Die Covid-19-Pandemie, die geopolitischen Konflikte in Europa, die Energie- und Klimakrise sowie die daraus resultierende Inflation – sie alle spielen zusammen und ihre negativen Auswirkungen multiplizieren sich. Das öffnet auch Angreifer:innen Tür und Tor in die Systeme der Unternehmen. Das Erschütternde dabei: Gegenüber letztem Jahr haben wir eine Zunahme der Cyberangriffe um 201 Prozent.
In der Cyberwelt macht sich eine gewisse Hektik breit, denn es gibt einen generellen Trend dahingehend, dass wieder mehr Betrug stattfindet. Die Technik wurde in den letzten Jahren immer weiter verbessert und bietet hier Schutzmöglichkeiten. Sie muss so aufgestellt sein, dass sie den Angreifer:innen standhalten kann. Auch organisatorisch müssen Unternehmen sich so aufstellen, dass sie hier mitziehen können. Jetzt schwingt das Pendel allerdings wieder zurück und die Menschen werden zum schwächsten Glied in der Kette: Die Angriffe verlagern sich mehr und mehr auf die Mitarbeiter:innen. Nicht nur, dass die Mitarbeiter:innen im Fokus der Angriffe stehen, sondern sie sind es auch, die hauptsächlich auf die Angriffe aufmerksam werden. Einmal mehr zeigt sich, dass Cybersecurity ein People‘s Business ist.
In den letzten zwölf Monaten war jedes der von uns befragten Unternehmen mindestens ein Mal Ziel eines Cyberangriffs. 100 Prozent haben in den letzten zwölf Monaten Phishing erlebt. 88 Prozent waren Business E-Mail Compromise oder CEO Fraud ausgesetzt. 57 Prozent haben Social-Engineering-Angriffe erlebt und 12 Prozent verzeichneten Angriffe auf die Lieferkette.
Anhand der Top 5 der Cyberangriffe, die die befragten Unternehmen erlebt haben, zeigt sich, wie sich die Angriffslage im Vergleich zum Vorjahr verändert hat:
- Platz 1: Das dominanteste Phänomen ist der Identitätsdiebstahl. Hier können drei verschiedene Ursachen dahinterstehen:
- Erstens wird zusammenhängend mit der gestiegenen Bedeutung von Social Engineering immer stärker versucht, Identitäten zu stehlen, um mit vergleichsweise geringem Aufwand direkten Zugriff auf Daten o. ä. zu erhalten.
- Die zweite Ursache liegt im Phänomen Ransomware, bei dem es auch zum Diebstahl von Identitäten kommt. Diese gelangen dann an die Öffentlichkeit. Das lädt Trittbrettfahrer:innen dazu ein, diese Daten missbräuchlich zu verwenden.
- Drittens ist hier noch die verstärkte Nutzung von Cloud(SaaS)-Lösungen zu erwähnen, die angegriffen werden. Im Zuge dessen werden Benutzer:innen- bzw. Kund:innendaten gestohlen.
- Platz 2: An zweiter Stelle unserer Top 5 befinden sich Advanced Persistent Threats (APTs). Diese sind auf die Zunahme geopolitischer Spannungen und Konflikte zurückzuführen sowie auf die gezielte Absicht von Nationalstaaten, geistiges Eigentum vom Mitbewerb zu stehlen bzw. Spionage zu betreiben.
- Platz 3: Insider Threat ist ein in der Vergangenheit unterschätztes Phänomen. In Zeiten wirtschaftlicher Herausforderungen und sozialer Spannungen ist es jedoch ein Phänomen, das mehr Aufmerksamkeit bedarf, weil Opportunist:innen hier ihre Chance ergreifen. Unternehmen investieren auch kaum in Tools zur Bekämpfung. Die veränderte Arbeitswelt weg von einem sehr stark kontrollierten Umfeld hin zur hybriden Arbeitswelt, in der noch keine passende Security-Antwort gefunden wurde, stellt auch einen Grund für die Veränderung dar. Auch die explosionsartige Zunahme von APIs (Application Programming Interfaces), die oft nachlässig oder unzureichend abgesichert werden und so eine Einladung für Angreifer:innen darstellen, müssen in diesem Zusammenhang erwähnt werden.
- Platz 4: Die Zunahme von Datendiebstahl (Data Breach) hängt mit den verstärkten Ransomware-Aktivitäten zusammen, was auch eine Form der Erpressung und des Druckaufbaus darstellt.
