Um sich vor Cyberangriffen so gut wie möglich zu schützen, ist es das Wichtigste, sich mit dem Thema kontinuierlich auseinanderzusetzen, sich laufend zu informieren, was die aktuellen Angriffstechniken sind und wie man sich davor schützt, sowie den Austausch mit Betroffenen darüber zu suchen, was sie daraus gelernt haben und wie man das im eigenen Unternehmen umsetzen kann. Sagt Wolfgang Rosenkranz, Team Lead CERT.at GmbH (*).
Text: Hansjörg Preims
Herr Rosenkranz, wie gehen die österreichischen Unternehmen mit dem Thema Cybersicherheit um?
Diverse Umfragen bei Unternehmen zeigen, dass sich puncto Cybersicherheit in den letzten Jahren zwar viel getan hat, teilweise aber noch nicht genug oder nicht das Richtige, sprich: Man schaut sich nicht konsequent an, was jeweils die wirklichen tagesaktuellen Bedrohungen sind. Passwörter ändern, Firewall usw. – diese Dinge sind weitgehend korrekt, aber sie sind in den letzten paar Jahren viel komplexer geworden. Wobei uns IT-Dienstleister oft sagen, dass sie gar nicht die Zeit hätten, sich permanent auch noch mit Security-Themen zu beschäftigen. Aber es ist eben das Problem, dass man sich schon zu sicher fühlt bzw. meint, wenn man eh schon dies und das gemacht habe, müsse das reichen. Hier gibt es also noch sehr viel zu tun, damit es genauso selbstverständlich wird, sich um Security-Themen kümmern wie um andere infrastrukturelle oder verwalterische Dinge.
Inwiefern komplexer geworden?
Die Angriffstechniken der Cyber-Kriminellen sind teilweise viel geschickter geworden. Es gibt dabei zwei Hauptaspekte: Das eine sind die bekannten Angriffe Richtung Menschen – Social Engineering, Phishing, usw., wo mit Nachrichten an Mitarbeiter versucht wird, ein Unternehmen zum Beispiel dazu zu bringen, eine Kontonummer zu ändern oder eine Schadsoftware auszuführen. Bei diesen Methoden sind die Angreifer viel geschickter geworden. Es gibt zwar immer noch die E-Mails in verräterisch schlechtem Deutsch, aber mittlerweile – auch mit Unterstützung von künstlicher Intelligenz – gibt es auch Schadsoftware, die mit Mails eingeschleust wird, von denen Sie glauben, dass sie von einem Ihnen bekannten E-Mail-Partner oder Geschäftspartner persönlich kommen. Weil der Inhalt nicht mehr unterscheidbar ist von einer regulären Kommunikation.
Der zweite Punkt: Für die komplexeren Angriffe, wo eine Schwachstelle im System gesucht wird, existiert schon ein im kriminellen Sinn „sehr gut funktionierender“ Markt, wo man Schadsoftware kaufen kann – teilweise für nicht einmal viel Geld –, um damit in ein System einzubrechen. In diesem Markt unterstützt man sich gegenseitig, es gibt Arbeitsteilung, sprich: die einen greifen an, andere saugen Daten ab, wieder andere sind für die Erpressung zuständig usw. Hier hat eine unglaubliche Professionalisierung eingesetzt. Man kann es hier mit einer kompletten kriminellen Maschinerie zu tun haben, die so organisiert ist, wie man es von professionellen Unternehmen kennt. Hier werden dann in einem Tempo und einer Intensität Angriffe durchgeführt, dass es nur ganz schwer ist, dagegenzuhalten.
Ist IoT „interessant“ für Cyberkriminelle?
