In der Wirtschaft, aber insbesondere auch in der Banken- und Finanzbranche ist das Thema Cybersicherheit seit Einzug des digitalen Zeitalters von essenzieller Bedeutung. Die kriminelle Gefahr hat sich gewandelt: Was früher der klassische Bankraub war, ist heute der Cyberangriff – weniger auffällig, aber nicht minder gefährlich und gar existenzbedrohend. Aber auch die Cybersicherheit unterliegt einem Wandel, wie die elfte Ausgabe der Studie „Cybersecurity in Österreich“ zeigt, die jährlich von KPMG in Kooperation mit dem Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrums Sicheres Österreich (KSÖ) erstellt wird.
Demnach hat Künstliche Intelligenz (KI) in den letzten zwölf Monaten die Spielregeln neu geschrieben. Im Berichtszeitraum sind Angriffe auf heimische Unternehmen – auch wenn diese bereits auf hohem Niveau waren – noch einmal gestiegen. 25 Prozent der Befragten sagen, dass Cyberangriffe auf ihren Betrieb stark bzw. eher zugenommen haben. Jeder achte Cyberangriff war dabei erfolgreich und überwand die Sicherheitsbarrieren der Unternehmen. Grundlage der Studie sind Befragungen von 1.396 österreichischen Unternehmen zu ihren Erfahrungen mit Cyberkriminalität und -sicherheit. Die Befragten kommen aus kleinen, mittleren und großen Firmen verschiedener Branchen.
KI als Wendepunkt
Der Trend, der sich abzeichnet: Cyberangriffe werden verstärkt durch KI unterstützt und sind damit schneller, skalierbarer und schwerer vorhersehbar. Bereits für jeden zweiten befragten Betrieb stellen KI-unterstützte Cyberangriffe die größte Herausforderung dar. Ebenfalls knapp die Hälfte (47 Prozent) gibt an, dass bei Attacken gegen ihr Unternehmen verstärkt KI eingesetzt wird. „Wir stehen mit KI an einem Wendepunkt und bewegen uns weg von einer Welt, die auf klaren Regeln, bekannten Mustern und nachvollziehbaren Reaktionen basiert, hin zu Systemen, die Entscheidungen zunehmend autonom treffen und die wir nicht immer vollständig nachvollziehen können. Die zentrale Frage ist daher nicht nur, ob KI eingesetzt wird, sondern ob sie steuerbar bleibt“, beschreibt KPMG-Partner und Studienautor Robert Lamprecht die aktuelle Lage.
Besonders kritisch sei zudem die Verkürzung der Zeitspanne zwischen dem Auffinden von Schwachstellen und deren Ausnutzung durch die Angreifer. Was früher Tage oder Wochen gedauert hat, kann heute in wenigen Stunden passieren. Umgekehrt setzen bereits 28 Prozent auch auf KI, um Angriffe abzuwehren – gleichzeitig herrscht jedoch Skepsis, ob diese tatsächlich zur Verbesserung der Cybersicherheit beiträgt (nur 33 Prozent Zustimmung), da die Vorteile aktuell stärker aufseiten der Cyberkriminellen gesehen werden. Zudem zeigen sich im Umgang mit der Technologie gewisse Tücken: Bei 61 Prozent führten Anwenderfehler bei der Nutzung von KI erst recht zu Cybersicherheits- und Datenschutzvorfällen sowie Know-how-Abfluss.
