×


Wir wollen dir schreiben ...

... und zwar pünktlich donnerstags.


Der Newsletter ist kostenfrei und kann jederzeit abbestellt werden.

What the HACK?

Geht es um Hacker, haben viele Menschen die berühmt-berüchtigten Anonymous-Masken vor ihrem geistigen Auge. Mystisch, geheimnisvoll und irgendwo zwischen Gut und Böse – die Robin Hoods des Internets. Trotz des Kults um solche Hackerkollektive haben die „Good Guys“ der Branche ein Nachwuchsproblem. Im Interview sprechen die IT-Security-Experten von SEC Consult über das Image der Szene und wieso es trotz aller Sicherheitsmaßnahmen ratsam für Unternehmen ist, einen ausgereiften Krisenplan bei der Hand zu haben.

Herr Prinz, wann haben Sie mit dem Hacken begonnen? Wie wird man Security-Hacker?

PRINZEs gibt Studienrichtungen wie „IT Security“ oder „Penetration Testing“, in denen man die Grundlagen des Hackens lernen kann. De facto gibt es aber nach wie vor keinen Studiengang, der sich ausschließlich diesem Thema widmet. Wenn man diesen Beruf professionell ausüben möchte, braucht es daher schon einiges an Eigenregie und Eigeninteresse. Ich bin damals durch Internetrecherche auf sogenannte „Capture the Flag“-Events aufmerksam geworden. Dabei organisieren sich Gruppen gemeinsam in Teams und versuchen in verschiedenen Challenges, Schwachstellen von Websites ausfindig zu machen oder Mailserver zu übernehmen – alles legal natürlich. Mittlerweile gibt es dafür sogar große Turniere. So kann man sich verschiedene Angriffsmethoden spielerisch selbst beibringen und im Austausch mit Gleichgesinnten immer besser werden.

Wieso ist es so schwierig, gute Nachwuchshacker zu finden?

FLECKIch glaube, dass man generell das Ansehen von MINT-Berufen aufwerten muss. Manager, Juristen und Ärzte sind höchst angesehen, aber der Techniker hat in unserer Gesellschaft immer noch nicht den Stellenwert, den er eigentlich haben sollte – vor allem, wenn man bedenkt, wie wichtig Technik für unsere Gesellschaft ist. MINT-Fächer müssen cool sein und diese Wahrnehmung muss gefördert werden. Da ist sicher auch die Politik gefragt. Es sollte so sein, dass sich die Warteschlangen an den Hochschulen nicht vor Psychologie bilden, sondern vor Informatik.

Apropos unterbewertet: Was sind die häufigsten Sicherheitslücken, die Sie bei Unternehmen entdecken?

PRINZDie allermeisten Hacks werden initial durch E-Mails ausgelöst. Der Hacker verlässt sich dabei darauf, dass er den Empfänger dazu bringen kann, auf einen Link zu klicken oder eine Datei zu öffnen, und schon ein bis zwei falsche Klicks führen dazu, dass der Rechner infiziert ist. Nachdem das bei den allermeisten Unternehmen so gut funktioniert, erspart man sich als Angreifer die Mühe, nach einer spezifischen Schwachstelle im System zu suchen – der Mensch erledigt das.

FLECKWobei es auch immer ein wenig auf die Art des Angriffs ankommt. Wenn Hacker ganz konkret auf eine Organisation abzielen, sind nicht nur E-Mails ein beliebtes Eintrittstor, sondern sämtliche IT-Services, die diese Organisation anbietet. Beispielsweise sind auch Bewerbungsportale eine gängige Zielscheibe, weil man da typischerweise Anhänge hochladen kann. Wenn die Systeme up to date sind, sollten bösartige Dateien erst gar nicht den Weg zum Empfänger finden. Hier wird dann oftmals veraltete Software ausgenutzt, um sich Zugang zu verschaffen. Aber natürlich spielt dabei auch wieder der Faktor Mensch eine große Rolle, der die Datei letztendlich öffnet.

