Dass Cybersecurity Chefsache ist, ist bei uns noch nicht richtig angekommen. Sagt Georg Beham, Cybersecurity und Privacy Leader bei PwC Österreich.
Text: Hansjörg Preims
Sind alle Branchen potentielle Angriffsziele von Cybercrime?
Die großen Cyberangriffe der letzten 1 – 2 Jahre sind so genannte Ransomware-Angriffe, wo der Angreifer versucht, Daten eines Unternehmens zu verschlüsseln und sie gegen Lösegeld wieder zu entschlüsseln. Insofern können alle Branchen Ziel eines solchen Angriffs sein, insbesondere jene Unternehmen, die einen hohen Digitalisierungsgrad haben – je höher der Digitalisierungsgrad, umso anfälliger ist ein Unternehmen für solche Angriffe.
Wie gehen die Unternehmen mit dem Thema Cybersecurity um?
Wir befragen jedes Jahr im Zuge unserer Global CEO Survey über 5.000 CEOs von Unternehmen weltweit unter anderem zu den größten Risiken für ihren Unternehmenserfolg. Seit nunmehr zwei Jahren wird diese Liste von Cyberbedrohungen angeführt. In Österreich waren es vor zwei Jahren noch nur an die 25 % der befragten CEOs, die darin die größte Bedrohung sahen. Das heißt, das war noch eine Wahrnehmung von der „Insel der Seligen“. Das hat sich aber zuzletzt durch große prominente Cyberangriffe geändert, sprich: das Bewusstsein für Cyberbedrohungen ist auch bei uns angekommen. Mittlerweile sehen auch die österreichischen CEOs Cyberangriffe mit 64 % als die größte Bedrohung für Unternehmen.
Ist Cybersecurity Chefsache?
Ja, aber das ist bei uns noch nicht angekommen. Der österreichische CEO neigt noch dazu, das Thema Cybersicherheit an die IT zu delegieren und zu glauben, dem Problem sei damit Genüge getan. Tatsächlich ist das Problem aber nur zu einem Teil von der IT zu lösen, es ist auch ein Problem vom Vertrieb, von der gesamten Organisation oder auch von der Produktion, und somit ist es ein Thema für den Vorstand, der sich dieses Themas auch selber annehmen und sich ein eigenes Bild davon machen muss. Er muss sich immer wieder mit den verantwortlichen Personen darüber austauschen, er muss entsprechende Budget-Entscheidungen treffen und möglicherweise auch damit zusammenhängende Konflikte lösen. Da mangelt es in den österreichischen Unternehmen noch an entsprechendem Bewusstsein.
Die wichtigsten Präventionsmaßnahmen
Die Systeme auf dem Stand der Technik betreiben. Das heißt: Updates müssen überall, vom persönlichen Smartphone übers Notebook bis zu den Serversystemen, so schnell eingespielt werden, wie es möglich ist, um dem Angreifer einen zeitlichen Vorteil zu nehmen. Man muss sich zum Beispiel vorstellen: An dem Patchday von Microsoft, an dem Tag, an dem Microsoft seine Updates, wo auch Sicherheitsschwachstellen behoben werden, veröffentlicht – an diesem Tag sollten die Unternehmen diese Updates auch gleich einspielen. Denn was machen die Angreifer, die Cyberkriminellen, zu dem Zeitpunkt? Sie nehmen die Patches von Microsoft, machen Reverse Engineering und produzieren innerhalb kürzester Zeit Schadsoftware, die bei Unternehmen, die diese Patches nicht gleich einspielen, genau diese Sicherheitsschwachstellen ausnutzt. Eine der wichtigsten Präventivmaßnahmen ist also ein gutes Patch-Management, sprich: Updates möglichst zeitnahe einzuspielen. Eine weitere wichtige Maßnahme ist, die besonderen Berechtigungen bzw. die Administrator-Konten gut schützen und die Backups ransomware-sicher machen.
