close
Share with your friends

Das Thema Cyber Security hat in der letzten Zeit einen neuen Stellenwert bekommen. Ministerien wurden zum Ziel, große staatliche Provider wurden angegriffen und auch die Industrie ist betroffen. Unternehmen aller Größen stehen nach wie vor großen Herausforderungen gegenüber. Es gibt viele Diskussionen darüber, was gemacht werden sollte und eine Frage darf dabei nicht vernachlässigt werden: Was kann die Wirtschaft von der Wissenschaft lernen, um diesen Herausforderungen zu begegnen? Um eine Antwort darauf finden zu können, luden KPMG und KSÖ Vertreter aus Wissenschaft und Forschung zu einem Round Table.

Die Teilnehmenden des Round Table


Die Diskussion


Harald Oberhofer:Aus volkswirtschaftlicher Sicht ist das Thema Cyber Security vor allem in Zusammenhang mit globalen Handelskonflikten immer wieder ein Thema. Dabei geht es um die Rolle verschiedener Staaten bei der Generierung und Verwendung von Daten – als Beispiel sei hier der 5G Netzausbau genannt. Es gibt zB immer wieder Diskussionen darüber, welche staatsnahen Unternehmen man in so einen Prozess mit einbinden kann und wen man ausschließen sollte. Hier gibt es naturgemäß sehr unterschiedliche Positionen in den verschiedenen Ländern.


Aber auch die neuen Kommunikationskanäle und Medien sind volkswirtschaftlich relevant, denn diese beinhalten eine Flut an relevanten Daten und der Schutz dieser Daten ist maßgeblich für die Zukunft der Unternehmen, die sie verarbeiten. Wenn man als Unternehmen nicht gewährleisten kann, dass man mit diesen Daten im Rahmen der Geschäftsmodelle sicher umgehen kann, dann wird das ein Riesenproblem für die Unternehmen.


Spannend ist auch die Frage, was der Staat mit den digitalen Daten macht, die ihm zu Verfügung stehen. Ich kritisiere schon länger, dass der Staat die Daten, die er im Zuge der Pandemie generiert hat, nicht verwendet, um evidenzbasierte Entscheidungen zu treffen. Das ist nicht gut für die Gesellschaft.


Maria Leitner: Zunächst muss man sagen, dass wir in Österreich sehr viele tolle Wissenschaftler haben und global durchaus bei vielen Themen mithalten können. Wichtig ist allerdings, dass die Vermittlung von digitalen Kompetenzen und die notwendige Spezialisierung hin zur Cyber Security immer weiter gefördert wird. Und dass die entsprechenden Entwicklungen für eine breitere Masse zugänglich gemacht werden.


Die Frage ist also, wie der Zugang zu vorhandenen Werkzeugen erleichtert werden kann und wie man das Wissen darüber vermittelt, wie sie angewendet werden. Vor allem in Bereich der Nutzbarkeit von Daten hat sich aber während der Pandemie bereits sehr viel getan. Es sind viel mehr Möglichkeiten zur Anwendung entstanden, und die Wissenschaften sollten nun dabei helfen, diese so zu nutzen, dass damit ein Mehrwert für die Gesellschaft geschaffen werden kann.


Und bezüglich der Verantwortung der Wirtschaftswissenschaft in diesem Prozess: wir alle wissen, wie wichtig das Thema ist. Das Bewusstsein dafür ist vorhanden, aber die richtige Mischung zu finden ist die Herausforderung.


Andreas Eckhardt: Das Ziel muss es sein, die Digitalisierung auf einen Bereich auszuweiten, der nicht rein die Informatiker bzw Techniker betrifft, sondern im Speziellen auch die sozialwissenschaftlichen Studiengänge, zu denen auch die Wirtschaftswissenschaften gehören. Wir sehen, dass das Thema Digitalisierung durchaus in allen Bereichen der Wissenschaft immer mehr Einzug hält. Allerdings geht es dabei meistens darum, wie diese helfen kann, schneller, besser und weiter zu kommen, mehr Umsätze zu generieren, Produkte schneller zu den Kunden zu bekommen. Die negativen Aspekte – also wann Digitalisierung auch gefährlich sein kann - im Speziellen das Thema Security, werden außerhalb der Informatik weniger angesprochen. Aber genau diese Gefahren sollte man sich gründlich anschauen, da diese großen Einfluss auf verschiedenste Bereiche, auch auf Accounting oder Marketing, haben können.


Harald Oberhofer: Was an den Unis in der letzten Leistungsvereinbarungsperiode gemacht wurde, ist ein erheblicher Ausbau von wissenschaftlichen Stellen, die sich mit dem Thema Digitalisierung beschäftigen. Beispielsweise haben wir an der WU seit September 2020 ein neues Master Programm „Digital Economy“ mit ca 15 Professuren, die sich alle mit dem Thema Digitalisierung beschäftigen. Ob die Security dabei immer eine Rolle spielt, das hängt allerdings von den einzelnen Universitäten ab.


