Im vergangenen Jahr ist die Zahl der Cyberangriffe in Österreich laut einer Studie von KPMG und KSÖ um mehr als 200 Prozent gestiegen. Warum steigt diese Zahl an, wer sind die Opfer, wer die Täter:innen? Eine Analyse.
Warum steigt die Zahl der Cyberangriffe in Österreich so massiv an?
„Cybersecurity war in meiner Anfangszeit ein kleines Nischenthema, hin und wieder gab es früher den ein oder anderen Virus, wenn man mit Freund:innen Disketten ausgetauscht hat. Dann hat man eben seinen PC neu aufgesetzt und das war es“, sagt Robert Lamprecht, „in den vergangenen Jahren hat diese Entwicklung eine gewaltige Wendung genommen.“ Lamprecht ist seit 2004 bei KPMG für die Themen Cybersecurity und Crisis Management zuständig und begleitet Unternehmen bei Security-Transformationsprojekten und als Krisenmanager bei Cyberangriffen. KPMG befragt jährlich gemeinsam mit dem Kompetenzzentrum Sicheres Österreich (KSÖ) im Rahmen der Studie „Cybersecurity in Österreich“ Unternehmen zur IT-Sicherheitslage. Alle 903 von KPMG befragten Unternehmen erlebten im vergangenen Jahr zumindest eine Phishing-Attacke, insgesamt stieg die Zahl der gemeldeten Angriffe um mehr als 200 Prozent.
Die Gründe für die Zunahme sind vielfältig. „Im Vergleich zu anderen kriminellen Feldern gibt es bei Ransomware-Angriffen kaum Markteintrittsschranken, ein geringes Risiko, erwischt zu werden, und keine Konkurrenz, vor der man Angst haben muss“, erklärt Lamprecht. Die Angriffe würden sich „gewaltig lohnen“ – bei zwölf Prozent der erfolgreich angegriffenen Unternehmen belief sich der finanzielle Schaden auf mehr als eine Million Euro, bei 47 Prozent auf bis zu 100.000 Euro. „Für KMU, das Rückgrat der heimischen Wirtschaft, können solche Summen existenzbedrohend sein.“
Axel Anderl, Managing Partner bei DORDA Rechtsanwälte, beobachtete in den vergangenen Jahren die Entstehung einer ganzen Industrie. Die Coronazeit habe die Entwicklung noch zusätzlich beschleunigt. „Die klassische Kriminalität wurde weniger, hat sich dann aber ins Netz verlagert und dort potenziert, weil sich auch die gesamten geschäftlichen Aktivitäten dorthin verlagert haben“, ergänzt Nino Tlapak, Partner bei DORDA Rechtsanwälte, der wie Anderl auf IT-Recht spezialisiert ist.
Wer sind die Opfer?
Kurz gesagt: Es kann jeden treffen. Lamprecht: „Die Frage ist nicht, ob es mich trifft, sondern wann es mich trifft. Das ist nur eine Frage der Zeit.“ Natürlich gebe es sogenannte Hitlisten im Internet mit den bekanntesten Schwachpunkten von Unternehmen. „Dort werden IP-Adressen mit lukrativen Schwachstellen ausgetauscht, man fordert sich gegenseitig auf, diese auszuprobieren.“ Wie kann man verhindern, auf so eine Liste zu kommen? „Dabei geht es darum, regelmäßig die Software upzudaten und Sicherheitslücken zu schließen, und nicht um irgendwelche Herkulesaufgaben“, erklärt Lamprecht. Wer Lösegeldforderungen zahlt, macht sich übrigens oft zusätzlich angreifbar. „In einschlägigen Foren werden auch Informationen über Opfer ausgetauscht, die bezahlen, das lockt Trittbrettfahrer an.“
Laut Anderl von DORDA Rechtsanwälte seien die durchschnittlichen Unternehmen nicht vorbereitet genug auf die aktuelle Lage. „Auch wenn wir eine steigende Awareness sehen, herrscht immer noch der Irrglaube, es könne nur große Unternehmen treffen oder jene, die äußerst sensible Daten haben.“ Besonders angreifbar sind Industrieunternehmen. Tlapak: „Ihre Anlagen laufen oftmals mit ganz alten Betriebssystemen, die für Hacker:innen offen wie ein Scheunentor sind. Gelingt es ihnen, die Produktionslinien zum Stillstand zu bringen, dann bin ich richtig erpressbar.“ Absolute Sicherheit gibt es nie, teilweise könne es aber schon helfen, besser als die meisten anderen geschützt zu sein. „Ich vergleiche das gerne mit einem Offline-Beispiel“, sagt Anderl, „in einer Reihenhausanlage, wo ein Wintergarten mit Alarmanlage gesichert ist und einer nicht, werden sich die meisten Einbrecher:innen für die Variante entscheiden, bei der sie ungestörter sind.“
Die Palette reicht von Hacker:innen aus dem Kinderzimmer im Nachbarhaus bis zu staatlichen Akteur:innen.
