Die geopolitischen Spannungen und die Einführung neuer AI-Technologien verschärfen die Cyber-Bedrohungslage weiter. Laut einer aktuellen Deloitte-Studie haben österreichische Unternehmen zwar ihre technische Infrastruktur verbessert und das Bewusstsein in der Belegschaft gestärkt, aber innovative Sicherheitsstrategien wie Zero Trust finden kaum Anwendung. Auch eine ständige Anpassung des Budgets an neue Risiken wird oft vernachlässigt.
Das Beratungsunternehmen Deloitte erhebt jährlich mit dem Forschungsinstitut Foresight den Status quo heimischer Betriebe zum Thema Cyber-Sicherheit. Für den aktuellen Report wurden im Jänner und Februar 350 Mittel- und Großunternehmen in Österreich befragt. „Wir führen mittels persönlicher telefonischer Interviews mit Führungskräften die größte repräsentative Umfrage zu diesem Thema in Österreich durch. Dadurch bekommen wir ein aussagekräftiges und aktuelles Bild über die Cyber-Bedrohungslage der Unternehmen“, so Christoph Hofinger, Geschäftsführer von Foresight.
Die Studie belegt: Cyber-Kriminelle agieren aggressiver denn je. So hat sich die Zahl der Unternehmen, die täglich von Ransomware-Attacken betroffen sind, von 2022 bis heute fast verdoppelt (von 12 Prozent auf 22 Prozent). Doch auch die Unternehmen blieben in den vergangenen Monaten nicht untätig: 56 Prozent können die Ausbreitung der Ransomware mittlerweile durch technische Infrastruktur-Maßnahmen verhindern. Zum Vergleich: 2024 waren es nur 37 Prozent.
„Die Analyse der Umfragedaten über die vergangenen Jahre hinweg macht deutlich, wie dynamisch das Umfeld ist. Vor allem das Aufkommen neuer Technologien wie AI ermöglicht Kriminellen eine noch aggressivere Vorgehensweise. 100.000 Angriffe pro Tag auf eine Organisation sind unserer Erfahrung nach keine Seltenheit mehr. Das bedeutet einen Angriff pro Sekunde“, erklärt Evrim Bakir, Managing Partnerin für Consulting bei Deloitte Österreich. „Doch es gibt auch gute Nachrichten: Die Unternehmen haben es mittlerweile geschafft, auf die sich ständig verändernde Bedrohungslage effektiver zu reagieren. Die Bewusstseinsbildung der letzten Jahre trägt jetzt Früchte.“
Weiterer Investitionswille gefragt
Die Unternehmen sollten sich aber keinesfalls auf ihren Lorbeeren ausruhen. Im Gegenteil: Die kontinuierliche Weiterentwicklung der digitalen Sicherheit ist das A und O, um der steigenden Professionalität der Angreifenden entgegenzuwirken. Und obwohl nach erfolgreichen Angriffen lediglich 20 Prozent der Befragten die Entschlüsselung der Daten gelingt und nur 33 Prozent die Daten mittels Back-ups wiederherstellen können, sieht ein Großteil der Unternehmen keinen Bedarf, in nächster Zeit ihre Security-Budgets zu erhöhen: Nur ein Drittel plant die Technikausgaben und lediglich ein Viertel die Personalausgaben aufzustocken.
„Die Unternehmen haben in den vergangenen Jahren viel in ihre Cyber-Sicherheit investiert. Ein kontinuierlicher Schwerpunkt war die Bewusstseinsbildung der Mitarbeitenden. Viele wiegen sich daher in falscher Sicherheit. Denn stagnierende Budgets reichen nicht aus, um eine effektive Abwehr zu garantieren. Die Unternehmen müssen dafür mehr Geld in die Hand nehmen“, betont Georg Schwondra, Partner im Bereich Cyber Risk.
Aufholbedarf bei Zero Trust
Handlungsbedarf gibt es auch im Zusammenhang mit neuen Sicherheitsstrategien. Zwar gewinnt der Zero-Trust-Ansatz, bei dem niemanden im Unternehmen automatisch vertraut, sondern jeder einzelne Datenzugriff verifiziert wird, an Bekanntheit. Von einem flächendeckenden Einsatz ist man aber weit entfernt.
„Zero Trust gehört zu den wichtigsten Konzepten in der Cyber Security, doch nur ein Viertel der Unternehmen hat diese Strategie im Einsatz und lediglich 14 Prozent wollen sie demnächst implementieren. Das sind erschreckend niedrige Zahlen, die sich dringend ändern müssen. Denn in einer dynamischen Bedrohungslandschaft können wir es uns nicht mehr leisten, blind zu vertrauen. Nur durch das ständige Verifizieren schaffen wir eine robuste Verteidigung“, so Georg Schwondra.
AI als zweischneidiges Schwert
Viel größer ist hingegen das Interesse der Unternehmen an den Potenzialen, die mit dem Fortschritt von AI einhergehen. So nutzt insgesamt knapp die Hälfte (45 Prozent) AI für die eigene Cyber Security, beispielsweise bei der Phishing-Erkennung (41 Prozent) oder der Bedrohungserkennung und -reaktion (33 Prozent). Gleichzeitig bereitet vielen Befragten vor allem generative AI derzeit Kopfzerbrechen. „Über ein Drittel der Befragten ist besorgt, dass durch GenAI sensible Unternehmensdaten an die Öffentlichkeit gelangen“, erläutert Evrim Bakir.
Und Georg Schwondra fügt abschließend hinzu: „Wir können davon ausgehen, dass die Verbindung von AI und einer angespannten geopolitischen Lage neue Bedrohungen hervorbringt, die sich noch weiter verschärfen werden. Wenn Unternehmen nicht nachjustieren, werden sie den Kampf gegen die Cyber-Kriminellen verlieren. Deshalb muss man mit den richtigen Strategien jetzt alles daransetzen, hier ein Unentschieden zu erzielen.“
(pi)
