Cyberangriffe sind vor allem für KMU eine ernsthafte Bedrohung, denn häufig fehlt es an den nötigen Sicherheitsvorkehrungen. Dadurch entstehende Betriebsausfälle wie Produktions- oder Kommunikationsstopps können erhebliche finanzielle Schäden zufügen. Der Fachmann in Österreich für Cybersicherheit ist Mag. Walter Unger, ObstdG, Leiter der Abteilung Cyber Defence & IKT-Sicherheit beim Österreichischen Bundesheer. Wir haben mit ihm über implementierbare Sicherheitsmaßnahmen, Beispiele aus der Praxis und die Rolle der menschlichen Komponente bei Cyberangriffen gesprochen.
Laut der Studie von KPMG waren im vergangenen Jahr zwei Drittel der österreichischen Unternehmen Opfer von Cyberangriffen. Doch nur etwa die Hälfte der heimischen Betriebe sieht Cybersecurity als fixen Bestandteil ihrer Digitalisierungsmaßnahmen an. Wie erklären Sie sich diese Entwicklung?
Wenn ich meine Vorträge halte, dann bringe ich auch diese Zahlen und frage, was mit dem anderen Drittel lost ist. Im Durchschnitt dauert es acht Monate, bis Spionageoperationen in Zusammenhang mit Cyberangriffen entdeckt werden. Cybersicherheit ist ein komplexes Thema, das Wissen darüber ist in Unternehmen oft nicht großartig ausgeprägt. Häufig ist kein Fachpersonal vorhanden und Sicherheitsmaßnahmen kosten viel Geld. Jedoch ist das Risiko gerade für Unternehmen hoch, Opfer zu werden. Im Endeffekt läuft es aber auf die Frage hinaus, ob es sich Unternehmen leisten können, keine Absicherung gegen Cyberangriffe zu treffen.
Mit welcher Absicht greifen Cyberkriminelle häufig Unternehmen an?
Alles, was an Kriminalität denkbar ist, ist auch im Cyberraum möglich und wird auch dort gemacht. Oft geht es um Geld: Hierbei werden die Daten des Unternehmens mit Ransomware verschlüsselt und Lösegeld erpresst. Dabei werden Firmen- oder Kund:innendaten quasi als Geisel genommen. Haben Unternehmen in so einem Fall kein sicheres Recovery- und Backup-Konzept, werden sie schnell zu Opfern. Unternehmen können hier aber mit regelmäßiger Datensicherung gegensteuern. Eine weitere Angriffsabsicht ist Sabotage: Hier werden Systeme und Server lahmgelegt, so dass sie nicht mehr erreichbar sind. Das ist vor allem für eCommerce-Anbieter ein Problem. Auch hier wird in der Regel Lösegeld erpresst. Dann gibt es noch Cyberangriff zu Spionagezwecken. Einerseits sind hier meist Betriebsgeheimnisse oder fachspezifisches Know-how das Ziel der Kriminellen. Immerhin haben wir in Österreich an die 400 Hidden Champions, das sind innovative Unternehmen, die technologisch weltweit führend sind. Wenn dort Wissen gestohlen wird, könnte damit jemand schneller und vielleicht auch billiger auf den Markt gehen. Andererseits sind Kund:innendaten mittels DSGVO geschützt, geht man damit fahrlässig um – etwa durch nicht korrekte Sicherung der Daten –, droht Strafe. Ein weiteres Nebenthema von Cyberattacken ist die Manipulation von Webseiten, die Verbreitung von Falschnachrichten, etc. Auch so etwas kann Unternehmen Schaden zufügen: es entsteht ein Imageschaden, durch den Beschäftigte, Kund:innen, Aktionär:innen oder Gesellschafter:innen verunsichert werden können. Das führt schnell zu finanziellen Einbußen für das Unternehmen – und das ist natürlich eine reale Gefahr für klein- und mittelständische Betriebe.
Wie können sich Unternehmen vor Cyberangriffen schützen?