Ist der Mensch die größere Schwachstelle als die technische Komponente?

PRINZEs ist die Kombination. Menschen werden immer Fehler machen – egal wie gut sie informiert sind. Im Idealfall wird daher der Angriffsversuch bereits durch technische Gegenmaßnahmen abgewehrt, wie Antivirensoftware, Endpoint-Protections und Anomalie-Erkennungen im System. Wenn man wirklich ganz gezielt in das Visier von hochprofessionellen Hackern gerät, werden aber wahrscheinlich auch die besten Schutzmechanismen nicht greifen. Man darf nicht vergessen: Als Verteidiger muss man alle möglichen Sicherheitslücken im Blick haben und kontrollieren können, während die Angreifer nur einen einzigen Weg hinein finden müssen. Dieses Ungleichgewicht macht es für die Angreifer natürlich wesentlich einfacher. Aber vielschichtige Vorkehrungsmaßnahmen sorgen dafür, dass zumindest eine überwältigende Mehrzahl der Angriffe abgewehrt werden kann.

Was sind die wichtigsten Schritte, die sofort eingeleitet werden müssen, wenn man Opfer eines Cyberangriffs wurde? Wie sehen die konkreten Erstmaßnahmen aus?

FLECKZuerst muss man den Angriff überhaupt einmal bemerken. Neben den offensichtlichen Methoden wie der Ransomware, mit der Hacker die Systeme verschlüsseln und darauf abzielen, dass der Gehackte den Angriff mitbekommt, um Lösegeld zu verlangen, gibt es auch die Kategorie der Advanced-Persistant-Threats. Die APTs wollen ganz bewusst nicht auffallen. Sie finden extrem langsam und über einen längeren Zeitraum statt, um sukzessive Daten abzugreifen. Dabei versuchen die Hacker auch, ihre Spuren aktiv zu verwischen. In der Praxis machen wir regelmäßig die Erfahrung, dass solche Angriffe mehrere Monate gar nicht auffallen. Es gibt Studien, die sogar von bis zu 226 Tagen im Schnitt sprechen. Und dann wird die Ursachenforschung selbst für den IT-Forensiker schwierig.

PRINZMan muss also immer das Dreigespann „People, Process und Technology“ im Blick haben. Ein Unternehmen muss die technischen Vorkehrungen getroffen haben, um nachvollziehen zu können, was genau passiert ist: Ist nur ein Rechner betroffen oder das gesamte Unternehmen? Wurden Daten gestohlen? Wurde etwas manipuliert? Und neben diesen technischen Aspekten ist es dann ganz wichtig, einen Krisenmanagementplan zu haben. Bei größeren Unternehmen kann so ein Schaden in die Millionenhöhe gehen. Die Organisation muss wissen: Wen rufe ich jetzt an? Wie soll ich mich verhalten, um den Schaden zu begrenzen? Und was darf ich auf keinen Fall mehr machen? Da braucht man dann unbedingt eine Expertentruppe parat, die möglichst schnell den Normalzustand wiederherstellen kann. Wenn man sich erst Gedanken über die Lösung macht, nachdem man bereits gehackt wurde, verliert man wertvolle Zeit.

Ein gutes Drittel der österreichischen Unternehmen kann den finanziellen Schaden nach einem Cyberangriff nicht beziffern. Wie erklären Sie sich das?

PRINZWeil es enorm schwierig ist, den Finger auf eine konkrete Zahl zu legen. So ein Angriff zieht einen enormen Rattenschwanz nach sich. Eine Zeit lang muss man interne und wahrscheinlich auch externe Mitarbeiter auf den Vorfall abstellen und kann dadurch dem Tagesgeschäft nur eingeschränkt nachgehen. Wenn man beispielsweise als Aktiengesellschaft seine Zahlen nicht rechtzeitig ausschicken kann, weil die Daten verschlüsselt sind, hat das einen großen Einfluss auf den Unternehmenswert. Das lässt sich nicht so einfach beziffern.

