Die Fälle von Cyberkriminalität und die dadurch verursachten Schäden nehmen weltweit rasant zu. Auch wenn das Bewusstsein für die Wichtigkeit des Themas in Österreich gestiegen ist, sind besonders KMU oft nicht ausreichend auf den Ernstfall vorbereitet. Dabei braucht es für ein akzeptables IT-Sicherheitsniveau nicht zwingend hohe Investitionen – sondern als ersten Schritt „nur“ ein Ablegen der eigenen Bequemlichkeiten.
„Wir haben eh eine Firewall, mehr brauchen wir als kleines Unternehmen nicht. Wer soll sich für uns interessieren?“ Markus Roth erinnert sich genau an dieses Zitat eines Firmenpartners, der lange Zeit wenig davon hielt, sich mit dem Thema IT-Sicherheit auseinanderzusetzen oder gar darin zu investieren. „Als er dann auf einer Dienstreise in die USA aus dem Flieger gestiegen ist, hat er eine TAN-SMS für die Überweisung von 25.000 Euro auf die Virgin Islands bekommen“, sagt Roth. Während er im Flugzeug keinen Empfang gehabt hatte, wies ein Betrüger seine Sekretärin in mehreren Mails detailliert und glaubwürdig an, warum sie sofort 25.000 Euro für wichtige Firmengeschäfte an ein Offshore-Konto überweisen müsse. Kein Einzelfall. „Besonders bei kleineren Unternehmen in Österreich herrscht oft immer noch die Überzeugung, dass es einen schon nicht treffen wird, dass die eigenen Daten nicht interessant für Cyberkriminelle sind“, sagt Roth, „wenn dann was passiert, ist die Überraschung groß.“ Der Cyber Security Report von Deloitte bestätigt das: Rund ein Viertel der Klein- und Mittelbetriebe setzt sich erst nach einem Vorfall mit Cybersecurity auseinander, bei Unternehmen mit 250 Mitarbeitern oder mehr waren es nur acht Prozent. Roth ist Obmann der Fachgruppe Unternehmensberatung, Buchhaltung und Informationstechnologie (UBIT) bei der WKOÖ, Gründer des IT-Unternehmens Creative Bits und hat als IT-Berater mit verschiedensten Menschen, von Ministern bis CEOs, über das Thema gesprochen. Ein Hauptproblem für ihn ist die Bequemlichkeit vieler Unternehmer. „Die Möglichkeiten wären vorhanden, die Ausrede ‚Ich habe keinen Sicherheitsexperten mit 25 Jahren Erfahrung gefunden‘ zählt da nicht“, sagt er. Mit relativ simplen Mitteln könne man schon viel erreichen. Die UBIT betreibe viel Aufklärungsarbeit, innerhalb der Mitgliedsbetriebe gibt es viele IT-Security-Spezialisten, die über die Plattform huddlex.at weitervermittelt werden. Auch eine eigene Notfallhotline hat die WKOÖ eingerichtet – für direkte Hilfe bei Hackerattacken. Ein IT-Sicherheitshandbuch soll Unternehmen helfen, die Mitarbeiter zu sensibilisieren. Denn die Statistiken zeigen: Die größten Risiken sind oftmals nicht Lücken in der Software – sondern unvorsichtige Menschen und fehlendes Bewusstsein.
