Drei von zehn heimischen Betrieben sind weiterhin nicht in der Lage, IT-Sicherheitsvorfälle zuverlässig zu erkennen. Das ist die Erkenntnis der CyberRisk-Analyse der KSV1870 Nimbusec GmbH.
Firmen überschätzen sich
Demnach würden zudem 22 Prozent (plus zwei Prozent gegenüber der Analyse 2022) der Firmen ihre eigenen Vorkehrungen gegen Hacking-Angriffe überschätzen – und sich damit in falscher Sicherheit wiegen.
Weiters habe jeder vierte Betrieb kein adäquates Cyber-Notfallkonzept, um im Ernstfall rasch reagieren zu können. Eine Analyse von rund 250.000 Unternehmenswebseiten durch die KSV1870 Nimbusec GmbH zeige, dass selbst nach einem erfolgreichen Hacking-Angriff 90 Prozent der rund 200 infizierten Webseiten einen Monat später noch immer Schadsoftware an ihre Besucher:innen verteilt hätten.
Die Gefahr aus dem Netz steigt
Laut heimischer Kriminalstatistik des Bundeskriminalamtes hat sich die Internetkriminalität zwischen den Jahren 2012 und 2021 mehr als verfünffacht – und zwar von 8.900 auf rund 46.000 Fälle. Etwa ein Drittel (15.500 Fälle) davon bezog sich im Jahr 2021 auf sogenannte Cybercrime-Delikte, womit sich diese Zahl im mehrjährigen Verlauf sogar versiebenfacht hat. Zu den häufigsten Cybercrime-Vorfällen zählen zum Beispiel Hacking, Datenbeschädigung/-fälschung und Datenverarbeitungsmissbrauch.
"Die Zahl der IT-Sicherheitsvorfälle erhöht sich laufend, trotzdem unterschätzen viele Betriebe das Risiko nach wie vor. Insbesondere Klein- und Mittelbetriebe müssen sich besser schützen", erklärt Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH.
Tools verbessern Cybersicherheit
Um der steigenden Cybergefahr Rechnung zu tragen, hat der KSV1870 den WebRisk Indicator in seine Unternehmensauskünfte integriert. Konkret wird das öffentlich sichtbare Cyberrisiko von Webseiten in vier Kategorien klassifiziert. Wenn Unternehmen mehr wissen möchten, bevor sie sich mit den IT-Systemen von Geschäftspartner:innen verbinden, hätten sie die Möglichkeit ein detailliertes CyberRisk Rating über die potenziellen Partner:innen zu beauftragen. "Das CyberRisk Rating zeigt strukturiert die sicherheitstechnische Verfassung eines Unternehmens und belegt, ob gesetzliche Vorgaben erfüllt werden", so Mitter. Darüber hinaus liefere das Rating eine Anleitung, welche Sicherheitsmaßnahmen mit dem geringsten Ressourcenaufwand die größte Verbesserung im Betrieb erreichen würden.
Nachweis bald Pflicht
Ein derartiger Beleg wird für Unternehmen, insbesondere jene der kritischen Infrastruktur und deren Lieferanten, spätestens ab Oktober 2024 entscheidend sein. Ab dann wird die bestehende EU-Richtlinie 2016/1148 ("NIS") durch die NIS-2-Richtlinie ersetzt, die einen Nachweis für IT-Sicherheit erfordert. Ist ein solcher Nachweis nicht vorhanden, kann das Eingehen einer Geschäftsbeziehung Haftungen und Strafen für Unternehmen und deren Vorstände bedeuten. Zusätzlich können Unternehmen mit einem CyberRisk Rating das Cyber Trust Austria-Gütesiegel beantragen und würden so ihre Marktchancen, speziell bei Betreiber:innen von kritischer Infrastruktur, nachhaltig steigern können, ist man bei KSV1870 überzeugt.
www.ksv.at
>
Kommentar veröffentlichen