FLECKAußerdem darf nicht vergessen werden, dass man sich in so einem Moment in einer Ausnahmesituation befindet, in der Unternehmer andere Sorgen haben, als den Fokus auf die genaue Erfassung des finanziellen Schadens zu richten. Und darüber hinaus kann man beispielsweise Faktoren wie einen Reputationsverlust in der Öffentlichkeit kaum quantifizieren.

Wo steht IT-Security in Europa im internationalen Vergleich? Angenommen, Sie hätten einen Wunsch bei der EU frei: Welcher wäre das?

FLECKIch würde mir wünschen, dass die Politik in Europa nicht nur als Lippenbekenntnis auf IT-Security setzt, sondern auch wirklich in die Technik dahinter investiert und dafür entsprechende Geldtöpfe zur Verfügung stellt. Ansonsten wird uns auf europäischer Ebene das Fundament fehlen, das andere Kontinente haben, um ihr Business digital sicher führen zu können. Die EU sollte sich trotz des Flickenteppichs an Mitgliedsstaaten mehr darauf besinnen, dass es in dem Bereich gewisse gemeinsame Aufgaben gibt, die auch eine gemeinsame Infrastruktur benötigen. Da muss noch viel mehr über Ländergrenzen hinweg gedacht werden. Wenn ich mir ansehe, mit welchen Budgets das Department of Homeland Security in den USA ausgestattet ist und wie die in Technologien und Know-how im Bereich der IT-Security investieren, dann haben wir noch einiges zu tun._

Wir machen regelmäßig die Erfahrung, dass Angriffe mehrere Monate gar nicht auffallen.

Ulrich Fleck Geschäftsführer, SEC Consult

Vielschichtige Vorkehrungsmaßnahmen sorgen dafür, dass zumindest eine überwältigende Mehrheit der Angriffe abgewehrt werden kann.

Stefan Prinz Head of Defence, SEC Consult

#Ähnliche Artikel

KIss it? KIck it? KIll it? - Der richtige Umgang mit einem ständig ausbrechenden Vulkan

Vor wenigen Monaten für viele noch eine abstrakte Zukunftsvision, mittlerweile längst in vielen Unternehmen etabliert: Künstliche Intelligenz hat sich in der Arbeitswelt im Eiltempo durchgesetzt – dabei hat der Wandel gerade erst so richtig begonnen. Warum es bei der Umsetzung vor allem auch auf das richtige Mindset ankommt, weiß Albert Ortig. Der Digitalisierungspionier unterstützt mit Netural Unternehmen bei der Implementation der Technologie und kennt klassische Fehler und Irrtümer. Ortig selbst hat sich als Teil des Startups NXAI kein geringeres Ziel gesetzt, als ein Large Language Model zu etablieren, das GPT und Co. in den Schatten stellen könnte.

Wir fragen, die KI antwortet

Unternehmen, die neue Talente für sich gewinnen wollen, sowie Menschen auf Jobsuche wissen genau: Der Weg zum Perfect Match ist meist kein entspannter Spaziergang, sondern gleicht eher einer Achterbahnfahrt. Welche Abkürzungen helfen, dass beide Seiten schneller zueinander finden? Wir fragen zwei „Experten“ – im „Interview“ mit Google Bard und ChatGPT.

Duell im Cyberspace

Tennis und Cyber-Resilienz, wie passt das zusammen? Auf den ersten Blick eher weniger. Das „AKARION Cyber Resilienz Forum“ belehrte eines Besseren. Als Organisator des Events lud der Softwarelösungsanbieter Akarion Interessierte, Unternehmen sowie Expert:innen zu einer Networkingveranstaltung rund um das Thema Cyber- und Informationssicherheit ein – als eines der Sideevents des Tennisturniers Upper Austria Ladies 2024. Am Programm: spannende Vorträge, reges Netzwerken, und als überraschender Abschluss ein Meet & Greet mit Tennis-Weltstar Barbara Schett. Ein würdiger Opening Act für das folgende Qualifikationsspiel zwischen Angelique Kerber und Lucia Bronzetti.

