Cyberattacken werden häufiger und gefährlicher, doch Unternehmen sind nicht ausreichend darauf vorbereitet. Wie sieht eine professionelle Abwehr aus?

Von Robert Prazak

Diebstahl heikler Daten, Erpressungsversuche, gefälschte E-Mails und Anrufe – in Österreich ist mittlerweile jeder siebente Cyberangriff erfolgreich. Denn solche Attacken treffen heute nicht in Wellen auf unsere IT- und Kommunikationssysteme – es ist ein wahrer Tsunami, der über Unternehmen, Behörden und Organisationen hereinbricht. „Ein Cyberangriff ist wie ein Kriegsakt gegen ein Unternehmen“, sagt Georg Beham, Leiter Cybersecurity & Privacy bei PwC. Das Problem: Die Firmen sind in dieser Hinsicht auf Friedenszeiten eingestellt. Das bedeutet aber auch: Nur die wenigsten Unternehmen haben eine adäquate Vorbereitung auf Cyberangriffe. „Die meisten denken ja gar nicht, dass sie Opfer werden könnten“, sagt Beham. Und sie hätten oftmals nicht auf ihre Mitarbeiter_innen gehört, dass Investitionen getätigt werden müssten. Gerade das Gefühl, ohnehin schon ausreichend getan zu haben, führt in die Irre. Denn Ransomware-Attacken, mit denen Lösegeld zur Freigabe von Daten erpresst werden soll, könnten jederzeit jeden treffen, warnt Josef Pichlmayr, CEO von Ikarus Security Software. „Attacken treffen zwar auf Unternehmen, die nicht unvorbereitet sind und dennoch wird es immer schwieriger, sich zu schützen.“ Während Unternehmen der kritischen Infrastruktur gut aufgestellt seien, gäbe es bei anderen – speziell bei KMU und EPU – noch substanziellen Verbesserungsbedarf, konstatiert Alexander Janda, Generalsekretär des Kompetenzzentrums Sicheres Österreich (KSÖ), das gemeinsam mit dem KSV1870 ein Cyberrisiko-Rating entwickelt hat, eine Art Bonitätsrating für Cybersecurity.

Die Abwehr von Cyberattacken wird anspruchsvoller. „Es wird nicht nur immer mehr, sondern nimmt auch an Komplexität zu“, sagt Pichlmayr. Das hat mehrere Gründe: Cybercrime ist zu einer blühenden Schattenwirtschaft mit arbeitsteiligen Strukturen geworden, die in immer schnelleren Zyklen neue Werkzeuge für eine kriminelle Nutzung auf den Markt bringt. Und diese Tools können mit überschaubarem technischen Verständnis genutzt werden. Über die Dienstleistung „Cybercrime-as-a-Service“ kann sich jeder potenzielle Kriminelle, darunter solche aus Österreich, genau das herauspicken, was er für seine Cyberattacke braucht – bei relativ niedrigem Risiko. Schätzungen zufolge wäre die Cybercrime-Industrie weltweit die drittgrößte Volkswirtschaft. Beham: „Heute gibt es Affiliate-Systeme, die kriminellen Organisationen zur Verfügung stehen.“ Diese sind hochspezialisiert und gegen diese Professionalisierung sind die meisten Unternehmen machtlos.

Georg Beham

„Ein Cyberangriff ist wie ein Kriegsakt gegen ein Unternehmen.“

Georg Beham

Zunehmend politisch motiviert

Die Bedrohung durch Cyberangriffe hat seit Mitte der 2010er Jahre stark zugenommen, denn davor stand kein Geschäftsmodell dahinter. Zudem hat die Abhängigkeit von der IT durch die Digitalisierung und den Entwicklungen im Zuge der Covid-Pandemie zugenommen. Dazu kommt seit 2022 der Ukraine-Krieg; Cyberangriffe sind zunehmend politisch motiviert, teilweise gibt es sogar staatliche Unterstützung. Das bedeutet: Traditionelle Konflikte verschmelzen mit digitaler Kriegsführung und Zivilgesellschaften werden über Desinformation und Manipulation ins Visier genommen. „Ein Problem ist, dass der Austausch zwischen Behörden im Westen und jenen in Russland bzw. in den Russland-freundlichen Regionen nicht mehr vorhanden ist“, erläutert Pichlmayr. Das bedeutet: Leute, die von dort aus Unternehmen und Infrastrukturen in westlichen Ländern attackieren, haben nichts zu befürchten.