Ja. Speziell auch Sektoren, die viel IoT einsetzen, werden in Zukunft ein großes cybersicherheitstechnisches Problem bekommen. Die Frage ist nur, ob diese Zukunft schon begonnen hat oder nicht. Im Immobilienbereich zum Beispiel wird sehr viel auf Automatisierung gesetzt. Und überall dort, wo auf Sensorik und IoT gesetzt wird, haben wir das Problem, dass diese Dinge wenig geschützt sind, dass man nicht weiß, wie man sie updatet und wie man den Hersteller dazu verpflichtet, Updates zu liefern und sich um die Sicherheit zu kümmern. Das ist insofern ein hohes Risiko, als in dem Moment, wo man feststellt, dass man verwundbar ist, das Problem auch nicht mehr einfach wegbekommt. Sprich: man kann dann nicht einfach alle Sensoren, Türöffner oder Kameras wieder abmontieren. Dann rasch eine Lösung zu finden, ist schwierig. So werden wir im Immobiliensektor in der näheren Zukunft wahrscheinlich noch „interessante“ unerfreuliche Überraschungen erleben. Allein schon die Möglichkeit, von krimineller Seite den Aufzug in einem Hochhaus zu blockieren bzw. zu manipulieren oder die Klimatisierung außer Funktion zu setzen, bietet nicht nur Potenzial für eine Erpressung, sondern kann auch gefährlich werden.
Wie kann sich ein Unternehmen gegen Cyberangriffe nach Möglichkeit schützen?
Das Wichtigste ist, wie gesagt, sich mit dem Thema Cybersicherheit kontinuierlich auseinanderzusetzen, sich laufend darüber zu informieren, was die aktuellen Angriffstechniken sind und wie man sich davor schützt, den Austausch mit Betroffenen darüber suchen, was sie daraus gelernt haben und wie man das im eigenen Unternehmen umsetzen kann. Und vor allem sollte man das nicht als einmalige Sache sehen in dem Sinn, dass man glaubt, mit einmalig gesetzten Sicherheitsmaßnahmen habe man für ein paar Jahre Ruhe. Je nachdem, welches Bedrohungsniveau man hat, muss man sich täglich, wöchentlich oder monatlich wieder damit beschäftigen, was sich inzwischen geändert hat. Was im Endeffekt meistens heißt, dass man hier auch jemanden einstellen oder zumindest einen Dienstleister beauftragen muss, der hilft – und der natürlich auch die Ausbildung dafür hat. Der momentane Trend – in den Hochrisikobereichen wie Finanz und Energie, aber auch Gesundheit – ist, dass man Teams bzw. ein Security Operations Center gründet, wo Experten im Team ausschließlich damit beauftragt sind festzustellen, ob im Unternehmen etwas passiert, was nicht passieren sollte. Experten, die jede Meldung von jedem Gerät im Netzwerk prüfen, versuchen, Auffälligkeiten zu finden, bevor es sprichwörtlich „brennt“, und dies im Optimalfall entsprechend verhindern.
Was kann / sollte bei einem solchen Angriff getan werden, um Schaden zu minimieren?
Das Erste bzw. Wichtigste ist, sich Unterstützung zu holen. Cybertechnisch hat man oft gar keine Chance, etwas dagegen zu tun, aber ein entsprechend geschulter Experte kann versuchen zu verhindern, dass das Problem nicht noch größer wird. Die Schwierigkeit bei cybersicherheitstechnischer Unterstützung ist, dass wir derzeit auch hier einen akuten Fachkräftemangel haben. Dementsprechend empfehlen wir, rechtzeitig bzw. schon bevor man ein Problem hat, mit einem kompetenten Dienstleister Kontakt aufzunehmen, der, sollte man ihn brauchen, dann auch zur Verfügung steht. „Wer zuerst kommt, mahlt zuerst“ gilt auch hier.
Ist das größte Problem der Mensch?
Der Mensch ist nicht das eigentliche Problem, sondern eine mögliche Schwachstelle in der Sicherheitskette. Gefährlich wird es, wenn die Technik zu sicher wird, denn dann geht der einfachste Weg oft über den Menschen und das kann auch Gefahr für Leib und Leben bedeuten. Man sollte sich nicht nur auf eine Sicherheitsmaßnahme verlassen, egal ob technisch oder menschlich. Die Mitarbeiter müssen entsprechend geschult sein, sie müssen vorsichtig agieren, die Firmen müssen aber auch den ganzen Technologie- und Methodenwettlauf, der sich teilweise im Securitybereich abspielt, mitmachen.
