Cyberattacken werden komplexer und ausgefeilter
(kunid) Zunahme von Deepfakes, mehr Lieferkettenangriffe, Ablenkungsmanöver – Unternehmen sind in einem Wettlauf mit professioneller werdenden Angreifern, heißt es von KPMG und KSÖ auf Basis einer neuen Analyse.
1.158 Unternehmen in Österreich haben sich an der im Februar und März durchgeführten Umfrage zur „Cybersicherheitsstudie 2024“ beteiligt, die das Beratungsunternehmen KPMG in Kooperation mit dem Sicherheitsforum Digitale Wirtschaft des Kompetenzzentrum Sicheres Österreich (KSÖ) erstellt hat.
Ergebnisse aus der mittlerweile neunten Auflage der Analyse, für die Unternehmen unterschiedlicher Größe und Sektoren befragt wurden, sind nun vorgestellt worden.
Angriffe ändern sich
Gegenüber 2023 lässt sich eine Veränderung der Dimension und der Facetten von Cyberangriffen feststellen, hält KPMG-Partner Robert Lamprecht grundsätzlich fest. Angriffe werden immer komplexer und mit künstlich intelligenter Hilfe immer ausgefeilter.
So ist es auch nicht verwunderlich, dass laut Umfrage „Deepfakes“, in Form von Sprach- und Videonachrichten, stark zugenommen haben.
54 % aller befragten Unternehmen wurden in den letzten zwölf Monaten Zielscheibe von Desinformationskampagnen, 42 % sogar mehrmals. Häufige genutzte Kanäle sind E-Mail, Telefon, Messengerdienste und soziale Netzwerke. Daneben spielten etwa auch Deepfakes eine Rolle.
Desinformationskampagnen werden immer häufiger zur Ablenkung eingesetzt, erklärt Lamprecht: Unternehmen werden gezielt in eine Ausnahmesituation gebracht, die die Aufmerksamkeit der Mitarbeiter bindet – und im Hintergrund findet gänzlich unbemerkt der Cyberangriff statt.
Angriff auf das schwächste Glied in der (Liefer-)Kette?
Zugenommen haben der Studie zufolge auch „Supply Chain“-Angriffe, bei denen Angreifer nicht direkt auf ein bestimmtes Unternehmen zielen, sondern auf Lieferanten.
66 % der befragten Unternehmen äußerten Bedenken, dass Cyberangriffe gegen ihre Dienstleister Auswirkungen auf sie selbst haben.
Hier liegt eine der großen Herausforderungen der Zukunft, sagt Lamprecht.
Gerade die EU-Richtlinie NIS 2 und die EU-Verordnung Dora verfolgten das Ziel, die Sicherheit in der Lieferkette zu erhöhen, fügt er hinzu.
Jede sechste Attacke erfolgreich
Jeder sechste Cyberangriff gegen ein Unternehmen in den letzten zwölf Monaten war laut der Studie erfolgreich. 2023 hat das nur für jeden zehnten Angriff gegolten, merkt Lamprecht an. Die bedeutendsten Angriffsarten waren Phishing, Malware und CEO-/CFO-Fraud.
Was wurde bei Cyberangriffen gestohlen? Vorwiegend Kundendaten, danach folgten Kommunikationsdaten (E-Mail) und Mitarbeiterdaten. Ebenfalls betroffen, wenn auch in etwas geringerem Ausmaß, waren Finanzdaten, Daten zu Forschung und Entwicklung sowie Patente.
33 % haben einen zeitlichen oder inhaltlichen Zusammenhang zwischen geopolitischen Konflikten und Cyberangriffen auf ihr Unternehmen geortet. Globale Konflikte kommen auch nach Österreich, kommentiert Lamprecht, der Cyberraum kennt eben keine Landesgrenzen.
Unterschiedliche Sicherheitsreifegrade
Was die neuen gesetzlichen Anforderungen an die Cybersicherheit betrifft, handelt es sich um eine Evolution, nicht um eine Revolution, sagt KPMG-Partner Andreas Tomek.
Wer sich schon bisher mit Informationssicherheit befasst hat, sei bereits auf einem guten Weg. Für die anderen gebe es hingegen „etwas zu tun“.
Der Reifegrad unter den Unternehmen im Markt ist unterschiedlich. Eine Cyberversicherung haben lediglich 22 % der befragten Unternehmen.
Die aktuelle Absicherungssituation ist zwiespältig: Auf der einen Seite sind Unternehmen zwar in Sachen Cybersicherheit besser gewappnet, sagt KPMG-Partner Andreas Tomek. Gleichzeitig ist es aber so, dass Täter „nachrüsten“ und die gesetzten Maßnahmen ins Visier nehmen.
Die Angreifer agieren also professioneller, ihre technischen Mittel werden effektiver. „Etablierte Schutzmechanismen und Sensibilisierungsmaßnahmen verfehlen unter diesen neuen Umständen ihre Wirkung“, sagt Tomek.
Digitalisierung muss „erwachsen“ werden
Lamprecht bezeichnet Digitalisierung denn auch als eine „laufende Aufgabe“, die von einem Wettlauf zwischen den Angreifern und ihren potenziellen Zielen geprägt ist.
Die Digitalisierung wird mit der NIS-2-Richtline „erwachsen“ werden, meinte Lamprecht, weil es nicht mehr nur um Effizienzgewinne geht, sondern Digitalisierung mit Sicherheit und damit auch mit entsprechender Professionalität in den Unternehmen einhergehen muss.
In Bezug auf Künstliche Intelligenz stecke man hier noch in den Kinderschuhen. Hier hofft Lamprecht ebenfalls auf einen schnellen Reifungsprozess, denn KI habe das Potenzial, Schaden anzurichten.
Gerade auch die Perfektionierung der Deepfake-Technologie öffnet ein neues Kapitel zur Verbreitung von Desinformation. „Wir werden verwundbarer gegenüber derartigen Kampagnen, das beeinflusst nicht nur die Cybersicherheit, sondern unsere gesellschaftliche Resilienz.“