Ein absolutes Muss sind die technologischen Vorkehrungen, diese müssen State of the Art sein. Dazu gehören Systeme zur Intrusion Prevention sowie Intrusion Detection (beides Angriffserkennungssysteme), Firewalls, Sandboxing (isolierte Bereiche) u .s. w. Diese müssen vor allem bei Rechnern greifen, auf denen sich wirklich wichtige Informationen befinden. Nicht alle Rechner müssen in dieser Weise geschützt sein – nur, wenn es die Informationen darauf erfordern. Werden all diese Systeme umgangen, und man wird nicht erpresst, dann ist es sehr schwierig, Cyberangriffe zu erkennen. Dann kann man Attacken womöglich nur indirekt erkennen, indem sich das System anders verhält oder indem Datenflüsse wo anders hingehen als sonst.
Haben Sie dazu einen realen Fall aus der Praxis für solche indirekten Anzeichen eines Cyberangriffs auf ein Unternehmen?
Zum Beispiel wurde man 2011 bei der Kärntner Firma Windtec durch indirekte Vorkommnisse auf Industriespionage aufmerksam: Dabei hat ein illoyaler Mitarbeiter technologisches Know-how an eine chinesische Firma verkauft, die vorher regelmäßiger Kunde von Windtec war. Als das chinesische Unternehmen nun nicht mehr auf das Kärntner Know-how angewiesen war und der regelmäßige Auftrag ausblieb, wurde man bei Windtec stutzig und man bemerkte, dass hier etwas nicht stimmen konnte. Das ist ein klassischer Fall für indirekte Anzeichen auf einen Angriff, bei dem auf technologisches Know-how abgezielt wurde. Der Fall ging durch die Medien, das Unternehmen hatte laut eigenen Angaben einen finanziellen Schaden von 250 Millionen Dollar und musste 40 Mitarbeiter:innen kündigen. Der illoyale Mitarbeiter wurde gerichtlich bestraft.
Und haben Sie auch einen Fall, bei dem eine österreichische Firma um Geld betrogen wurde?
Der bekannteste Fall von Erpressung ist sicherlich der, der 2016 der oberösterreichischen Firma FACC geschehen ist. Hier fiel eine Mitarbeiterin einem CEO-Trickbetrug (Fake-President-Trick) zum Opfer. Der Angreifer verfügte über interne Informationen und hat sich per E-Mail als Vorstandschef der Firma ausgegeben. Er gab an, gerade einen großen Deal vorzubereiten – der praktischerweise streng geheim gehalten werden sollte – und wies die Mitarbeiterin an, über die Weihnachtstage 50 Millionen Euro zu überweisen. Das hat sie getan und das Geld ist verloren. Das ist ein klassischer Fall von Social Engineering, bei dem eine Person gezielt manipuliert wurde, um Finanzmittel freizugeben. Das funktioniert nur über gute Vorbereitung der Betrüger:innen, zuvorkommender Freundlichkeit sowie Gutgläubigkeit von Mitarbeiter:innen und wenn falsche oder keine Gebarungsrichtlinien vorliegen.
Bei diesen beiden Beispielen spielte das menschliche Verhalten eine große Rolle. Welchen Anteil beim Schutz vor Cyberkriminalität spielt die Technologie und welchen der Faktor Mensch?
Wie vorhin schon erwähnt, muss die Technologie auf dem neuesten Stand sein. Man sollte auch die Stromversorgung bedenken, diese sollte immer gegeben sein – notfalls mittels Notstromaggregat. Auch der Faktor Mensch spielt eine sehr große Rolle: die Mitarbeiter:innen und das Führungspersonal müssen sensibel für mögliche Angriffe sein, auch was Telefonate und E-Mails betrifft – vor allem durch Social Engineering. Die Unternehmen brauchen eine klare Strategie für den Schutz vor Cyberkriminalität.
Wie kann ein Unternehmen eine Strategie zur Sicherheit im Cyberraum entwickeln?
Zum Beispiel dadurch, in dem es die richtigen Fragen stellt. Jedes Unternehmen sollte sich ehrlich diese Fragen stellen und sich im Klaren darüber sein, welche Maßnahmen getroffen werden müssen:
- Was ist wirklich schützenswert?