Harald Oberhofer: Security spielt in der Weltwirtschaft immer dann eine Rolle, wenn es um globale Wertschöpfungsketten geht. Die heute weit verbreitete „Just in Time-Produktion“ ist darauf angewiesen, dass jedes Rad in sich greift und funktioniert. Wenn ein Zulieferer produktionsunfähig gemacht wird, zB durch einen Cyberangriff,bekommt man deshalb schnell in vielen anderen Bereichen die Folgen zu spüren, auch wenn man das oft physisch nicht so schnell sieht, wie zB ein Schiff das den Suez-Kanal blockiert. Auch wenn beides die gleichen Effekte erzeugen kann.


Stefan Fink: Es kann durchaus beides sein – Chance und Risiko. Derzeit bildet sich ein neuer Markt, der noch wenig reguliert ist - „Data as a new currency“. Bei der sogenannten Industrie 4.0 besitzt ein Unternehmen Daten, die für ein anderes Unternehmen einen gewissen Wert haben und so wird versucht, daraus ein Geschäftsmodell zu machen. Ist die Nachfrage hoch, wächst auch die Dynamik. Die Sicherheitskomponente zieht dabei aber oft nicht schnell genug nach und somit muss es auch heißen „Data as a source of a new risk“. Die Wirtschaft muss beginnen, Cyber Crime als ökonomisches Risiko zu würdigen und das beginnt beim Mindset.



Harald Oberhofer: Cyberangriffe können große Schäden anrichten, aber in der öffentlichen Debatte wird das Thema kaum aufgegriffen. Unternehmen scheuen sich davor, offen über Angriffe zu sprechen, da es als eigenes Versagen gewertet werden kann. Es ist noch ein langer Weg, bis bei den Unternehmen offener damit umgegangen wird. Vor allem wenn man berücksichtigt, dass laut Ihrer Studie 60 Prozent der Unternehmen bereits einen Cyberangriff erlebt haben.


Maria Leitner: Das Spannende an der aktuellen Diskussion zum Thema Kommunikation über Cyberangriffe ist, dass ohnehin immer öfter bekannt wird, ob jemand angegriffen wurde. Und wir gerade sehr schnell lernen müssen, damit umzugehen und daraus zu lernen. Dass der Austausch über diese Vorfälle vermehrt stattfindet, ist aber in jedem Fall wichtig.


Andreas Eckhardt: In Europa sind wir, was die globalen digitalen Themen angeht, zwei Schritte hinter Asien und den USA – die ganze Basis, mit der wir arbeiten, kommt aus diesen beiden geografischen und kulturellen Regionen. Wir haben die Herrschaft über die Digitalisierung abgegeben bzw hatten sie nie. Das hält uns aber nicht davon ab, an der globalen Wirtschaft teilzunehmen. Also brauchen wir eine gegenseitige Unterstützung, damit die damit verbundenen Risiken nicht zu hoch werden.


Wir sprechen immer vom einheitlichen Europa, aber der gegenseitige Wissensaustausch fehlt. Viel zu oft behalten einzelne Länder und Unternehmen Informationen über Datendiebstähle bzw wie man damit umgeht, für sich. Wenn wir als Europa langfristig im globalen Wettbewerb bestehen wollen, können wir das nur, wenn wir als Kollektiv agieren – sowohl im Informationsmanagement als auch beim Security-Management.



Andreas Eckhardt: Österreich ist zusammen mit Deutschland eher im unteren Mittelfeld angesiedelt, allerdings besteht in ganz Europa Aufholbedarf. Wir müssen uns zusammen im globalen Kontext hocharbeiten.


Stefan Fink: Dem kann ich nur zustimmen. Wenn jeder sein eigenes Süppchen kocht, dann werden wir hier nichts erreichen. Es geht gar nicht darum, digitaler Vorreiter zu werden, sondern um die Frage, ob wir mithalten können. Wir müssen nationale Mechanismen zurückstellen und Kooperationsbereitschaft aufbauen.


Harald Oberhofer: Im deutschsprachigen Europa hat Datenschutz einen besonderen Stellenwert – anders als zB in Skandinavien, Nordamerika oder Asien. Wir gehen davon aus, dass niemand irgendwelche Daten sehen kann – das ist unsere gesellschaftliche Tradition. Wir wollen deshalb eigentlich gar nichts elektronisch erheben und keine Daten verknüpfen, das fehlt in unserem Denken. Aber wenn man gewohnt ist, Daten zu verwenden, wie zB die Skandinavier, dann beschäftigt man sich auch damit, Schutzkonzepte zu entwickeln. Bei uns war aber nie der Druck bzw Zwang da, sich das zu überlegen. Wie mache ich eine sichere Infrastruktur, wie setze ich Daten auf und nutze diese – diese Erfahrung hat uns bisher gefehlt und das ist auch mit eine Erklärung dafür, warum wir in diesem Bereich global nicht so gut dastehen.



