Familienunternehmen auf neuen Pfaden Familienunternehmen auf neuen Pfaden Familienunternehmen auf neuen Pfaden

Die COVID-19-Pandemie hat Österreichs Unternehmen zu einem Digitalisierungsschub gezwungen. Das hat einerseits die Chancen, andererseits aber auch die Risiken steigen lassen. Die zunehmende Komplexität, Geschwindigkeit und gegenseitige Abhängigkeit führen dazu, dass die Wahrscheinlichkeit, digital angegriffen zu werden, noch nie so groß war wie heute. Fragten sich Unternehmen vor wenigen Jahren noch, ob sie überhaupt attackiert werden, stellen sie sich heute nur mehr eine Frage: Wann? Doch im Wettlauf gegen die Wellen sind weder Panikmache noch Aufgeben eine Lösung. Es hilft nur eines: Handeln!

Familienunternehmen sind das Rückgrat der österreichischen Wirtschaft und zum Teil durchaus globale Player mit großem Know-how. Nicht verwunderlich, dass auch KMUs für Cyberkriminelle immer interessanter werden. Cyberattacken und Cyberkriminalität sind bei österreichischen Familienunternehmen im Alltag angekommen. Die diesjährige Studie, an der sich rund 75 familiengeführte Betriebe beteiligt haben, kommt zu dem Ergebnis, dass rund die Hälfte (51 Prozent) im letzten Jahr von einer Cyberattacke betroffen war – der Großteil sogar mehrfach.

Die häufigste Angriffsmethode bleibt eine altbewährte: 86 Prozent der Familienunternehmen haben Phishingattacken erlebt. Durch maßgeschneiderte E-Mails, über gängige Social Media-Plattformen für berufliche oder private Zwecke oder Telefonanrufe werden Mitarbeiter unbewusst dazu verleitet, schädliche Programme zu installieren und kritische Informationen preiszugeben. Rund zwei Drittel der Unternehmen hat CEO-Fraud/Business E-Mail Compromise- (68 Prozent) und Malware-Angriffe (61 Prozent) erfahren. Auffällig ist, dass insbesondere Familienunternehmen von Social Engineering-Angriffen betroffen sind: 34 Prozent wurden mit dieser Art und den sich daraus ergebenden Auswirkungen konfrontiert.

Cyber Security ist längst nicht mehr nur eine Frage des Schutzes von Systemen und Netzwerken. Cyber Security-Strategien und -Maßnahmen müssen ganzheitlich im Unternehmen verankert und mit bestehenden Strategien in Einklang gebracht werden – und das geht nur, wenn das Thema „Chefsache“ ist. Denn einerseits geht es darum, wertvolles Wissen zu schützen und andererseits die Verfügbarkeit der Abläufe sicherzustellen – ein Ausfall über mehrere Tage kann hohe Schadenssummen zur Folge haben. Doch obwohl die Auswirkungen von Cyberangriffen enorm sein können und grundlegende Geschäftsrisiken darstellen, ist bei rund 65 Prozent der KMUs das Thema nach wie vor in der IT angesiedelt. Es sollte langfristig sichergestellt werden, dass an die Geschäftsführung berichtet wird, sodass Cyber Security auf der Entscheidungsebene die nötige Aufmerksamkeit erfährt.

Dass österreichische Familienunternehmen den Bedarf an Cyber Security erkannt haben, spiegelt sich in steigenden Cyber Security-Budgets wider: Obwohl viele KMUs pandemiebedingt einen Rückgang ihrer Geschäftseinnahmen verzeichnen, wurde das Sicherheitsbudget in den seltensten Fällen reduziert: Rund dreiviertel der Unternehmen (78 Prozent) haben ihr Budget für Cyber Security im letzten Jahr erhöht. Bei einem Viertel (25 Prozent) der Unternehmen umfasst das Cyber Security-Budget drei bis fünf Prozent des IT-Budgets. In 70 Prozent der Unternehmen beschäftigen sich bereits ein bis zwei Mitarbeiter mit Cyber Security.

Um im Kampf gegen Cyberkriminalität erfolgreich sein zu können, müssen Unternehmen neben der technischen Ausstattung auch die organisatorische und personelle Ebene berücksichtigen. Es benötigt Personen, die sich ausschließlich um dieses Thema kümmern. Erfreulicherweise gewinnt eine dezidierte Cyber Security-Rolle in Österreichs Unternehmen immer mehr an Bedeutung – aber gerade bei Familienunternehmen besteht weiterhin Handlungsbedarf (53 Prozent).

Die wesentliche Rolle spielen jedoch Mitarbeiter beim Kampf gegen Cyberangriffe: Die Mehrheit der Cyberkriminellen nutzt nach wie vor die Gutgläubigkeit der Menschen aus. Gleichzeitig sind geschulte Mitarbeiter ein entscheidender Abwehrmechanismus, wie die Umfrageergebnisse zeigen. Bei rund 80 Prozent der Unternehmen, sowohl bei KMUs als auch großen Unternehmen wurden Angriffe durch die eigenen Mitarbeiter festgestellt.