Was wir einen B2B Storyteller immer schon mal fragen wollten

Früher haben Menschen ihre Geschichten am Lagerfeuer ausgetauscht. Während das Lagerfeuer heute längst der digitalen Welt gewichen ist, ist eine Sache gleich geblieben: die Freude an gut erzählten Geschichten. Aber was macht gelungenes Storytelling aus? Und wie geht echte „B2Begeisterung“? Das verrät uns Andi Schwantner – er schult und begleitet Unternehmen sowie Führungskräfte strategisch und hilft bei ihren Auftritten in der digitalen Öffentlichkeit mit individuellen Markenbotschafterprogrammen und Corporate-Influencer-Initiativen. Ein Experte, zehn Fragen.

Einmal entspannt zurücklehnen, bitte!

Was würde passieren, wenn wir Digitalisierung nicht nur um der Digitalisierung willen betreiben? Der Ansatz des IT-Dienstleisters NTS zeigt, warum es so wichtig ist, dieses Konzept holistisch zu denken. Helmut Hödl, Product and Technology Director, und Daniel Knauer, Territory Manager Oberösterreich, sprechen mit uns darüber, was Digitalisierung aus ihrer Sicht bedeutet und wie sie bei ihnen gelebt wird.

Wenn die Fabrik ihr „Hirn“ einschaltet

16.000 Tonnen Stahl, Edelstahl und Aluminium werden hier durch die Synergie aus Mensch und Maschine jährlich verarbeitet. Wo? Im Mekka der Stahlbranche: Oberösterreich. Genauer gesagt bei AHZ Components. Seit der Gründung im Jahr 1999 setzt der Lohnfertigungsbetrieb aus Sipbachzell auf Maschinen des Schweizer Herstellers Bystronic. Über eine außergewöhnliche Zusammenarbeit zwischen Hemdsärmeligkeit, Präzision und Serviceorientierung.

E = L x K²

Oder anders ausgedrückt: Erfolg ist das Ergebnis von Leistung mal Kommunikation zum Quadrat. Warum unsere ureigenen menschlichen Fähigkeiten wie etwa Kommunikationsstärke uns dabei helfen werden, trotz Aufschwung der Künstlichen Intelligenz relevant zu bleiben, und warum die KI im Grunde eine Chance ist, uns neu zu erfinden, erzählt Life- und Businesscoach Roman Braun im Interview.

Was du heute kannst besorgen …

… das digitalisiere nicht erst morgen! Denn wenn es darum geht, bestehende Mitarbeitende zu binden und auch in Zukunft neue Talente für sich zu gewinnen, ist ein modernes Recruiting schon heute unerlässlich. Mit Vortura Solutions fokussieren sich Geschäftsführer Joachim Ortner und sein Team daher auf die digitale Mitarbeitergewinnung, die weit über klassische Stellenanzeigen hinausreicht.

Wie die KI Patentspezialisten unterstützt

Den Kopf angesichts der rasanten Entwicklungen der Künstlichen Intelligenz in den Sand zu stecken, das war für ABP aus Windischgarsten nie eine Option. Da im Patentwesen hohe Sicherheitsansprüche herrschen, boten herkömmliche Large Language Models keine Anwendungsmöglichkeit. Deswegen haben die beiden Unternehmen ABP Patent Network und Anwälte Burger und Partner die Sache selbst in die Hand genommen und gemeinsam mit IBM eine eigene KI-Anwendung entwickelt, die ein echter Gamechanger für den Intellectual-Property-Bereich sein wird.

„Ohne Mensch keine Automatisierung“

Warum spielt der Faktor Mensch in Automatisierungsprozessen eine so große Rolle? Was ist der aktuelle Stand zum Einsatz von Robotern in der Industrie? Und welche Veränderungen der bisherigen Arbeitswelt werden dadurch künftig auf uns zukommen? Wir diskutieren mit drei Experten.