Ein anderes Schlagwort lautet: „Cybersicherheit ist Chefsache“. Was bedeutet das konkret für die Organisation eines Unternehmens?
Es ist jedenfalls dann Chefsache, wenn es darum geht, die unternehmerische Verantwortung klarzustellen. Was nicht passieren sollte bzw. immer noch passiert, ist, dass Cybersicherheit an den IT-Leiter oder an einen externen Dienstleister ausgelagert wird und die Geschäftsführung es dann als erledigt betrachtet. So gibt es immer noch viele Unternehmen, wo der aktuelle Stand der Cybersicherheitsmaßnahmen nicht regelmäßig an den Geschäftsführer oder den Vorstand berichtet wird. Es ist aber natürlich nicht nur Chefsache, genauso wie der Schutz von Firmeneigentum nicht nur den Chef etwas angeht, sondern auch jeden Mitarbeiter in seinem jeweiligen Arbeitsbereich. Insofern Chefsache ja, aber nicht allein Chefsache.
Wie viel kostet Cybersicherheit?
Das kommt auf das Unternehmen an. Für ein kleineres Unternehmen gibt es meistens schon Bordmittel wie eingebaute Virenscanner, deren Kosten eigentlich kein Thema mehr sein sollten. Weitergehend, wenn man eine eigene Software braucht, um herauszufinden, ob schon irgendwo angegriffen wurde, kommt man in den Bereich von wahrscheinlich ein paar tausend Euro für diese Software plus Personalkosten für den, der sich das anschaut. Für den Aufbau eines Security Operation Center braucht man dann schon mehrere Personen und eine spezielle Software, sodass dann schnell mal ein Großteil des Budgets nur für die Sicherheit draufgeht. Und wenn man dann auch noch 24/7-Betrieb haben will, wird es wirklich teuer.
Also zur Frage, wie viel Cybersicherheit kostet – Beispiel Immobilienunternehmen mit viel IoT: Da wird man Beratung brauchen, und die Personalkosten für entsprechende Fachkräfte beginnen bei 60.000 Euro im Jahr und gehen hinauf bis zu 150.000 Euro. Und wenn man mehrere davon braucht, bewegt man sich schon in Richtung der Million nur für das entsprechende Personal. Der größte Kostenfaktor ist hier immer das Personal.
(*) CERT.at ist das österreichische nationale CERT (Computer Emergency Response Team) und als solches Ansprechpartner und Informationsdrehscheibe für IT-Sicherheit im nationalen Umfeld. Es vernetzt andere CERTs und CSIRTs (Computer Security Incident Response Teams) aus den Bereichen kritische Infrastruktur, IKT (Informations- und Kommunikationstechnik) und gibt Warnungen, Alerts und Tipps für KMUs heraus. Bei Angriffen auf Rechner auf nationaler Ebene koordiniert CERT.at und informiert die jeweiligen Netzbetreiber und die zuständigen lokalen Security Teams.
Cybersecurity-Hotline der WK Wien
Wenn Sie keinen IT Dienstleister Ihres Vertrauens haben -> Cybersecurity-Hotline der Wirtschaftskammer Wien
- 0800 888 133 – 24 Stunden am Tag / 7 Tage die Woche erreichbar
- IT-Security-ExpertInnen sind von Montag bis Freitag von 8.00 bis 18.00 Uhr im Einsatz.
- Im absoluten Notfall koordiniert die UBIT Experts Group auch außerhalb der Geschäftszeiten einen IT-Experten.