- Platz 5: Die Zunahme von Social Engineering unterstützt erneut die Aussage, dass der Mensch im Mittelpunkt steht. Es ist die einfachste Möglichkeit, ihn durch Manipulation bzw. Beeinflussung und Desinformation zu attackieren.
Veränderung der Angriffe von 2022-2023
Cyberangriffe verursachen bei österreichischen Unternehmen Schäden in Millionenhöhe: 12 Prozent der von uns Befragten erlitten einen finanziellen Schaden von mehr als 1 Million Euro durch Cyberangriffe. 47 Prozent hatten einen Schaden von bis zu 100.000 Euro. Cyberangriffe haben also massive finanzielle Auswirkungen. Damit verbunden sind auch erzwungene Betriebsunterbrechungen durch den Angriff: 14 Prozent hatten bei Ransomware eine Betriebsunterbrechung von vier Wochen oder mehr. 32 Prozent verzeichneten bei Ransomware eine Betriebsunterbrechung von immerhin noch einer Woche.
Wenn die Betriebsunterbrechung gelöst ist, kommen die Aufräumarbeiten. Diese sind auch noch mit vielen Kosten verbunden und nehmen viel Zeit für die Unternehmen in Anspruch. Aufräumarbeiten können sich über Wochen erstrecken. Meistens wird dann das gemacht, was vorher liegen gelassen wurde – und das zu einem äußerst ungünstigen Zeitpunkt. Es ist also ratsam, hier in Vorleistung zu gehen.
Anhand der Zahlen aus der Umfrage lässt sich ablesen, dass Unternehmen nicht sicherer geworden sind, aber dass sich mittlerweile alle an Cyberangriffe gewöhnt haben. Für 80 Prozent sind Phishing und CEO Fraud und für 75 Prozent DDoS (Denial of Service/Distributed Denial of Service-Attacken) mittlerweile normales Tagesgeschäft – also Themen, die noch vor ein paar Jahren als große Bedrohung empfunden wurden.
Woran man aber erkennt, dass die wahren Bedrohungen nicht einfacher, sondern ganz im Gegenteil anspruchsvoller geworden sind, unterstreichen wiederum diese Zahlen aus der Studie: Für 58 Prozent ist Ransomware eine besondere Herausforderung, für 57 Prozent der Insider Threat. Gegen diese Angriffsarten haben wir noch keine guten und wirksamen Mittel.
Einordnung der Bedrohung: Zwischen normalen Tagesgeschäft und besonderer Herausforderung
Unternehmen haben jetzt zwei Möglichkeiten, um diese Themen zu lösen: Die eine Möglichkeit ist Geld – in puncto Budget wissen wir, dass Unternehmen dieses im letzten Jahr und auch heuer wieder wesentlich erhöht haben. Die andere Möglichkeit sind die Menschen selbst.
Die Angriffe auf die kritische Infrastruktur werden immer zielgerichteter und komplexer. Für die Unternehmen wird es unerlässlich zu verstehen, wie vielschichtig diese Thematik ist. Denn die Auswirkungen sind nicht immer sofort klar erkennbar.
47 Prozent der von uns Befragten haben sich bereits mit dem Thema NIS2 beschäftigt. 42 Prozent sehen in diesem Zusammenhang die größten Herausforderungen bei der Absicherung der OT-Systeme (technische Integration veralteter OT-Technologie in moderne IT-Systeme). Bei 17 Prozent liegt die Verantwortung für Sicherheitsmaßnahmen von OT-Systemen derzeit sogar noch beim Hersteller oder Lieferanten.
Mit der NIS2 kommen viele Vorgaben auf Unternehmen zu – inklusive Strafen, die jenen der DSGVO entsprechen, denn die NIS-Themen überschneiden sich auch mit den DSGVO-Themen. Die NIS2 wird, wenn das österreichische Gesetz in Kraft tritt (laut aktuellem Zeitplan im Oktober 2024), eine Herausforderung für die heimischen Unternehmen werden und es wird einiges zu bedenken geben. 3.000–4.000 Unternehmen sind dann direkt von der NIS2 betroffen, zusätzlich auch noch deren Lieferanten und Partner – und damit so gut wie alle Unternehmen in Österreich.
Für die IT-Security in den Unternehmen bzw. externe IT-Security-Dienstleister:innen bedeutet das ebenfalls, dass viel Arbeit auf sie zukommt, wenn sie nicht mit Strafen rechnen wollen. Auch der Vorstand und die Geschäftsleitung müssen sich damit jetzt schon auseinandersetzen und Vorarbeiten in die Wege leiten.
