Cyberangriffe sind längst nicht mehr nur potenzielle Bedrohungen, sondern eine Realität, die sich durch den Einsatz von Künstlicher Intelligenz stetig weiterentwickelt. Die Frage für Unternehmer:innen ist nicht mehr, ob ihr Unternehmen angegriffen wird, sondern wann es passieren wird. Beim Business Talk: Sicherheit im digitalen Wandel der Erste Bank und Sparkasse diskutierten Hans Unterdorfer (Firmenkundenvorstand, Erste Bank), Hania Bomba (Geschäftsführerin, Huber Shop GmbH), Alexander Mitter (Geschäftsführer, KSV1870 Nimbusec GmbH) und Erwin Pichler (Regionalleiter, GrECo & VMG - Burgenland) unter der Moderation von Mischa Schmid (Leiter Public Sector und KMU Burgenland, Erste Bank) über Digitalisierung, Cyberattacken und effektive Cybersecurity-Maßnahmen für Unternehmen.

"Das Einzige, was noch funktionierte, war das Telefonieren"

Das Unternehmen Huber Shop fiel einem Cyberangriff zum Opfer, der den Betrieb stark beeinträchtigte und das Unternehmen ganze sechs Wochen lang ausbremste. Hania Bomba, die Geschäftsführerin der Huber Shop GmbH, beschreibt die Attacke: „Die Auswirkungen waren vielfältig: Systemausfälle, blockierte E-Mail-Kommunikation, eingeschränkter Zugriff auf Kassen und gestörte Abfragen. Das Einzige, was noch funktionierte, war das Telefonieren.“ 

Es sei frustrierend, wie viele Menschen immer noch so tun, als gäbe es keine Bedrohung“, so Bomba, die mit ihren Erfahrungen andere Unternehmen bestärken möchte, sich mit dem Thema verstärkt auseinanderzusetzen. „Es ist möglich, Vorbereitungen zu treffen. Wir hatten nicht einmal alle Telefonnummern der Mitarbeiter:innen oder ihre privaten E-Mail-Adressen notiert. Eine analoge Notfallmappe hätte uns enorm geholfen.“

Versicherungsbranche als Partner und Berater

Auch für die Versicherungsbranche sind die aktuellen Cyberbedrohungen eine Herausforderung. „Wir beschäftigen uns seit vielen Jahren intensiv mit dem Thema Risikomanagement. Unser Ziel ist es, unsere Kund:innen bestmöglich zu beraten, um Risiken von vornherein zu minimieren“, sagt Erwin Pichler, Regionalleiter von GrECo & VMG - Burgenland. „Unser primäres Ziel ist nicht, den Kund:innen eine Cyberversicherung zu verkaufen. Vielmehr geht es darum, den Geschäftsführer:innen, Finanzchefs, IT-Verantwortlichen und anderen Entscheidungsträger:innen im Unternehmen einen klaren Überblick über die Risikolandschaft zu verschaffen. Wir möchten sicherstellen, dass Sie wissen, welcher maximale theoretische Schaden Ihrem Unternehmen drohen könnte. Und nicht zuletzt: Wie lange würde der Betrieb aufgrund eines Cyberangriffs stillstehen?“ Versicherer würden mittlerweile detaillierte Informationen über die Sicherheitsmaßnahmen eines Unternehmens und dessen Schwachstellen verlangen. „Es ist unerlässlich, diese Aspekte im Voraus genau zu prüfen und hierbei ist technische Unterstützung unumgänglich“, so Pichler, und: „Je früher Unternehmen beginnen, sich mit diesen Themen auseinanderzusetzen, desto besser.“

Bewusstsein in den Unternehmen schaffen

Laut einer Studie von KPMG erkennt jeder dritte Betrieb Cyber-Vorfälle erst gar nicht. Unternehmen würden zwar ihre IT-Security als Problemfeld anerkennen, gleichzeitig stellen sie aber zu wenig personelle und finanzielle Ressourcen bereit, um das Risiko zu minimieren. Insbesondere KMU sind davon häufig betroffen. Der KSV 1870 erstellt seit über drei Jahren Cyber-Risk-Ratings für Unternehmen, doch „häufig fehlt den Unternehmen ein roter Faden beim Thema Security“, sagt Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH. „Was sollte ich morgen tun? Wo sollte ich wirklich investieren? Wie kann ich meine Mitarbeiter:innen besser qualifizieren? Das sind Punkte, die heutzutage wichtig sind“. Zudem mangle es an fundierten Informationen, denn im Vergleich zu vielen anderen Industrien befinde sich die IT noch am Anfang.