- schnelle und unbürokratische Hilfe im Ernstfall
Förderungen
Generell ist die KMU-Digitalförderung jetzt wieder aufgelegt worden, „da wird schon die Beratung dazu gefördert“, so Martin Heimhilcher, Spartenobmann „Information & Consulting“ in der WKO. „Die KMU Cybersecurity-Förderung – eine Investitionsförderung für KMU – ist derzeit leider ausgeschöpft. Es werden neue Fördermittel bereitgestellt. Hier erhalten KMU im Rahmen des Austrian Wirtschaftsservice (aws) Programms ,aws Digitalisierung‘ bei Investitionen zur Steigerung ihrer Cybersicherheit bis zu 40 % der Kosten gefördert.“
https://www.wko.at/site/it-safe/kmu-cybersecurity-foerderung.html
Zahlen zu Cybercrime in Wien bzw. Österreich: (Quelle: WK Wien)
Bericht Cyberkriminalität in Wien 2021
Trend der letzten 10 Jahre – deutliche Zunahme auch dieses Mal
2020: 13.942 Fälle
2021: 17.068 Fälle (+ 22,4 %)
Internetbetrug (gem. §§ 146-148 StGB) -> Zahl der Fälle stieg von 5.183 auf 6.330 (+22,1 %)
Cybercrime im engeren Sinne -> Zunahme von 7.478 auf 8.794 Fälle (+ 17,6 %)
Der Großteil davon war – wie schon in den Vorjahren – Fälle des „Betrügerischen Datenverarbeitungsmissbrauchs (gem. § 148a StGB) -> Steigerung von 6.989 auf 8.167 Fälle (+ 16,9 %). Dabei handelt es sich vor allem um Missbräuche von entfremdeten Karten bei bargeldlosen Zahlungen mittels NFC-Funktion.
Cyberkriminalität in Österreich 2021
410.957 Straftaten wurden 2021 angezeigt. Das ist der geringste Wert seit 10 Jahren. Im Vergleich zu 2020 bedeutet das einen Rückgang von -5,3 %.
Aufklärungsquote: 55,3 % (2008 lag diese noch unter 40 %)
Eine deutliche Zunahme gab es bei Cyberkriminalität -> Hier kam es zu 46.179 Anzeigen (Steigerung von 1/3 im Vergleich zum Vorjahr; Steigerung um 50 % im Vergleich zu 2019).
Cyber- und Gesundheitsrisiken sind die Hauptsorgen der CEOs
PwC befragt jedes Jahr im Zuge des Global CEO Survey über 5.000 CEOs von Unternehmen weltweit unter anderem zu den größten Risiken für ihren Unternehmenserfolg. Und seit nunmehr zwei Jahren wird diese Liste von Cyberbedrohungen angeführt. „In Österreich waren es vor zwei Jahren noch nur an die 25 Prozent der befragten CEOs, die darin die größte Bedrohung sahen – das war noch eine Wahrnehmung von der Insel der Seligen“, so Georg Beham, Cybersecurity Experte bei PwC. Das habe sich aber zuletzt durch große prominente Cyberangriffe geändert, sprich: „Das Bewusstsein für Cyberbedrohungen ist auch bei uns angekommen, mittlerweile sehen auch die österreichischen CEOs Cyberangriffe mit 64 Prozent als die größte Bedrohung für Unternehmen.“ 81 Prozent antizipieren negative Auswirkungen durch Cyberrisken auf den Verkauf ihrer Produkte und Dienstleistungen.
Auch das Bewusstsein für Gesundheitsrisiken hat sich deutlich verändert. Während sich in Österreich im letzten Jahr nur 14 Prozent besorgt über Themen wie beispielsweise Pandemien, chronische Krankheiten oder Beeinträchtigungen der mentalen Gesundheit zeigten, stufen heuer bereits 38 Prozent dieses Risiko als hoch ein.
Nur 21 Prozent der österreichischen CEOs (33 % weltweit) nannten hingegen den Klimawandel als eine der Hauptsorgen für das kommende Jahr, was die Überzeugung widerspiegelt, dass sich dieser in naher Zukunft nicht auf das Umsatzwachstum auswirken wird.
