Deloitte Cyber Security Report: Artificial Intelligence verschärft Cyber-Bedrohungslage für österreichische Unternehmen. Nur mehr ein Drittel der Betriebe hat die Ausbreitung von Ransomware mit ihrer bestehenden Infrastruktur im Griff.
Cyber-Kriminalität ist ein Millionengeschäft. Die Angriffe sind professionell organisiert und machen selbst vor kleinen Unternehmen nicht halt. Nun spitzt sich die Bedrohungslage durch Artificial Intelligence (AI) weiter zu. Wie der aktuelle Cyber Security Report von Deloitte zeigt, nutzen die österreichischen Unternehmen die neue Technologie zwar teilweise auch selbst zur Abwehr von Angriffen, allerdings werden budgetäre Anpassungen an die neue Situation sowie der Fokus auf moderne Sicherheitskonzepte noch vernachlässigt.
Das Beratungsunternehmen Deloitte erhebt jährlich gemeinsam mit dem Forschungsinstitut Foresight – ehemals SORA – den Status quo heimischer Betriebe zum Thema Cyber-Sicherheit. Für den aktuellen Report wurden 350 Mittel- und Großunternehmen in Österreich telefonisch befragt. Die repräsentative Umfrage belegt: Die Professionalität von Cyber-Attacken auf österreichische Unternehmen nimmt weiter zu.
Angriffe werden aber früher erkannt
„Die Analyse der Umfragedaten führt vor Augen, mit welcher Präzision die Angreifenden mittlerweile agieren. Lediglich ein Drittel der betroffenen Unternehmen kann heute die Ausbreitung von Ransomware über technische Infrastrukturmaßnahmen verhindern. Der Vergleich der Zahlen belegt eine besorgniserregende Entwicklung – immerhin waren es 2022 noch drei Viertel“, betont Christoph Hofinger, Geschäftsführer von Foresight.
Es gibt aber einen Lichtblick: Denn gleichzeitig ist die Zahl jener Angriffe, die auch zu einer ungewollten Datenverschlüsselung führen, im Vergleich zu 2022 um mehr als die Hälfte gesunken. Der Grund dafür: Die Awareness der Mitarbeiterinnen und Mitarbeiter hat sich in den vergangenen Monaten maßgeblich erhöht. Dadurch werden Angriffe früher erkannt und entsprechende Maßnahmen gesetzt.
Laufende Anpassung des Cyber-Security-Managements essenziell
Neben der gestiegenen Awareness sind auch die Entwicklungen rund um Artificial Intelligence (AI) hilfreich im Kampf gegen Cyber-Kriminalität. Die Technologie wird zur Phishing-Erkennung und -Prävention (54 %), zur Schulung und Sensibilisierung der Mitarbeitenden (55 %) sowie zur Sicherheitsbewertung und für Audits (47%) eingesetzt. Aber auch bei der Bedrohungserkennung (41 %) sowie der automatischen Reaktion auf Sicherheitsvorfälle (38 %) unterstützt AI bereits.
„Die Anwendungsgebiete von AI im Bereich Cyber-Sicherheit sind zahlreich und vielversprechend. Doch auch die Angreifenden haben das Potenzial der Technologie erkannt“, erklärt Karin Mair, Managing Partnerin in der Risk Advisory bei Deloitte Österreich. „Um dieser Bedrohungslage entgegenzutreten, ist eine laufende Anpassung des Cyber-Security-Managements in Unternehmen essenziell.“
Aufholbedarf bei Investitionen
Auch die Anpassung des Budgets an die neuen Bedrohungsszenarien ist essenziell für eine gut aufgestellte Cyber-Security-Strategie. 2023 haben viele Unternehmen angesichts der sich zuspitzenden geopolitischen Lage stark in Cyber Security investiert. Aktuell will jedoch mehr als die Hälfte der Befragten das Budget nicht weiter erhöhen.
„In unserer Beratungspraxis sehen wir: Die geplanten Investitionen decken das eigentlich benötigte Budget für die Abwehr von Ransomware-Attacken nicht ab. Vor allem angesichts der steigenden regulatorischen Anforderungen – Stichwort NIS 2 (*) – sowie der neuen Herausforderungen durch AI wäre das aber essenziell. Es gibt also akuten Aufholbedarf“, so Georg Schwondra, Partner im Bereich Cyber Risk bei Deloitte Österreich.
Zunehmende Bedeutung von Zero Trust
Zudem stoßen traditionelle Sicherheitskonzepte immer mehr an ihre Grenzen. Ein Viertel der Unternehmen setzt daher schon auf die Zero-Trust-Strategie, bei der niemandem automatisch vertraut wird, sondern jeder einzelne Datenzugriff verifiziert wird. Weitere 9 % haben diesbezüglich immerhin konkrete Pläne zur Umsetzung. Bei fast der Hälfte der Unternehmen ist der Ansatz hingegen noch kaum bekannt.
„Zero Trust gehört zu den wichtigsten Konzepten im Cyber-Security-Bereich. Ein konstantes Monitoring ist insbesondere in einem sehr dynamischen Gefahrenumfeld von Vorteil. Besonders alarmierend ist, dass fast die Hälfte aller Befragten den Zero-Trust-Ansatz noch nicht kennen. Um Cyber-Sicherheit auf allen Unternehmensebenen gewährleisten zu können, muss sich das dringend ändern“, so Karin Mair abschließend.
(*) Ab Oktober 2024 gelten mit der NIS2-Richtlinie für viele Unternehmen verpflichtende Sicherheitsmaßnahmen und Meldepflichten im Bereich der Cybersicherheit.