- Was müssen die Mitarbeiter:innen wissen, um sich und das Unternehmen zu schützen?
- Sind die Mitarbeiter:innen ausreichend ausgebildet? Machen Sie Fehler bei der Nutzung von Soft- und Hardware?
- Gibt es innerhalb des Unternehmens eine sicherheitsbeauftragte Person?
- Gibt es eine gesunde Fehlerkultur? Können sich Mitarbeiter:innen bei Fehlern vertrauensvoll an jemanden wenden?
- Gibt es unzufriedene Mitarbeiter:innen? Und werden beim Thema Sicherheit auch Recruiting-Prozesse mitgedacht?
Kurz gesagt: Jedes Unternehmen braucht eine:n Sicherheitsbeauftragte:n. Das ist für viele ein große Hürde, vor allem für KMU. Da stellt sich immer die Frage danach, wer das machen soll und wer das Wissen, die Kapazität und die Zeit dazu hat. Oder gibt es vielleicht die Möglichkeit, durch organisatorische Maßnahmen für Sicherheit zu sorgen? Beim Bundesheer sind zum Beispiel die wirklich wichtigen Dinge nicht online.
Welche Rolle spielt dabei die Verschlüsselung?
Verschlüsselung ist ein zentrales Thema, wenn es um Cybersicherheit geht. Wichtige Datenbestände müssen verschlüsselt sein und über eine entsprechende Rechteverwaltung verfügen. Idealerweise haben Unternehmen brauchbare Verschlüsselungen, die jede Person verwenden kann – gegebenenfalls nach einer kurzen Einschulung.
Öffnet Ihrer Meinung nach die Digitalisierung Cyberkriminellen Tür und Tor?
Durch das Internet der Dinge (IoT) sind immer mehr Dinge miteinander vernetzt und es gibt deutlich mehr Schwachstellen und Einfallstore als bisher. Für Standardsysteme gibt es Firewalls, aber für smarte Heizungen, Alarmsysteme, Zutrittskontrollen und Co. braucht man ebenso Passwörter und entsprechenden Schutz. Oft werden bei Firmen und auch privat immer noch Standardpasswörter verwendet. Auch Software ist fehlerhaft und kann anfällig sein. Dann kommt noch 5G auf uns zu, das als erstes für die Industrie und Unternehmen interessant sein wird. Man muss sich bei solchen Technologien immer fragen, was passiert, wenn das System ausfällt und etwas nicht mehr funktioniert.
Wie kann Bewusstsein für Cybersicherheit geschaffen werden – einerseits in der Führungsebene, andererseits bei den Mitarbeiter:innen?
Heute ist man bei diesem Thema oft nur auf die Mitarbeiter:innen fokussiert. Jedoch können die größeren Fehler in der Führungsebene stattfinden! In der Praxis hat sich bei vielen Unternehmen bewährt, dass die sicherheitsverantwortliche Person die Führungskraft direkt informiert. Denn alles, was beim Chef oder bei der Chefin angesiedelt ist, findet Gehör und bekommt entsprechendes Budget. Es ist wichtig, dass das Bewusstsein auch „oben“ vorgelebt wird. Die Führungskräfte müssen sich folgendes fragen: Was funktioniert noch, wenn die Computer nicht mehr funktionieren? Man kann dann nichts mehr verwalten, nichts mehr produzieren, nichts mehr kommunizieren u.s.w. Aber auch in der Hierarchie weiter untenstehend braucht es entsprechende Sensibilisierungsmaßnahmen. Auch die Versicherungsbranche hat die Gefahr bereits erkannt: heute liegt das Toprisiko von Unternehmen bei Cyberangriffen.
Wie könnten diese Sensibilisierungsmaßnahmen aussehen?
Beim Bundesheer etwa muss jede Person einmal im Jahr eine Sicherheitsschulung machen, die sie auch bestehen muss. Da werden dann Fragen gestellt, wie „Wie schaut ein gutes Passwort aus?“ bis hin zu „Wie erkennt man Social Engineering Maßnahmen?“. Die Erfahrung zeigt, dass solche Awareness-Schulungen viel bringen – auch für Unternehmen.