Das Thema Cyber Security hat sich in den letzten Jahren immer mehr in den österreichischen Unternehmen etabliert. Insgesamt überwiegt bei den Betrieben das Sicherheitsgefühl – auch in Zeiten von COVID-19. Dieses Gefühl der Sicherheit ist aber trügerisch. So setzen viele heimische Betriebe erst im Ernstfall konkrete Maßnahmen. Das ergibt eine neue Studie von Deloitte und SORA.
Der Großteil der österreichischen Unternehmen bewertet die eigenen Daten- und Informationssicherheitssysteme als sicher. Zu diesem Ergebnis kommt der diesjährige Cyber Security Report von Deloitte Österreich und dem Forschungsinstitut SORA, für den Anfang des Jahres 535 Entscheidungsträger aus dem Unternehmensbereich IT und Datenschutz befragt wurden.
An diesem hohen Sicherheitsgefühl hat auch die Ausbreitung von COVID-19 wenig geändert, wie eine zusätzliche Kurzumfrage von Deloitte unter 114 Unternehmensvertretern im Mai 2020 bestätigt: Ganze 60 % bewerten ihre Daten- und IT-Systeme auch aktuell als absolut bis sehr sicher. Das höhere Aufkommen von Home Office meistern die Unternehmen also besser als gedacht. Doch passen Selbstwahrnehmung und tatsächliche Sicherheit zusammen?
„Die Unternehmen zeigten sich zu beiden Befragungszeitpunkten größtenteils selbstbewusst. Laut SORA-Befragung ist Daten- und Informationssicherheit jedoch für fast ein Viertel nach wie vor nur ein Nischenthema. Vor allem die Baubranche ist hier schlecht aufgestellt – da besteht dringender Handlungsbedarf, wie jüngste Beispiele für Cyber-Angriffe zeigen“, analysiert Alexander Ruzicka, Partner bei Deloitte Österreich.
Selbstbewusstsein versus Selbstüberschätzung
Drei Viertel der Unternehmen fühlen sich laut SORA-Umfrage gut über Gefahren und Schutzmaßnahmen informiert. Ganze 53 % sind jedoch überfordert, wenn es um die Absicherung gegen mögliche digitale Gefahren geht. 16 % wissen gar nicht, wie sie bei einem Angriff reagieren sollen. Fast ein Drittel der Befragten ist außerdem der Meinung, dass es ohnehin keinen hundertprozentigen Schutz gibt – und befassen sich deshalb erst mit entsprechenden Maßnahmen, wenn es zu Vorfällen kommt.
„Präventive Maßnahmen sind das A und O einer wirklich funktionierenden Cyber Security. Wer nicht im Vorfeld entsprechende Vorkehrungen trifft, geht ein unnötiges Risiko ein. Gerade in der aktuellen Situation durch COVID-19 ist es außerdem wahrscheinlicher, dass Cyber-Angriffe erfolgreich sind. Denn durch das erhöhte Aufkommen von Home Office und den Einsatz von neuer Software werden Mitarbeiter leichter zu Opfern von Angriffen. Das darf nicht unterschätzt werden“, warnt Andreas Niederbacher, Senior Manager bei Deloitte Österreich.
Sicherheit trotz Home Office
Ein Blick auf potenziell gefährliche Praktiken in Unternehmen zeigt: Die externe Datenspeicherung (41 %) sowie der externe Datenzugriff (37 %) waren Anfang 2020 doch in einigen Unternehmen üblich. Die Nutzung von privaten Geräten für berufliche Zwecke war in 20 % der befragten Betriebe Usus. Doch wie hat sich das nach der COVID-19-bedingten großflächigen Umstellung auf Home Office entwickelt?
Die Ergebnisse der Kurzumfrage vom Mai 2020 zeigen: Die Nutzung privater Geräte für berufliche Zwecke hat immerhin bei fast der Hälfte der Befragten eher zugenommen. Dementsprechend geben 61 % an, dass der „Risikofaktor Mensch“ in der derzeitigen Situation noch kritischer geworden ist. Gleichzeitig sind aber 91 % überzeugt, dass die unternehmenseigenen Informationssicherheitssysteme gut für die Heimarbeit aufgestellt sind. Abstriche bei der Cyber Security mussten laut eigenen Angaben die wenigsten machen und ein verstärktes Auftreten von Sicherheitslücken wurde eher selten beobachtet.
„Die Effektivität eines Daten- und Informationssicherheitssystems steht und fällt mit den Mitarbeitern. Wenn hier zu wenig Bewusstsein herrscht, kann ein Unternehmen in seiner IT-Architektur noch so gut aufgestellt sein – man wird früher oder später dennoch mit Vorfällen rechnen müssen“, gibt Andreas Niederbacher zu bedenken.
Maßnahmen bewusst setzen
Die Bedeutung der Mitarbeiter wurde von den meisten Unternehmen erkannt und spiegelt sich auch in den Maßnahmen zur Bewältigung der neuen Arbeitsbedingungen wider: Laut Umfrage sind Mitarbeiterschulungen (46 %) sowie entsprechende Awareness-Kampagnen (43 %) gerade hoch im Kurs. Wie die Befragung im Jänner gezeigt hat, orientieren sich die Befragten bei den Maßnahmen oftmals an ihrem Umfeld. Fast die Hälfte gibt an, dass der Einsatz von gewissen Maßnahmen State of the Art und damit einfach üblich ist. Viele wollen auch einem etablierten Branchenstandard gerecht werden.
„Das Thema Cyber Security muss für jedes Unternehmen individuell betrachtet werden und lässt sich nicht einfach mit ein paar Standardlösungen abhaken. Je eher ein Unternehmen das verstanden hat, desto sicherer sind dessen IT-Systeme im Endeffekt auch“, erklärt Alexander Ruzicka abschließend.