Hybride Bedrohungen werden immer mehr zur Realität für Unternehmen in Österreich. Damit zusammenhängend halten die momentanen kriegerischen Auseinandersetzungen in Europa sowie Social Engineering, aber auch Ransomware-Angriffe die heimischen Unternehmen verstärkt auf Trab.
Durch Offenlegung der Vulkan Files wurde nachgewiesen, dass auch verstärkt Privatunternehmen mit den russischen Nachrichtendiensten zusammenarbeiten. Mit den Vulkan Leaks wurde nun endgültig geklärt, dass die Bedrohung durch staatliche oder staatlich unterstützte Akteur:innen keine Paranoia mehr von Einzelpersonen ist, sondern eine Realität, mit der wir uns alle auseinandersetzen müssen.
72 Prozent der von uns Befragten sehen staatliche oder staatlich unterstützte Angriffe als besondere Herausforderung an. Für 47 Prozent hat sich die emotionale Bedeutung von Cybersecurity durch den russischen Angriffskrieg auf die Ukraine verändert. Jedes dritte Unternehmen (33 Prozent) hat sogar Zusammenhänge zwischen dem Krieg in Europa und den Cyberangriffen auf das eigene Unternehmen festgestellt.
Wie stellen Unternehmen diesen Zusammenhang her? Zum einen aus technischer Sicht, wenn eine gewisse Schadsoftware erneut eingesetzt wird, oder gleiche bzw. ähnlich lautende E-Mail- oder IP-Adressen verwendet werden. Zum anderen, wenn sie im Ziel von einer der beiden Konfliktparteien stehen und ihre IT-Systeme durch DDoS-Angriffe ausgebremst werden. Ebenfalls wird es für sie merkbar, wenn nach ihrer Medienarbeit auf einmal die Anzahl der Angriffe rasant steigt. Aus der Cybersecurity-Studie wissen wir, dass jeder zehnte Angriff auf die Medienarbeit eines Unternehmens zurückzuführen ist.
Social Engineering wird von 63 Prozent mittlerweile als normales Tagesgeschäft eingestuft.
In welchem Kontext gab es in den letzten zwölf Monaten Versuche der Beeinflussung?
22 Prozent der Studienteilnehmer:innen waren auch bereits mit Deepfake-Angriffen konfrontiert. Auffällig an den Studienergebnissen ist auch, dass es bei jedem:r Vierten in privat genutzten sozialen Netzwerken schon zu Beeinflussungsversuchen gekommen ist. Bei sogar jedem:r Dritten wurden soziale Netzwerke, die beruflich genutzt werden, bereits angegriffen. Hier muss klar das Bewusstsein geschärft werden, dass wir auch über diese Kanäle angreifbar sind. Das Phänomen der sozialen Netzwerke und die Gefahren, die diese für Unternehmen bergen, sind keinesfalls zu unterschätzen.
Somit scheint es auch kein Zufall zu sein, dass unsere Studienteilnehmer:innen kurz vor Kriegsbeginn bzw. im weiteren Verlauf des Kriegs gezielte Angriffe gegen ihre Unternehmen und auch deren kritische Infrastruktur festgestellt haben. Und genau darum ist es auch wichtig, regelmäßig zu üben. In Österreich finden z. B. immer wieder Übungen für sowohl zivile als auch militärische Cyberexpert:innen statt, um für den Ernstfall zu trainieren.
Die Situation des Fachkräftemangels hat sich auch in Österreich im Vergleich zum Vorjahr verschlechtert. Wir laufen Gefahr, von einem Fachkräftemangel hin zu einem Arbeitskräftemangel zu gelangen. Die momentan schwierige Situation zeigt auch die Umfrage: 60 Prozent der Befragten hatten in den letzten zwölf Monaten große Herausforderungen bei der Rekrutierung von IT-Expert:innen. 43 Prozent suchen durchschnittlich 4–6 Monate nach geeignetem Personal. Cybersecurity-Abteilungen haben im Schnitt 10 Personen. Davon beträgt der Frauenanteil aktuell im Schnitt nur 13 Prozent.
