BDO-Partner Ewald Kager betont: Periodische IT-Risikoanalysen, System-Checks und eine beständige Bewusstseinsschulung der Belegschaft stärkt das Abwehrverhalten bei Cyberattacken.
Wertschöpfung | Beständigkeit | Vertrauen
"Die Presse" und ihre Partner Bankhaus Spängler, BDO sowie die Österreichische Notariatskammer suchen und küren die herausragenden Familienunternehmen Österreichs.Information
Internetkriminalität ist allgegenwärtig. „Doch die wenigsten Unternehmen bereiten sich auf den Ernstfall vor – frei nach dem Motto: Mir wird schon nichts passieren. Dabei es geht nicht um die Frage, ob es passiert, sondern nur darum, wann es passiert“, sagt BDO-Partner Ewald Kager, der sich im Besonderen mit IT & Risk Advisory Services beschäftigt.
Organisierte Internetkriminalität ist längst ein professioneller Job geworden und weltweit ein Riesenbusiness. „Laut einer aktuellen US-Studie hat dieser Markt im Jahr 2021 rund fünf Billionen US-Dollar umgesetzt“, sagt Kager. Neben den Ransomware-Angriffen seien dabei auch die gestohlenen Kryptowährungen einberechnet.
In Österreich sollen laut Studien 60 bis 70 Prozent aller Unternehmen von Cyberkriminalität betroffen sein. Das ist für Karner zu optimistisch: „Ich kenne in Österreich kein Unternehmen, das nicht betroffen ist, wenn es um Phishing-Mails geht.“ Phishing-Mails – also Versuche, über gefälschte Mails eine Kommunikation auszulösen, um zu vertraulichen Daten zu kommen – seien die ersten Köder von Cyberkriminellen, um in Unternehmensnetzwerke einzudringen.
Die Schwachstellen bei Angriffen kennt Kager genau: der Mensch und die Technik. „Will ich mich präventiv schützen, muss ich bei den Mitarbeitern ansetzen“, sagt der BDO-Partner. „Bei unseren Phishing-Trainings sehen wir, dass 50 Prozent der Mitarbeiter Phishing-E-Mails öffnen, und 15 Prozent der Menschen kommen einer gut gemachten Aufforderung nach, Benutzerkennwörter und Passwörter einzugeben.“
Es gehe daher darum, das Bewusstsein für Internetangriffe zu schaffen und hochzuhalten. Das schaffe man mit Phishing-Schulungen. „Das sind meist Online-Trainings, daher ist auch die Teilnehmerzahl egal“, sagt Karner. Denn gerade durch die Pandemie und das verstärkte Home-Office haben sich für die Kriminellen viele neue Gelegenheiten und Tore aufgetan. „Wir tracken das bei Unternehmen wöchentlich und haben gesehen, dass die Vorfälle mit der Pandemie gestiegen sind und bis jetzt auf hohem Niveau geblieben sind“, sagt Karner und kommt gleich zur zweiten Unsicherheit: Die IT habe oft erst mit Verspätung nachgezogen. „Es wird zwar viel von Unternehmen in IT investiert, wie in VPN, Antivirensysteme und Firewalls. Wir sehen aber durch Misskonfiguration viele Schwachstellen“, betont Kager. Mittels Risikoanalyse könne man abchecken: Wie bin ich aufgestellt, wo sind meine Kronjuwelen und wie bin ich abgesichert? Die Risikoanalyse sei jedoch keine Einmalsache. „Das muss ich periodisch machen, denn die Welt bleibt nicht stehen.“
Eine Risikoanalyse koste zwischen 10.000 und 20.000 Euro. Kager rät dazu, sie zweimal im Jahr zu machen, genauso oft sollte man in Schulungen investieren. Das sei nicht viel Geld für ein großes Unternehmen. Aber: „Ein Mittelstandsunternehmen muss eine Kosten-Nutzen-Rechnung aufstellen“, sagt Kager. Er stellt die Kosten eines erfolgten Ransomware-Angriffs mit Datenverschlüsselung, eventueller Zerstörung von IT-Systemen und Lösegeldforderungen gegenüber: „Erfahrungsgemäß hat man da rund 150.000 Euro an Kosten.“
Die Berichterstattung und der Wettbewerb Österreichs beste Familienunternehmen werden von der „Presse“-Redaktion unabhängig gestaltet. Das Bankhaus Spängler, die BDO und die Österreichische Notariatskammer sind Kooperationspartner.
Redaktion: Hans Pleininger
E-Mail:hans.pleininger@diepresse.com