Mehr Souveränität bei Cyber Crime

Fachkräfte fehlen
Doch drei Viertel der Unternehmen (74 Prozent) haben KPMG zufolge Schwierigkeiten beim Rekrutieren von IT-Experten. 43 Prozent brauchen vier bis sechs Monate, um offene Stellen zu besetzen. 40 Prozent werben aktiv Sicherheitsexperten anderer Unternehmen ab. 26 Prozent rekrutieren IT-Experten im Ausland. Robert Lamprecht, KPMG Director und Autor der Studie, rät: „Wenn Sie gute IT-Security-Experten haben, sollten sie diese halten, denn Ihre Konkurrenz macht ihnen wahrscheinlich gerade ein gutes Angebot.“
Gerald Kortschak vom Fachverband UBIT sagt dazu: „Natürlich macht uns auch hier der Mangel an qualifiziertem Personal zu schaffen, doch steuern die Wirtschaftskammern bereits gegen.“ Er verweist etwa auf die Cyber-Security-Hotline (www.cys.at) der Wirtschaftskammern, eine „Cyber-Feuerwehr“ für Erstmaßnahmen. In den aktuell schwierigen Zeiten stünden speziell KMU vor finanziellen Herausforderungen, denn die Wartung und der Betrieb sowie die laufende Überprüfung der IT-Security-Systeme kostet: „Im wirtschaftlichen Überlebenskampf kommt die IT-Security leider immer wieder zu kurz. Das kann sich für Firmen als Bumerang erweisen.“ Kortschak plädiert für einen Ausbau der Förderangebote. 42 Prozent der Unternehmen helfen sich laut KPMG bereits selbst, indem sie Quereinsteiger anstellen und selbst ausbilden.

Übersehene Gefahren
Dass mehr in IT Security investiert wird, ist darauf zurückzuführen, dass Angriffe und Gefahren zunehmen. So ist etwa laut KPMG-Studie jedes fünfte Unternehmen von fortgeschrittenen andauernden Bedrohungen (APTs) betroffen. Auch die Angriffe durch staatlich unterstützte Akteure haben an Bedeutung gewonnen, konkret für 52 Prozent – und das, obwohl die Befragung kurz vor Beginn des Kriegs in der Ukraine durchgeführt wurde.
Leider mangelt es oft beim Risikomanagement. Deloitte zufolge weist nur jedes fünfte österreichische Unternehmen mit mehr als 50 Mitarbeitern einen Krisen- bzw. Notfallplan im Fall einer Ransomware-Attacke auf. Dazu passt eine Zahl von KPMG, der zufolge für jedes zweite Unternehmen Ransomware-Attacken eine besondere Herausforderung darstellen. Dabei wurden Deloitte zufolge bereits 18 Prozent der Unternehmen ab 50 Mitarbeitern schon einmal Opfer eines Ransomware-Angriffs. Die Schäden können erheblich sein: So schätzen die befragten Mittel- und Großunternehmen den finanziellen Schaden durch einen einwöchigen Ausfall ihres IT-Systems auf durchschnittlich 1,2 Millionen Euro – vom Imageschaden ganz zu schweigen.
Dazu sagt Peter Völkl, Leiter des Studiengangs Wirtschaftsinformatik an der Ferdinand Porsche FernFH und Experte für Informationssicherheit und IT-Sicherheit: „Grundlage jedes Informationssicherheitsmanagements ist ein funktionierendes IT-Risikomanagement. Dazu gehören entsprechende Risikoanalysen, die auf den Geschäftsprozessen basieren.“ Unternehmen müssten sich der kritischen Prozesse im Unternehmen bewusst sein und Maßnahmen treffen, um diese zu schützen. Er betont, dass die Gefahren hier nicht nur von außen kommen: „Dabei geht es auch um die Beachtung von Risiken im Bereich der Verfügbarkeit und Integrität der Systeme und Daten.“ Aktuell stünde meist die User-Sicht und nicht die Systemsicht im Vordergrund: Es gebe viele Methoden und Frameworks zum Schutz von Usern, jedoch nur wenig zum Schutz der Systeme vor Missbrauch des Zugangs durch berechtigte Anwenderinnen und Anwender: Ein Beispiel dafür seien Online-Prüfungen und damit verbundene Risiken durch eine mögliche Weitergabe von Login-Daten und den Einsatz unerlaubter Hilfsmittel und Kollaboration.
Gerald Kortschak, UBIT, sagt: „Wichtigstes To-Do für die Unternehmen wäre die Überprüfung ihrer Prozesse für den Worst Case. Was wird getan, wenn ein Angriff stattfindet, wie überlebt das Unternehmen diese Phase und wie kann es danach den Betrieb wieder aufnehmen?“ Für dieses Konsequenzenmanagement gebe es Spezialisten, die Unternehmen zeigen können, wie sie durch Hilfe zur Selbsthilfe ohne zusätzliche Investitionen das Beste aus dem Vorhandenen machen können.