"Jeder sperrt die Haustür ab, warum nicht auch den PC?"

Bild: Cisco/APA-Fotoservice/Tanzer
Für Aufsehen sorgt eine aktuelle Studie von Cisco Austria über die IT-Sicherheit in Österreichs Unternehmen. Die Mehrheit sorgt sich nicht über einen Cybersecurity-Angriff, aber ein Drittel hatte durch ein Schadprogramm schon einen Systemausfall, ein Fünftel gar einen Datenverlust. Und: Obwohl die Geschäftsführung für Schäden haftet, macht nur die Hälfte der Unternehmen in Österreich IT zur Chefsache.
Für Aufsehen sorgt eine aktuelle Studie von Cisco Austria über die IT-Sicherheit in Österreichs Unternehmen. Die Mehrheit sorgt sich nicht über einen Cybersecurity-Angriff, aber ein Drittel hatte durch ein Schadprogramm schon einen Systemausfall, ein Fünftel gar einen Datenverlust. Und: Obwohl die Geschäftsführung für Schäden haftet, macht nur die Hälfte der Unternehmen in Österreich IT zur Chefsache.

"In Österreich wird das Thema noch nicht so wahrgenommen, wie es nötig wäre. Jeder sperrt seine Haustüre ab, hat einen Zaun um den Garten. Bei IT ist das aber nicht so, das Thema hat viele überollt", so Achim Kaspar, General Manager bei Cisco Austria. 250 Führungskräfte heimischer Unternehmen wurden in der neuen IT-Studie befragt, mit teils überraschenden, teils erschreckenden Ergebnissen.

Zuerst jedoch das wenig Überraschende: 87 Prozent fühlen sich zumindest "ausreichend" über IT-Sicherheit informiert, 84 Prozent "ausreichend" gerüstet. Demgegenüber gab aber nur ein Drittel (36 Prozent) an, noch nie ein IT-Sicherheitsproblem gehabt zu haben. Ebenso hatte ein Drittel durch einen IT-Angriff bereits einen Ausfall oder gar einen Datenverlust. "Es gibt eine Diskrepanz zwischen faktischem IT-Sicherheitsvorfällen und subjektivem Sicherheitsgefühl", attestiert Kaspar.

Schweigen als Problem

Bedenklich ist, dass Sicherheitsvorfälle in Unternehmen kaum gemeldet werden, nur in acht Prozent der Angriffe war dies der Fall. "Viele wissen nicht einmal, dass sie gehackt wurden", so Kaspar. Der andere Grund, warum Angriffe kaum der Polizei gemeldet werden, sei der Angst vor einem Imageschaden. ""Es braucht eine Möglichkeit, Fälle zu melden, ohne dass der Fall bekannt wird. Auch im digitalen bereich muss die Strafverfolgung funktionieren", so Kaspar. Er spricht sich in diesem Zusammenhang für eine Meldepflicht mit strikter Geheimhaltung und Verschwiegenheitspflicht der Behörden aus.

Cisco beleuchtet in der Studie auch einen IT-Bereich, der in heimischen Unternehmen kaum beachtet wird: die IT-Sicherheit bei Lieferanten und Unternehmenspartnern. Mehr als zwei Drittel (68 Prozent) erheben nicht, wie es um die Datensicherheit bei ihren Kooperationspartnern steht. Ebenso würden Mobil- und Privatgeräte der Mitarbeiter, die im beruflichen Netzwerk genützt werden, kaum gesichert.

Viele scheuen noch immer die Kosten

Warum IT-Sicherheit in Österreich noch immer hinkt, könnte auch an dem Verständnis davon liegen. Als größtes Hindernis geben die Unternehmer die Kosten, aber auch den Zeitaufwand an. Kaspar: "Viele sehen es noch immer nach dem Motto 'Technik muss funktionieren, möglichst billig'. Angriffe und vor allem Ransomware (sperrt den Computer und verlangt 'Lösegeld", Anm.) werden rapide ansteigen. Was viele nicht bedenken: Bei einem Update steht der Computer drei Minuten, ist das System befallen, steht die Produktivität aber bei Null. Und wenn ich ein Rad habe und kein Radschloss kaufen will, weil es zu teuer ist, dann ist halt irgendwann das Rad weg."

Auch zwischen der Einstellung der Unternehmen und der realen Umsetzung herrscht in Österreich Diskrepanz. Zwar bescheinigen die Führungskräfte, dass IT-Sicherheit wichtig für die Vertrauenswürdigkeit und den Erfolg eines Unternehmens ist, setzen sie aber wegen "Budgetrestriktionen" (32 Prozent) und "Zeitmangel" (27 Prozent) kaum um. Ebenso macht nur die Hälfte der Geschäftsführer IT zur Chefsache. Fatal, denn sind Kundendaten weg oder ist ein Schaden entstanden, haften die Geschäftsführer dafür.

Was kann man tun?

Bei Cisco sieht man vor allem die Erpresservariante Ransomware als jenen Zweig, der Österreich noch intensiv treffen wird. Dabei laden Nutzer einen schadhaften Anhang im Mailverkehr herunter oder klicken im Netz auf einen schadhaften Link oder eine infizierte Werbung. In beiden Fällen sind die Daten verschlüsselt, wenn nicht gar weg. Der Nutzer wird dann zu Lösegeldzahlungen aufgefordert. Eine Anzeige sollte die Folge sein, viele zahlen aber aus Angst vor Prestigeschäden, bleiben aber den Erpressern meist weiter ausgeliefert.

Bei Privatanwendern sollte man Backups sichern und damit eine Wiederherstellungsmöglichkeit schaffen. Bei Unternehmen ist es aber dringlicher, einen Angriff von Vorneherein zu verhindern. Cisco empfiehlt dazu fünf Schritte: Netzwerke patchen, überwachen und upgraden - einen umfassenden IT-Architekturansatz statt Einzellösungen nutzen - die Zeit bis zur Entdeckung eines Angriffs messen - mobile Systeme ebenso wie das Firmennetzwerk absichern - Sicherungskopien nicht dauerhaft mit dem System verbinden. Wichtig sei laut Kaspar auch, dass Angriffe vermehrt gemeldet werden, damit sich die öffentliche Hand "ein klares Bedrohungsbild zeichnen" könne. Unternehmen dürften aber auch nicht mehr nach dem Muster agieren, dass man sich solange sicher fühle, bis man tatsächlich betroffen ist.

Nav-AccountCreated with Sketch. heute.at TimeCreated with Sketch.| Akt:

ThemaCreated with Sketch.Weiterlesen