„Wir stehen zudem vor der Einführung von NIS 2 (Anm. der Redaktion: Network Information Security Richtlinie) im Oktober nächsten Jahres. Dies bedeutet, dass plötzlich erhebliche Geldstrafen im Raum stehen – bis zu 2 Prozent des Umsatzes oder bis zu 10 Millionen Euro im Falle von schwerwiegenden Verstößen. All dies geschieht in einem Bereich, in dem wir über keine soliden Grundlagendaten verfügen.“ Der KSV 1870 will hier Abhilfe schaffen. „In einer Arbeitsgruppe haben sich Sicherheitsverantwortliche der größten österreichischen Unternehmen zusammengeschlossen, um auf Grundlage ihrer praktischen Erfahrungen die 25 wichtigsten IT-Sicherheitsmaßnahmen zu definieren. Dabei wurden 14 Grundanforderungen festgemacht, die als Richtlinien für alle Unternehmen dienen sollen“, so Mitter.

Die Expertengruppe habe hierbei besonders darauf geachtet, dass die Kosten nicht übermäßig hoch ausfallen, da der Kostendruck in allen Bereichen spürbar ist. „Viele dieser Maßnahmen können Unternehmen eigenständig umsetzen wie etwa einen klar benannten Verantwortlichen im Unternehmen zu bestimmen. Der nächste Schritt besteht darin, zu prüfen, welche IT-Systeme tatsächlich betrieben werden, um das Angriffspotenzial bewusst zu machen. Hierbei werden praktische Maßnahmen vorgeschlagen, bis hin zur Erstellung eines gedruckten Notfallhandbuchs, das auch in einem kleinen oder mittleren Unternehmen eine messbare Verbesserung der Sicherheitslage ermöglicht. Dies führt zu einer verringerten Anfälligkeit für Angriffe und im Fall eines Vorfalls zu einem verbesserten Krisenmanagement.“ Zudem gibt es dazu auch Förderungen, etwa von der WKÖ.

Erste Bank setzt auf 360 Grad-Ansatz

Für die Erste Bank und Sparkasse ist Cybersecurity von herausragender Bedeutung, da sie als Partner agieren. „Im Bereich Cybersecurity betrachten wir uns als Sparringpartner für unsere Kund:innen. Viele Unternehmer:innen tätigen Investitionen und es ist entscheidend, auf die Bedeutung von Cybersecurity hinzuweisen. Und als Unternehmen haben wir auch ein Eigeninteresse daran, da wir bei Investitionen Fremdkapital verwenden und somit eine hohe Verantwortung tragen. Wir investieren deshalb sehr viel in unsere eigene Cybersecurity, um sicherzustellen, dass unsere Systeme einwandfrei funktionieren. Wir streben danach, einen 360-Grad-Blick auf das Risiko zu werfen und eine Partnerschaft mit unseren Kund:innen aufzubauen, die auf Vertrauen basiert. Es ist unsere Pflicht, das Thema proaktiv anzusprechen und mit unseren Kund:innen zu diskutieren. Es ist nicht nur wichtig, über Cybersecurity zu sprechen, sondern gemeinsam konkrete Schritte zu unternehmen.“

FAZIT: Ein Hackerangriff kann jeden treffen – die richtige Vorbereitung kann Schäden minimieren

Das Bedrohungspotenzial bleibt bestehen und wird weiter zunehmen. Es ist sinnvoll, dieses Thema ganzheitlich anzugehen. Nur in eine Security-Software zu investieren, reicht nicht aus, sondern auch die Schulung der Mitarbeiter:innen, die Erstellung eines Organisationshandbuchs, die Festlegung von Notabläufen und das Üben von Proben sind wesentlich. Es ist entscheidend, sich der Risiken bewusst zu sein und eine individuelle Analyse durchzuführen, um ein umfassendes Risikobild zu erhalten. Darüber hinaus ist es wichtig, sich mit den Tools vertraut zu machen und sich von außen von Partnern wie der VMG/GrECo oder der KSV1870 Nimbusec GmbH unterstützen zu lassen. Hania Bomba, Geschäftsführerin, Huber Shop GmbH, bringt es auf den Punkt: „Ein Hackerangriff kann jeden treffen – man muss nicht im Fadenkreuz stehen, um zum Opfer zu werden. Unsere Erfahrungen zeigen deutlich, wie wichtig es ist, sich auf potenzielle Cyberangriffe vorzubereiten. Gut geschützte Back-ups und eine analoge Notfallmappe können dabei ein erster Schritt sein, um die Auswirkungen zu mildern und schnell reagieren zu können.“ Ein bewusster Umgang mit dem Thema Cybersecurity trägt wesentlich zur Widerstandsfähigkeit eines Unternehmens bei.