Breites Gefahrenfeld
Als eine zentrale Schwachstelle entpuppt sich die Lieferkette. Sie gilt als einer der am wenigsten kontrollierten Bereiche, da Unternehmen durch die zunehmende Vernetzung den Überblick über Abhängigkeiten und Schnittstellen verlieren. So gibt mehr als jeder fünfte Befragte (22 Prozent) an, dass es im Zusammenhang mit einem Angriff auf Dienstleister/Lieferanten zu einem Angriff auf das eigene Unternehmen kam – im Jahr zuvor waren es noch weniger als halb so viele. Bei 39 Prozent waren Dienstleister oder Lieferanten innerhalb der letzten zwölf Monate Opfer eines Cyberangriffs. Bei weiteren 14 Prozent gab es einen Verdacht. Für KPMG-Partner Andreas Tomek geht es nicht darum, Lieferanten als Risiko zu sehen, sondern: „Entscheidend ist die Erkenntnis, dass unsere Vernetzung unsere größte Stärke und gleichzeitig unsere größte Verwundbarkeit ist.“
Die Top-Angriffsarten sind auch in diesem Jahr Malware über E-Mail-Anhänge (78 Prozent), (Spear-)Phishing über Links (69), die Ausnutzung von Hardware-/Software-Schwachstellen (58), Business-E-Mail-Compromise, also CEO-/CFO-Fraud (57), sowie Scam-Anrufe (52). Federführend scheint jedenfalls organisierte Kriminalität, auf die sich die Hälfte aller Cyberangriffe zurückführen lässt. Staatlich unterstützte Akteure spielen in jedem zehnten Fall eine Rolle. „Als Bank setzen wir nicht nur umfassende Maßnahmen, um unsere eigene Infrastruktur resilient zu gestalten, sondern stärken auch die Awareness unserer Kunden für Cybersecurity“, sagt Manuel Schwarzinger, CIO der Raiffeisenlandesbank OÖ und Vorsitzender des KSÖ-Landesklubs OÖ. Vernetzung und Austausch seien dabei entscheidend, um voneinander zu lernen und gemeinsam die Resilienz zu erhöhen, betonte er bei der Studienpräsentation in Linz.
Jochen Borenich (beide KPMG) © RLB OÖ
Politik in der Pflicht
„Im Wettlauf gegen die Cyberkriminellen sind wir um viele Plätze zurückgefallen, und das Momentum liegt eindeutig auf der Seite der Angreifer“, resümiert Lamprecht. Die Frage lautet nicht mehr, ob man als Unternehmen in Cybersicherheit investieren solle, sondern ob man es sich leisten könne, es nicht zu tun. KSÖ-Präsident und Generaldirektor der Raiffeisenlandesbank NÖ-Wien Michael Höllerer sieht den Handlungsbedarf nicht nur auf wirtschaftlicher Ebene: „Wir brauchen nicht nur das Miteinander von Unternehmen, Behörden sowie Forschungs- und Technologieeinrichtungen auf nationaler Ebene: Vielmehr braucht es eine gemeinsame europäische Kraftanstrengung in einem geopolitisch volatilen Umfeld, um die digitale Sicherheit von Unternehmen zu unterstützen.“
Bei den Befragten dürfte das Anklang finden: 58 Prozent finden, dass die heimische Politik im internationalen Vergleich das Thema Cybersecurity vernachlässigt. Für 78 Prozent müsse Österreich die Ausgaben dafür wesentlich erhöhen. Denn auch die digitale Souveränität in Österreich und Europa ist ausbaufähig: Derzeit sind 70 Prozent der Unternehmen auf Technologien und Dienste aus anderen Ländern angewiesen. Aber auch Anwendungen zur Cybersicherheit werden zu 69 Prozent aus dem Ausland bezogen.
Cyber-Versicherungen
Auf die zunehmenden Bedrohungen reagiert auch die Versicherungswirtschaft. So hat Uniqa, die in Österreich mehr als 120.000 Firmenkunden betreut, ein neues Versicherungsprodukt lanciert. Der „Unternehmensschutz Cyber“ kombiniert Versicherungsschutz mit umfassenden Serviceleistungen im Ernstfall – von der technischen Soforthilfe mit 24/7-Notfallhotline über forensische Analysen bis hin zu Rechts- und Kommunikationsberatung durch spezialisierte Partner. Die Versicherungssummen reichen von 250.000 bis 5 Mio. Euro. Vorstand Peter Humer sieht es als Aufgabe von Uniqa, bestmöglich vor virtuellen Gefahren zu schützen: „Cyberrisiken lassen sich heute nicht mehr allein technisch beherrschen – sie erfordern ein professionelles Zusammenspiel aus Prävention, schneller Reaktion und finanzieller Absicherung.“