Unsere Umfrage lässt auch eine deutliche Verschiebung und Öffnung des Arbeitsmarktes über die Grenzen Österreichs hinweg erkennen: Weniger als die Hälfte (45 Prozent) rekrutieren ihre IT-Expert:innen ausschließlich in Österreich. 21 Prozent sagen sogar, dass es leichter ist, IT-Expert:innen im europäischen Ausland anzuwerben. Rund jedes zehnte Unternehmen (12 Prozent) gibt an, dass IT-Expert:innen im Ausland im Homeoffice arbeiten dürfen. Unternehmen begeben sich zunehmend auf die Suche nach alternativen Möglichkeiten und neuen Modellen, um als Arbeitgeber attraktiver zu wirken und so dem Fachkräftemangel entgegenzuwirken.
Ausblick
Cybersicherheit ist mittlerweile zu einer wahren Existenzbedrohung für heimische Unternehmen geworden mit Schäden in Millionenhöhe. 55 Prozent der Befragten sagen, dass Cyberangriffe ihre geschäftliche Existenz bedrohen. 63 Prozent sind sogar der Ansicht, dass die Cyberangriffe gegen ihr Unternehmen in den nächsten zwölf Monaten zunehmen werden.
Jede:r dritte Befragte würde bevorzugt Security-Lösungen von österreichischen Unternehmen einsetzen. Daraus geht hervor, dass es einen österreichischen Wirtschaftsstandort für Security-Lösungen braucht. Zwar gibt es vereinzelt Leuchttürme in Österreich auf diesem Gebiet, aber international ist man hier noch zu schwach aufgestellt. Von der Förderung von Start-ups bis hin zur Stärkung der Technologiekompetenz muss noch einiges passieren. Die Politik hat hier einen klaren Auftrag und ist gefordert, die Appelle an sie zu hören und diese auch ernst zu nehmen.
All diese Ergebnisse werden unterstützt durch die Top 5 der Themen, mit denen sich Unternehmen beschäftigen und worin sie ihr Geld investieren wollen: Auf Platz eins ist mit 44 Prozent das Business Continuity Management (BCM). BCM ist zwar nicht neu, wird aber erst von wenigen Unternehmen umgesetzt. Hierbei muss man in der Lage sein zu bestimmen, was genau bei einem Vorfall passiert. Genau deshalb ist BCM aber auch relevant für strategische Entscheidungsträger:innen: Man muss das Gesamtsystem betrachten und wissen, von welchen Faktoren man als Unternehmen abhängig ist. Das ist ein klares Thema für die Geschäftsleitung.
End User Security & Awareness ist mit 36 Prozent auf dem zweiten Platz, gefolgt von Endpoint Detection & Response (29 Prozent), Identity & Access Management (24 Prozent) und 3rd Party Risk Management (23 Prozent).
Womit wollen sich Unternehmen in den kommenden zwölf Monaten beschäftigen?
Das Thema Awareness ist auch etwas, das die Medien betrifft. Man darf nicht müde werden, darüber zu berichten, wie Menschen angegriffen werden. All diese Bedrohungen müssen gezielt hinausgetragen werden, denn sie gehen gezielt gegen die Mitarbeiter:innen. Jetzt ist der Mensch im Visier. Diese Gefahr bewältigt man nur gemeinsam durch Sensibilisierung der Bevölkerung. Aber es gibt auch Hoffnung, denn, nachdem wieder der Mensch im Mittelpunkt der Angriffe steht, können – und müssen – wir alle einbinden. Man darf das Thema Cybersicherheit nicht zwangsweise auf die Expert:innenebene verschieben. Es gilt aufmerksam darauf zu achten, auf welche Arten aktuell betrogen wird und wie Social Engineering betrieben wird. Wir müssen darauf achten, ob das gerade im eigenen Unternehmen passiert. Dabei ist jede:r gefordert!
Die Aufgaben und Herausforderungen sind zahlreich, sie sind arbeitsintensiv und sie kosten Geld. Cybersecurity ist nur eines von vielen Themen, mit denen man sich auf der Geschäftsführungsebene beschäftigen muss. Der Klimawandel, die Teuerung etc. – sie alle sind zeitaufwendig und kosten Geld. Aber gerade auch deswegen sollten wir nicht in Hektik verfallen und dann womöglich auch noch das hart erarbeitete Geld Cyberkriminellen überlassen. Nur weil wir uns nicht ausreichend darum gekümmert haben, unsere Systeme zu schützen.
Anmerkungen:
Sämtliche Zahlen beruhen auf unserer Studie "Cybersecurity in Österreich 2023".
Der Artikel erschien in der Ausgabe 3/2023 des Magazins CFOaktuell.