Fehlendes Risikobewusstsein kennt auch Ulrich Fleck, einer der Geschäftsführer des österreichischen Informationssicherheitsexperten SEC Consult. „Wenn in einer ganzen Abteilung alle dasselbe Passwort verwenden, wird es schwierig herauszufinden, wo sich die Hacker genau Zugriff verschafft haben“, erklärt er. Sein weltweit tätiges Unternehmen betreut Kunden von Start-ups bis hin zu internationalen Großbanken, aber auch kleine und mittelständische Unternehmen. „Neben klassischen IT-Überprüfungen werden wir oft gerufen, wenn die Kunden einen Angriff vermuten – oder für sogenannte Penetrationstests“, sagt Fleck. Dabei klopfen Experten die Sicherheitssysteme der Kunden auf Lücken ab und versuchen, sich mit Hackermethoden Zugriff zu verschaffen. Fleck: „Der Kardinalfehler ist sicher, dass man als Unternehmer nicht auf den Ernstfall vorbereitet ist.“ Die Sicherheit gilt es bei jedem Vorhaben mitzudenken. „Wir sehen oft, dass Unternehmer sich erst mit dem Aspekt Sicherheit beschäftigen, bevor ihr Produkt oder System live gehen soll – das ist zu spät“, sagt er. Wie viel sollte man sich effektive Sicherheitsmaßnahmen kosten lassen? Pauschal lasse sich das nicht sagen. Welche Summe Unternehmer in die Sicherheit investieren sollten, komme darauf an, wie angreifbar die jeweiligen Assets online sind. „Eine Großbäckerei wird etwa weniger brauchen als eine Bank“, erklärt Fleck, „die Bandbreite der sinnvollen Investitionen in Sicherheit bewegt sich in etwa bei fünf bis 17 Prozent des IT-Budgets.“
Extrem hohe Dunkelziffer bei Angriffen
Um 16,8 Prozent sind die angezeigten Fälle von Internetkriminalität 2018 laut einem Bericht des Innenministeriums gestiegen, tatsächlich waren es vermutlich viel mehr. „Es gibt eine extrem hohe Dunkelziffer“, sagt Fleck. Das liege auch daran, dass man Informationen im klassischen Sinne nicht stehlen könne. „Wenn ein Hacker Informationen wie Passwörter oder sensible Daten ausspäht, sind sie ja deswegen beim Eigentümer nicht weg. Laut Statistiken dauert es im Schnitt acht Wochen bis zu mehreren hundert Tagen, bis Angriffe bemerkt werden – wenn überhaupt“, erklärt der SEC-Consult-Geschäftsführer. In einigen Fällen würden im System eingenistete Angreifer sich Hintertüren schaffen und sogar Unternehmensübernahmen überleben. „Gestohlene“ Informationen sind etwa besonders heikel für die zahlreichen Hidden Champions im Land. Fleck: „Diese führenden Unternehmen leben sehr stark von ihrem individuellen Know-how und sind deshalb extrem exponiert für Industriespionage – und die verlagert sich immer mehr in den Cyberbereich.“
Bei der Industriellenvereinigung Oberösterreich ist man sich dessen bewusst. In einem Workshop wurde Cybersecurity als eine der zwölf größten Herausforderungen für das nächste Jahrzehnt definiert und mit hoher Priorität versehen. „Die Industrie ist durch die Digitalisierung – Stichwort Industrie 4.0 und Internet der Dinge – besonders vom Thema Cybersecurity betroffen“, sagt Joachim Haindl-Grutsch, Geschäftsführer der Industriellenvereinigung Oberösterreich. Über die ganze Welt verstreute Fabriken und Maschinen, die miteinander und mit Sublieferanten vernetzt sind, wären im Fall von erfolgreichen Angriffen besonders schadensanfällig. „Früher hat es gereicht, die eigenen Werkshallen ordentlich zu sichern – heute stehen wir natürlich vor ganz anderen Herausforderungen. Jede neue Technologie bietet viele Chancen, aber auch Risiken, die es mitzudenken gilt“, erklärt Haindl-Grutsch. Die heimische Industrie sei aber gut vorbereitet. „Das Thema ist ja kein neues, sondern existiert seit Beginn des Computerzeitalters. Die Unternehmen müssen Schritt für Schritt ihre Sicherheitsvorkehrungen weiter verstärken“, sagt er. Problematisch sei allerdings die fehlende Zahl an Fachkräften, die am österreichischen Markt zur Verfügung stehen. „Das betrifft nicht nur die Sparte Cybersicherheit, sondern alle digitalen Bereiche“, sagt Haindl-Grutsch. Lobenswert sei es, dass sich die FH Hagenberg als Zentrum für IT-Security positioniere. Seit Anfang des Jahres ist Googles Ex-Sicherheitschef Gerhard Eschelbeck dort angestellt, angeboten wird etwa das Masterstudium Information Security Management oder das Bachelorstudium Sichere Informationssysteme. „Unternehmen müssen sich trotzdem intensiv damit beschäftigen, wie sie ausreichend qualifizierte Mitarbeiter finden – die Lösung funktioniert nur über einen ganzheitlichen Ansatz, von der internen Weiterbildung bis hin zu Employer Branding“, sagt Haindl-Grutsch, „das Bewusstsein dafür ist bei den Betrieben in den letzten Jahren stark gestiegen.“