Laut der aktuellen Cyber Security Studie der Prüfungs- und Beratungsgesellschaft KPMG und dem Kuratorium Sicheres Österreich steigt zwar die Sensibilität der Unternehmen gegenüber Gefahren aus dem Internet, allein es fehlt an entsprechenden Gegenstrategien.
Zwei von drei der 342 in ganz Österreich befragten Betriebe meldeten 2019, Opfer einer Cyber-Attacke geworden zu sein. 2016 waren es noch 49 Prozent gewesen, berichtete KPMG-Experte Robert Lamprecht bei einer Veranstaltung von KPMG und IV Kärnten Ende Mai in Klagenfurt. Daraus liest man einerseits steigende Gefahr, andererseits aber auch zunehmende Sensibilität den Bedrohungsszenarien gegenüber. Aber reicht das? Denn über eines waren sich die Experten an diesem Abend einig: eigentlich hätten 100 Prozent der Unternehmen antworten müssen, sie wären schon über das Netz attackiert worden. Noch immer ist es nämlich völlig unklar, was man unter einer Cyberattacke zu verstehen hat: Geht es nur um ein offensichtlich ungeschickt formuliertes Phishing-Mail, das selbst der unroutinierteste Mitarbeiter als solches identifiziert und ohne Meldung sofort löscht, oder geht es um raffiniert getarnte Ransomware, die das gesamte Computersystem des Unternehmens verschlüsselt, um so Lösegeld zu erpressen.
Risikopläne nötig
Lamprecht spricht es offen an: viele Unternehmen verschweigen immer noch, dass sie Opfer von Cyber Attacken wurden. Immerhin 33 Prozent haben laut Umfrage öffentliche Stellen darüber informiert. Birgit Kattnig vom IT-Dienstleister Atos plädiert daher für einen strategischen Umgang mit dem Thema, für entsprechende Risikopläne, organisatorische, personelle und technische Maßnahmen. Anton Hainig vom Raiffeisen-Rechenzentrum in Klagenfurt ist sich natürlich im Klaren darüber, dass der Finanzsektor höhere Maßstäbe anlegen muss, als andere Branchen. In Österreich gelten strenge regulatorische Vorgaben. Die Finanzmarktaufsicht hat einen Leitfaden herausgegeben, dazu kommen jede Menge Zertifizierungen. Raiffeisen hat zwei „redundante“ Rechenzentrumsstandorte, die jederzeit für einander einspringen können. Dazu kommen selbstlernende „KI“-Systeme, die sich ständig an neue Bedrohungsszenarien anpassen.
IT-Sicherheit kostet Geld
Das alles kostet viel Geld und braucht personelle Ressourcen. Gerade IT-Experten sind im Augenblick ganz schwer zu finden, bestätigten die Teilnehmer. Die Personalverantwortlichen stehen bei Unis und Fachhochschulen mit einschlägigem Angebot Schlange. Eigentlich müsste man mit dem Thema schon in die Volksschulen gehen, sagt Lamprecht – nicht nur wegen der beruflichen Perspektiven, sondern auch wegen der Sensibilisierung für den Umgang mit dem Internet. Viele Betriebe kommen mit der Weiterbildung ihrer Mitarbeiter kaum noch nach.
Für die Industrie wird das Thema mit der fortschreitenden Digitalisierung und dem Internet of Things zur riesigen Herausforderung. Gerade in der Produktion sind oft noch alte Betriebssysteme wie etwa Windows XP, die von Microsoft nicht mehr unterstützt werden und daher entsprechende Sicherheitslücken aufweisen, im Einsatz. Dass immer mehr Software-Anbieter inzwischen ihre Produkte nur noch über Cloudlösungen anbieten, bringt die IT-Sicherheitsexperten der Betriebe ordentlich ins Schwitzen. Da tun sich immer neue Sicherheitslücken auf. Die zunehmende Vernetzung mit Lieferanten und Kunden sehen sie auch mit Argusaugen. Audits sind hier noch ebenso wenig verbreitet wie ein entsprechender Versicherungsschutz. Viel ist noch zu tun, bis Cyber Security integraler und selbstverständlicher Bestandteil der Unternehmenskultur wird.
Link zur KPMG-Studie Cyber Security in Österreich hier