Die digitale Transformation ist einer der wichtigsten aktuellen Trends in der Wirtschaft. In diesem Zusammenhang hat sich Cybersicherheit zu einem entscheidenden Faktor für den Erfolg von Unternehmen aller Größen entwickelt. Ob kleines Start-up, KMU oder multinationaler Konzern: alle sind von der zunehmenden Komplexität und den raffinierten Angriffsmethoden Cyberkrimineller betroffen. Unternehmen müssen deshalb geeignete Maßnahmen zum Schutz vor Cyberbedrohungen setzen. Oft werden traditionelle Sicherheitsansätze dabei den modernen Anforderungen und neuen Rahmenbedingungen nicht mehr gerecht. Mit dem Sicherheitskonzept Zero Trust können Unternehmen unabhängig von ihrer Größe Cyberrisiken zeitgemäß und proaktiv managen.
Reales Risiko für alle Unternehmensgrößen
Ransomware-Angriffe, bei denen versucht wird, wichtige Daten zu verschlüsseln, gehören für österreichische Unternehmen unabhängig von ihrer Größe zum Alltag. Ebenso erfolgen gezielte Angriffe auf sensible Datenbanken. Die Häufigkeit und Vielfalt der Attacken zeigt dabei: Die Methoden im Bereich Cyber Crime werden immer ausgeklügelter und niemand ist immun gegen die Bedrohungen. Gleichzeitig hat das Bewusstsein hinsichtlich Cybersicherheit in Unternehmen durch die strengeren Vorschriften und die neue EU-Gesetzgebung wie NIS 2, AI Act, DSGVO, DORA und Cyber Resilience Act deutlich zugenommen. Diese Regulatorien spielen eine wichtige Rolle in der Sicherstellung der Cyberresilienz und betreffen auch mittelständische Unternehmen. So können etwa auch kleine Unternehmen durch die Lieferkette und Unternehmen in wesentlich und wichtig eingestuften Branchen ab 50 Mitarbeiter*innen von der NIS 2 (Netz- und Informationssicherheitsrichtlinie der EU), die am 17. Oktober 2024 in Kraft tritt, betroffen sein. Die DSGVO andererseits gilt auch für kleine Unternehmen, die personenbezogene Daten von Kund*innen und Mitarbeiter*innen verarbeiten. Insgesamt adressiert die Cybersicherheitsgesetzgebung der EU kleine und mittelständische Unternehmen, angemessene Sicherheitsmaßnahmen zu implementieren, um ihre Daten zu schützen, die Lieferkette sicher zu gestalten und sich vor Cyberangriffen zu verteidigen.
Finanzielle und Reputationsschäden: langfristige Auswirkungen
Cyberangriffe können große finanzielle Schäden verursachen. Darüber hinaus können der Ruf und das Vertrauen eines Unternehmens irreparabel beschädigt werden, wenn sensible Daten von Kund*innen oder Geschäftspartner*innen kompromittiert werden. Regulatorische Strafen und rechtliche Konsequenzen sind oft die Folge von Datenschutzverletzungen, was die finanzielle Belastung weiter verschärft. Die langfristigen Auswirkungen eines Cyberangriffs können die Existenz eines Unternehmens bedrohen. Dies gilt insbesondere für kleine oder mittelständische Betriebe, die möglicherweise nicht über die Ressourcen verfügen, um sich von einem schwerwiegenden Cyberangriff zu erholen.
Ransomware-Angriffe: eine zunehmende Bedrohung
Der von Deloitte durchgeführte Cyber Security Report 2024 zeigt die Entwicklung österreichischer Unternehmen im Bereich Cybersicherheit. Er macht einmal mehr deutlich, dass Ransomware-Angriffe nicht nur häufiger, sondern auch effizienter und professioneller geworden sind. Die Anzahl der Unternehmen, bei denen es noch nie zu einem Ransomware-Angriff gekommen ist, hat sich in den letzten beiden Jahren beinahe halbiert. Technische Infrastrukturmaßnahmen können die Verbreitung von Ransomware-Angriffen nur noch in 34 Prozent der Fälle verhindern. Besonders die erhöhte Cyber Security Awareness bei Mitarbeiter*innen hilft, Ransomware-Angriffe zu verhindern. Im Vergleich dazu lag die Erfolgsquote solcher Maßnahmen im Jahr 2022 noch bei 76 Prozent.