„Vertrauenswürdige KI ist ein wichtiger Erfolgsfaktor“

Oberösterreich soll bis 2030 zu einer Modellregion für Human-Centered Artificial Intelligence werden. Welche Zutat für Landeshauptmann Thomas Stelzer im Erfolgsrezept dieser KI-Hochburg auf keinen Fall fehlen darf? Ethische Standards, die die nötige Sicherheit und einen vertrauenswürdigen Umgang mit dieser Zukunftstechnologie gewährleisten.

Wie ein Ransomware-Angriff abläuft - und überstanden wird

Das Innviertler Kunststoff- und Metallverarbeitungsunternehmen Promotech verlor durch einen Hackerangriff vorübergehend sämtlichen Zugriff auf die eigene IT. Durch umfassende Vorbereitung, schnelles Handeln und die Unterstützung der TEMS Security konnte man die Krise überstehen – und sogar gestärkt aus ihr gehen.

Auf Mission in „Europas Hauptstadt“

„CommunalAudit ist ein Benchmarking- und Management-Werkzeug für Gemeinden. Mit Newsadoo ermöglichen wir Unternehmen und Organisationen, Zielgruppen in ihren Webseiten, Apps oder im Intranet komplett automatisch mit relevanten Inhalten versorgen – ein Anwendungsbereich davon sind vollautomatische Gemeinde-News-Plattformen.“ Beide oberösterreichischen Projekte zur Digitalisierung der öffentlichen Verwaltung haben das Interesse in Brüssel geweckt, weshalb Ramsauer & Stürmer CommunalAudit-Geschäftsführer Georg Platzer gemeinsam mit Newsadoo-Geschäftsführer David Böhm zu einer Präsentation ins Europäische Parlament eingeladen wurde.

„Fehler haben wir bei uns in Fuck-up-Stories umbenannt“

Die gesamten Hierarchieebenen abschaffen, eine neue Meetingkultur etablieren und, statt Fehler zu rügen, gemeinsam in Fuck-up-Stories über sich selbst lachen – klingt nach ganz schön großen Veränderungen, oder? Für Roger Hafenscherer stand gleich zu Beginn seiner Tätigkeit als Geschäftsführer des Luft- und Umwelttechnikunternehmens Sirocco fest, dass er keinen Stein auf dem anderen lassen würde. Und nach zwei Jahren zeigt sich: Sein empathischer und authentischer Führungsstil trägt Früchte.

Covershooting: Ines und die Sache mit der KI

Okay, wir brauchen eine Fotolocation, die irgendwie nach Zukunft aussieht. Immerhin reden wir über Zukunft. Roger Hafenscherer, Eva-Maria Pürmayer und Anita Thallinger erzählen in unserer Coverstory, wie sie sich diese vorstellen. Und wie sie ihr Mindset schon jetzt dafür programmiert haben. Anstatt einer Location haben wir Ines Thomsen gefunden – eine Pionierin beim Ausprobieren von Künstlicher Intelligenz in der Fotografie.

The Power of Podcasts

Podcasts gehen ins Ohr – persönlich, ohne Umwege und ganz nah. Das machen sich auch Unternehmen vermehrt zu Nutze, indem sie ihre interne oder externe Kommunikation um einen Corporate Podcast erweitern. Die Podcastagentur wepodit unterstützt dabei und Geschäftsführerin Eva Langmayrs Begeisterung für das noch vergleichsweise junge Medium steckt nicht nur ihre Kund:innen an.

Die Gemeinde in der Hosentasche

Die mobile Bürgerservice-App „GEM2GO“ der RIS GmbH vereint alle Gemeinden Österreichs in einer App. RIS-Geschäftsführer Michael Kölbl spricht im Interview über die Stärken der App, wie das Projekt entstanden ist – und warum Digitalisierung besonders für ländliche Regionen unverzichtbar ist.