Dieser Umstand führt bei Familienunternehmen zu einem falschen Sicherheitsgefühl in puncto Awareness-Bildung. Während im Schnitt 41 Prozent der österreichischen Unternehmen angeben, nach einem Cyberangriff in die Ausbildung der Mitarbeiter investiert zu haben, ist dies bei Familienunternehmen nur zu 29 Prozent der Fall.

Ein Vorteil für KMUs sind die Nähe sowie das Vertrauen zu ihren Kunden und Lieferanten. 26 Prozent der Familienunternehmen geben an, durch ihre Kunden auf einen Angriff aufmerksam geworden zu sein und immerhin elf Prozent sagen dies über ihre Lieferanten. Im allgemeinen Schnitt bewegen sich diese Werte lediglich bei zehn Prozent bzw vier Prozent. Dieses Vertrauen macht sich beim Thema 3rd Party Risk bemerkbar. Immerhin 26 Prozent der Familienbetriebe sind sich sicher, dass ihre Lieferanten ausreichende Sicherheitsmaßnahmen treffen – dennoch sind regelmäßige Kontrollen unerlässlich.

„Wenn Geld keine Rollen spielen würde, gegen welche Top 3-Bedrohungen würden Sie sich schützen?“ Die drei häufigsten Antworten bei Familienunternehmen waren Cryptolocker/Ransomware (60 Prozent), Data Leakage (46 Prozent) und Computerviren bzw Schadsoftware (44 Prozent). Während im Schnitt an vierter Stelle von Unternehmen staatlich oder staatlich unterstützte Angriffe (APTs) genannt werden (28 Prozent), ist dies nur bei 18 Prozent der KMUs der Fall. Hier herrscht offenbar eine unterschiedliche Wahrnehmung der Bedrohung. Das belegt auch die Tatsache, dass sich für 71 Prozent der familiengeführten Unternehmen die Bedeutung dieser Angriffsart im letzten Jahr nicht verändert hat, während das im Schnitt nur bei der Hälfte der Unternehmen der Fall ist.

Ein Großteil der Unternehmen wünscht sich mit 80 Prozent eine verstärkte Unterstützung durch den Staat: 90 Prozent wollen eine staatliche Stelle, die sich ausschließlich mit Cyber Security auseinandersetzt.

Die Ergebnisse der Studie zeigen, dass es in puncto Vorbereitung auf den Tag X noch Handlungsbedarf gibt. Dafür hat die Hälfte der familiengeführten Betriebe (52 Prozent) technische und organisatorische Maßnahmen definiert. 36 Prozent haben einen Krisenstab eingerichtet, der im Fall einer Attacke aktiv wird, fast so viele (34 Prozent) greifen am Tag X auf das Know-how externer Berater zurück, die im Angriffsfall unterstützen und 27 Prozent der Familienunternehmen erproben Notfallpläne. Lediglich 37 Prozent der Unternehmen bereiten sich mit einer Betriebsausfallversicherung auf die finanziellen Folgen eines Cyberangriffs vor.

Die gute Nachricht: Der Großteil der heimischen Familienunternehmen fühlt sich im Fall eines Angriffes gut vorbereitet: 85 Prozent vertrauen den eigenen Cyber Security-Schutzmaßnahmen. Komplizierter wird es hingegen, wenn man einen Blick darauf wirft, auf welche Stufe von Angreifern die Maßnahmen der Unternehmen ihrer Meinung nach abzielen. Im Schnitt gibt beinahe die Hälfte der österreichischen Unternehmen (45 Prozent) an, mit geplanten Sicherheitsmaßnahmen organisierte kriminelle Gruppen (Stufe 4) adressieren zu wollen. Vergleicht man das hingegen mit den von ihnen tatsächlich getroffenen Maßnahmen, lässt sich für einen großen Teil der Unternehmen eine falsche Selbsteinschätzung feststellen, denn ihre Maßnahmen adressieren vorrangig Verbrechergruppen und Hacktivisten (Gruppe 3). Realistischer sieht es jedes dritte KMU: 39 Prozent geben an, mit ihren geplanten Schutzmaßnahmen Verbrechergruppen und Hacktivisten (Gruppe 3) zu adressieren.

Wer sich schützen will, muss umdenken, die Devise muss lauten: Weg von reaktiven, hin zu proaktiven Strategien und Denkweisen. Es ist heute keine Frage mehr, ob man angegriffen wird, sondern nur, wann es einen trifft und wie man darauf vorbereitet ist. Wichtig ist, einen Angriff schnell zu erkennen und entsprechend rasch darauf reagieren zu können. Natürlich gibt es keinen 100-prozentigen Schutz, weder in der echten noch der virtuellen Welt, doch das Rad muss am Laufen gehalten werden. Unternehmen müssen die Widerstandsfähigkeit der Geschäftsprozesse sicherstellen, die in einer immer komplexeren Umgebung stattfinden.

Lesen Sie alle Ergebnisse im Detail in unserer Cyber Security-Studie