Ransomware-Angriffe werden zunehmend professioneller und dynamischer. Unternehmen, deren Daten infolge eines Angriffs verschlüsselt wurden, haben deutlich geringere Chancen, diese zu entschlüsseln oder über ein Backup wiederherzustellen als noch vor zwei Jahren. Während in den Jahren 2022 und 2023 noch in 37 bzw. 25 Prozent der Fälle die Daten entschlüsselt werden konnten, liegt diese Quote 2024 nur noch bei 17 Prozent. Ebenso ist die Erfolgsrate bei der Wiederherstellung von Daten durch Backups von 59 Prozent im Jahr 2022 und 41 Prozent im Jahr 2023 auf 28 Prozent in diesem Jahr gesunken. Diese Entwicklung zeigt auf, wie wichtig es ist, sich gegen solche Angriffe wirksam zu schützen.
Zero Trust: ein moderner CyberSicherheitsansatz
Da die technologischen Grundsysteme in Unternehmen zunehmend vernetzter werden, reicht ein herkömmlicher statischer Ansatz nicht mehr aus, um für Cyber-Sicherheit zu sorgen. Aus diesem Grund zählt Zero Trust mittlerweile zu den führenden Konzepten in diesem Bereich. Mit dem Ansatz können Unternehmen Cyber-Risiken proaktiv managen.
Das Motto des Sicherheitsansatzes Zero Trust lautet „Never trust, always verify“. Traditionelle Ansätze gehen davon aus, dass Benutzer*innen innerhalb des Netzwerks sicher und vertrauenswert sind. Im Gegensatz dazu wird beim Zero-Trust-Ansatz niemandem automatisch vertraut – jeder einzelne Datenzugriff wird verifiziert. Die Verifizierung ist unabhängig davon, ob der Zugriff intern oder extern erfolgt. Mit diesem Konzept kann Cyber-Sicherheit auch in einem modernen, dynamischen Umfeld sichergestellt werden. Gerade kleinere Betriebe können stark von diesem Ansatz profitieren, da vorhandene Personalressourcen optimal genutzt werden können. Bei der Umsetzung gibt es hier in Österreich noch viel Luft nach oben: Knapp die Hälfte der befragten Unternehmen hat noch nie von Zero Trust Security gehört.
AI in der CyberSicherheit: Chancen und Herausforderungen
Die Entwicklung von AI bietet Unternehmen fortschrittliche Analysefähigkeiten. Diese können helfen, potenzielle Bedrohungen frühzeitig zu erkennen und proaktiv darauf zu reagieren. Andererseits können Angriffe mittels AI automatisiert und getarnt werden. Dies stellt herkömmliche Sicherheitsmaßnahmen vor völlig neue Herausforderungen.
Derzeit steht beim Thema AI für viele Unternehmen der Nutzen als praktisches Werkzeug im Vordergrund. Allerdings bringen viele damit auch Cyberrisiken in Verbindung. Die im Rahmen des Cyber Security Reports befragten Unternehmen sehen die Gefahr vor allem beim automatischen Erstellen von Phishing-E-Mails und Generieren von Deep Fakes, also Stimm- und Videoanimationen, die betrügerisch eingesetzt werden können. Als weitere Gefahren werden das Finden von Schwachstellen in Sicherheitssystemen oder auch das mangelnde Sicherheitsbewusstsein von Mitarbeiter*innen, das zu Datenlecks führen kann, identifiziert.
Fazit: Jetzt handeln!
Die digitale Vernetzung und die Nutzung von neuen Technologien schreiten laufend voran. Dadurch werden Cyberbedrohungen auch in Zukunft weiter zunehmen. Gleichzeitig bieten technologische Innovationen wie AI und maschinelles Lernen neue Möglichkeiten, sich gegen Cyberangriffe zu verteidigen. Dadurch wird es unerlässlich, dass Unternehmen Cybersicherheit als integralen Bestandteil ihrer Geschäftsstrategie betrachten.
Um mit den sich ständig verändernden Bedrohungen Schritt zu halten, müssen sie weiter in die Entwicklung und Implementierung fortschrittlicher Sicherheitslösungen investieren. Dazu gehören technische Sicherheitsmaßnahmen wie Firewalls und Antivirensoftware, aber auch die Förderung einer Sicherheitskultur innerhalb des Unternehmens. Mitarbeiter*innen müssen regelmäßig geschult werden, um sie für die Gefahren von Cyberangriffen zu sensibilisieren. Nur so werden sie in der Lage sein, verdächtige Aktivitäten zu erkennen und zu melden. Darüber hinaus müssen Unternehmen auch in die Entwicklung und Umsetzung eines umfassenden Incident-Response-Plans investieren, um im Falle eines Angriffs schnell und effektiv reagieren zu können. Und bitte nicht vergessen: Cyberbedrohungen betreffen auch klein- und mittelständische Unternehmen. Denn auch sie sind auf die Sicherheit ihrer Daten, auf Vertraulichkeit, Integrität und Verfügbarkeit der Informationen angewiesen.
Text: Georg Schwondra, Partner & Cyber-Experte, Deloitte Risk Advisory