Andreas Eckhardt: Die Risikoeinschätzung muss erhöht werden – man muss Bewusstsein schaffen. Den größten Effekt hat es leider, wenn man schon mal Opfer gewesen ist. Erfahrungswerte schärfen immer noch am effektivsten Bewusstsein. Einfache Maßnahmen wie eine reine Informationsbereitstellung haben weniger Effekt. Wir haben das sogar in Planspielen ausprobiert, um die Situational awareness während einer Attacke festzustellen und waren damit sehr erfolgreich. Das wirkt aber immer nur für die Personen, die selbst betroffen waren.


Stefan Fink: Meiner Erfahrung nach ist die Awareness beim Thema digitale Transformation derzeit sehr hoch. Allerdings geht es dabei selten um die Frage „wie schützen wir uns“. Es geht mehr um Kosten und was man durch Digitalisierung einsparen kann. Digitale Projekte sollen vorangetrieben werden, sind aber oft nicht bis zum Ende durchgedacht und das birgt Sicherheitsrisiken, die derzeit nicht gesehen werden. Es ist wichtig, das gesamte Spektrum von Enterprise Risk Management zu betrachten..


Maria Leitner: Bei diesem Punkt sollte man auch die Effekte der Pandemie einbeziehen. Es stellt sich die Frage, wie sich das individuelle Bewusstsein dem Thema Cyber Security gegenüber verändert hat. Die Bevölkerung hat sich aufgrund der aktuellen Situation mehr mit dem Thema auseinandergesetzt und es ist sicher mehr Awareness geschaffen worden.


Harald Oberhofer: Menschen sind nicht gut darin, Wahrscheinlichkeiten richtig einzuschätzen. Bei Cyber Security unterschätzen wir die Wahrscheinlichkeit, dass es uns erwischt und das führt dazu, dass zu wenig Investitionen in diesem Bereich getätigt werden. Hier kann man sich fragen, ob der Staat unterstützen muss, damit das Problem besser verstanden wird.



Harald Oberhofer: Hilfreich wäre sicher zu versuchen, die Informationsasymmetrie auszugleichen. Zum Beispiel mit einer Anzeigepflicht, wenn man betroffen ist, um bessere Statistiken zu bekommen. Damit schafft man Awareness und kann den Unternehmen ein objektives Bild darüber vermitteln, wie hoch die Wahrscheinlichkeiten und was die Konsequenzen sind.


Als Ökonom bin ich außerdem immer dafür, zuerst Anreize für Unternehmen zu schaffen, als ein neues staatliches Gremium, das sich mit dem Problem auseinandersetzen soll. Unternehmen sind eher über Anreize ansprechbar, denn im Kern geht es um eine Kosten-Nutzen-Analyse.


Ganz allgemein gilt aber, dass der Staat nie dafür sorgen kann, dass keine Kriminalität mehr stattfindet. Er kann aber sehr wohl als Best Practice-Beispiel vorangehen. Nur gelingt auch das nicht immer, wie man an diversen staatlichen Datenleaks sieht.



Andreas Eckhardt: Investieren Sie nicht nur in Maßnahmen zur Security, sondern testen Sie auch deren Effektivität. Ein großes Problem ist, dass es trotz der Erhöhung von Budgets für Maßnahmen oft wenige Erkenntnisse gibt, inwiefern diese Maßnahmen auch Wirkung erzielen. Das ist aber sehr wichtig, um die eigene Sicherheit zu gewährleisten.


Harald Oberhofer: Da möchte ich zustimmen, Wirkungsanalysen sind immer sinnvoll. Aber davor sollten die Unternehmen eine potenzielle Schadensanalyse durchführen – was ist der größtmögliche Schaden, der eintreten kann? Wenn man das erst einmal durchgeführt hat, dann bringt das viele dazu, in diesem Bereich mehr tun zu wollen. Wie man an der Studie sieht, muss man die Eintrittswahrscheinlichkeit eines Angriffes nicht mehr berechnen, denn wenn 60 Prozent bereits einen Angriff bemerkt haben, dann ist diese Frage beantwortet. Also geht es nur noch um den potenziellen Schaden.


Stefan Fink: Wir predigen den Unternehmen immer, sie müssen in Szenarien denken und diese müssen unbedingt in unternehmerische Überlegungen mit rein. Und zwar nicht „was glaube ich, dass passieren könnte“, sondern „wieviel darf passieren, bevor ich aufgeben muss“.


Maria Leitner: Es gibt viel zu tun, aber es gibt gleichzeitig viele Unterstützungsmöglichkeiten. Man kann sich bei vielen Organisationen Wissen abholen und muss das Rad nicht neu erfinden. Sondern es gibt auch in Österreich schon viele Erfahrungswerte, auf denen man aufbauen kann.



Weitere Inhalte zum Thema