KI verschärft Situation

Und jetzt kommt noch der steigende Einsatz künstlicher Intelligenz dazu: Cyberkriminelle sind ja hochspezialisiert und nutzen stets fortschrittliche Technologien, um ihre Angriffe durchzuführen. So können mit Deepfakes Anrufe oder sogar Online-Meetings gefälscht werden; Menschen werden dabei anhand frei verfügbarer Bilder oder Videos aus dem Netz durch KI-Tools nachgebildet. Durch KI können zudem Phishing-Mails täuschend echt formuliert werden; Nachrichten in holprigem Deutsch gehören der Vergangenheit an. Dabei könnte KI im Prinzip nicht nur die Angriffsmöglichkeiten erhöhen, sondern auch die Verteidigung stärken. „Die Frage ist: Wer ist geschickter im Umgang mit der neuen Technologie?“, sagt Janda. Derzeit sind Strafverfolgungsbehörden und Unternehmen seiner Meinung nach eher im Nachteil. Es wird jedenfalls immer wichtiger, Mitarbeiter_innen für das Risiko etwa von Deepfakes zu sensibilisieren, denn gerade diese Technologie entwickelt sich rasant. Auch die Scham der Unternehmen schadet der gemeinsamen Abwehr: So wird in Deutschland überhaupt nur jeder zehnte Ransomware-Vorfall den Behörden gemeldet.

Josef Pichlmayr

„Ein Problem: der Austausch zwischen Behörden im Westen und jenen in Russland bzw. in den Russland-freundlichen Regionen ist nicht mehr vorhanden.“

Josef Pichlmayr

Ehrlichkeit gegenüber sich selbst

Was können Unternehmen konkret tun? Zunächst braucht es Ehrlichkeit gegenüber sich selbst. „Fakt ist: Man kann 20 Jahre Digitalisierung ohne Sicherheit nicht in einem halben Jahr nachholen“, meint Beham. Dass große Unternehmen besser geschützt sind, ist nach Ansicht von Pichlmayr übrigens ein Mythos: „Diese haben zwar mehr Ressourcen, bieten aber viel mehr Angriffsflächen, weil sie mehr Mitarbeiter und mehr Infrastrukturen haben, außerdem sind sie bekannter.“ KSÖ-Generalsekretär Janda hat einen Tipp für KMU parat: „Für Mitglieder der Wirtschaftskammer gibt es eine Fülle von Angeboten, die sie zur Erhöhung ihrer Sicherheit nutzen können, von Handbüchern über eine Cybersecurity-Hotline bis zum Kontakt mit spezialisierten Dienstleistern.“

Der Faktor Mensch spielt nach wie vor eine große, wenn nicht die größte Rolle in Sachen IT-Sicherheit. Cybersicherheit kann technologisch erledigt werden, aber die optimale Prävention hat ihre Grundlage in der Organisation, nicht in der IT, meint Georg Beham „Führungskräfte müssen mit gutem Beispiele vorangehen und den einzelnen Mitarbeitern muss bewusst gemacht werden, was auf dem Spiel steht.“ Die beste Firewall würde nichts nützen, wenn etwas angeklickt wird oder Daten weitergegeben werden, warnt auch Janda. „Gesunder Menschenverstand ist nötig, um die Kommunikation trotz der Risiken aufrechtzuerhalten.“ Werden gewisse Grundregeln eingehalten, wird es schwierig für Angreifer_innen. „Dazu zählt, wer was in meinem Unternehmen machen darf“, sagt Pichlmayr. Es brauche eine Awareness-Strategie – statt einzelner Seminare ist es aber sinnvoller, die digitale Kompetenz der Mitarbeiter_innen insgesamt anzuheben, inklusive einem starken Fokus auf Sicherheit.

Was bringt eigentlich eine Cyberversicherung? Diese könnten Unternehmen zwar vor finanziellen Verlusten durch Cyberangriffe schützen, machen sie andererseits für Angreifer aber attraktiver, warnt Beham. „Versicherte Unternehmen könnten daher ein größeres Risiko für Cyberangriffe haben.“ Sich in trügerischer Sicherheit zu wiegen ist generell ein falscher Ansatz. Denn Pichlmayr stellt klar: „Es gibt keinen hundertprozentigen Schutz.“ Wichtig sei es, zu definieren, was ein vertretbares Maß an Risiko sein – und da müsse man eben priorisieren.

Weiterbildungstipp:

 

MBA Information Security Management & Cyber Security: Die Universität für Weiterbildung Krems bietet das Weiterbildungs-Masterstudium berufsbegleitend im Format Blended oder Distance Learning an.


GEORG BEHAM

Georg Beham, MSc ist Leiter Cybersecurity & Privacy bei PwC. Dort leitet er ein Team von etwa 70 Personen, die sich um Prävention, sichere Prozesse und Technologien kümmern, außerdem um Erkennung und Reaktion auf Cyberangriffe. Beham ist auch Vortragender an der Universität für Weiterbildung Krems.

JOSEF PICHLMAYR

Josef Pichlmayr ist CEO von Ikarus Security Software – sein Unternehmen bietet klassische Sicherheitslösungen, Managed Security Services sowie Engines für große Unternehmen an, um deren Cloud-Infrastruktur zu schützen.

ALEXANDER JANDA

Dr. Alexander Janda ist Generalsekretär des Kompetenzzentrums Sicheres Österreich (KSÖ), das Initiativen zur Erhöhung der Sicherheit in Österreich setzt.

LINK

Artikel dieser Ausgabe

Zum Anfang der Seite