder fünfte befragte Vorständin bzw Vorstand oder Aufsichtsrätin bzw Aufsichtsrat (22 Prozent) ist sich sicher, dass Lieferanten und Cloud-Dienstleister ausreichende Schutzmaßnahmen treffen.

Ein Drittel der Befragten nennt die Erhöhung der Datensicherheit als Motiv, in die Cloud auszulagern. Am Vertrauen in die eigenen Security-Maßnahmen muss ebenfalls noch gearbeitet werden: Lediglich 33 Prozent der Entscheidungsträger haben großes Vertrauen in die unternehmenseigenen Schutzmaßnahmen im Falle eines Cyberangriffs.

Gerade in turbulenten Zeiten braucht es einen klaren Kopf. Hier vertrauen Aufsichtsrat, Vorständinnen und Vorstände  ganz klar auf externe Dienstleister. Die Mehrheit der Unternehmen hat solche für die Schadensbehebung und Absicherung der Systeme (49 Prozent) bzw für die Vorfallskoordination (37 Prozent) nach einem Angriff herangezogen.

Seit Jahren lautet eine spannende Frage der Studie: „Wenn Geld keine Rolle spielen würde, gegen welche Top 3-Bedrohungen würden Sie sich schützen?“ Die vier häufigsten Antworten in der Gruppe der Aufsichtsrätinnen und Aufsichtsräte und Vorstände waren dieses Jahr: Ransomware und Schadsoftware (45 Prozent), Data Leakage (42 Prozent), Angriffe auf Zulieferer- und/oder Kundensysteme (29 Prozent), und Fake News und/oder Rufschädigung (22 Prozent) in sozialen Netzwerken.

Auch der Ruf nach Vater Staat wird lauter: Mittlerweile wünschen sich fast alle Unternehmen in Österreich eine stärkere Rolle des Staates: 88 Prozent der Aufsichtsrätinnen und Aufsichtsräte und Vorstände wollen eine staatliche Stelle, die sich ausschließlich mit Cyber Security auseinandersetzt. 74 Prozent wünschen sich eine stärkere Unterstützung des Staates. Diese Tendenz hängt direkt mit der Angst vor staatlich unterstützten Angriffen zusammen. Hier geben 41 Prozent an, dass diese Art von Angriffen für sie an Bedeutung gewonnen hat.

Herkömmliche Sicherheitskonzepte sind zunehmend machtlos. Es braucht einen Paradigmenwechsel in Sachen Cyber Security – und hier sind auch Vorständinnen bzw Vorstände und Aufsichtsrätinnen und Aufsichtsräte  gefordert.

Wer sich schützen will, muss umdenken: Die Devise muss lauten: Weg von reaktiven, hin zu proaktiven Strategien und Denkweisen. Das Ziel „Folgen von Cyberattacken abschwächen“, sollte ersetzt werden durch „Cyberattacken nicht stattfinden lassen“. Natürlich gibt es keinen 100-prozentigen Schutz, weder in der echten noch der virtuellen Welt, doch das Rad muss am Laufen gehalten werden. Unternehmen müssen die Widerstandsfähigkeit der Geschäftsprozesse sicherstellen, die in einer immer komplexeren Umgebung stattfinden.

Angesichts der stetig zunehmenden Bedrohungen ist auch der Aufsichtsrat gefordert. Im Kern geht es um die Überwachung des Risikomanagements des Unternehmens. Dies erfordert ein Verständnis der vom Unternehmen eingerichteten Cyber Security-Maßnahmen – einschließlich der Ursachen und Maßnahmen bei bereits eingetretenen Vorfällen, die regelmäßige Hinterfragung der Risikoeinschätzung und die Evaluierung der getroffenen Maßnahmen einschließlich der grundsätzlichen Strategie zur Vermeidung der Risiken.

1 Die Umfrage wurde im Jänner und Februar 2021 von KPMG und dem KSÖ unter 417 österreichischen Unternehmen durchgeführt. Für die Befragung wurde zwischen Innensicht/Leitungsebene (Experten, Bereichsleiter, CSO etc) und Außensicht/Steuerungsebene (Vorstand, Eigentümer, Aufsichtsrat) unterschieden.