Robert Lamprecht
Experte für Cybersecurity, KPMG
Wer sind die Täter:innen?
„Die Palette reicht leider von Hacker:innen aus dem Kinderzimmer im Nachbarhaus bis zu staatlichen Akteur:innen“, sagt Lamprecht. Neben Phishingattacken erlebten besonders viele befragte Unternehmen Business-E-Mail-Compromise und CEO Fraud (88 Prozent), Social Engineering (57 Prozent) und Attacken auf die Lieferkette (39 Prozent). Da viele Unternehmen davor zurückscheuen würden, Anzeige bei Cybercrime-Vorfällen zu erstatten, werde es immer schwieriger, ein Lagebild zu konstruieren. „In letzter Konsequenz bringt es mir als Unternehmer:in genau nichts, wenn ich weiß, um welche Tätergruppe es sich gehandelt hat, aber mit der Erstattung einer Anzeige ermögliche ich es den Behörden, Ermittlungen aufzunehmen, um die Tätergruppen ausfindig zu machen.“
Mussten Täter:innen früher noch technisch versiert sein, kann heute jeder Schadsoftware im Internet kaufen. „Ein Ransomware-Kit kostet etwa 66 US-Dollar“, sagt Lamprecht. Auch Axel Anderl bestätigt diese Entwicklung. „Immer mehr private Einzeltäter:innen greifen auf ‚Crime as a Service‘ als Angebot zurück, man führt wie als Franchisenehmer:in einen Angriff mit einer bestimmten Software aus und gibt dann Prozente ab, dafür braucht es keine Vorkenntnisse mehr.“ Die Ausnahme sind hochspezialisierte Täter:innen, die High-Profile-Unternehmen knacken wollen. Oft schließen sie sich zu Hackergruppen zusammen, die mit ihrem gemeinsamen Know-how Sicherheitsinfrastruktur besser aushebeln können. Relativ neu ist laut Tlapak das Phänomen „Hacktivismus“. „Es gibt einige Gruppen, denen es gar nicht darum geht, Lösegeld zu erpressen. Sie haben übergeordnete Ziele, wie etwa auf kritische Sicherheitslücken aufmerksam zu machen.“ Für Unternehmen ist diese Tätergruppe nicht unbedingt angenehmer. Anderl: „Mit ihnen ist es oft schwer, zu verhandeln, sie bedienen sich meist äußerst rücksichtsloser Methoden und sind sehr öffentlichkeitssuchend, was zu starken Imageschädigungen führen kann.“
Nicht zu unterschätzen sei zuletzt auch die kriminelle Energie staatlicher Akteur:innen. „Es kann sein, dass man ihr Eindringen gar nicht bemerkt, weil diese einfach nur zuhören und sich umschauen, um letztendlich geistiges Eigentum zu stehlen“, sagt Lamprecht. „Manche Staaten lassen Gruppierungen in ihrem Auftrag arbeiten – in den Analysereports werden immer wieder die gleichen Länder aus dem fernen Osten genannt, aber auch der Westen ist nicht ganz unbeteiligt, wie etwa die Snowden-Leaks gezeigt haben.“
Wie kann man sich schützen?
„Es gibt nicht diese eine Anleitung, nach der man bestimmte Maßnahmen setzen sollte“, erklärt Anderl – die individuelle Strategie hänge von der Unternehmensgröße, dem Budget, den verarbeiteten Daten, den Produktionssystemen, der Exponiertheit und anderen Faktoren ab. Diese Unklarheit spiegelt sich etwa auch in der DSGVO wider. „In keinem Gesetz steht konkret, was man tun muss, es ist bloß die Rede von angemessenen Sicherheitsvorkehrungen.“ Wichtig sei es laut Anderl, Abwägungen zu treffen und den Vergleich mit anderen Unternehmen in der Branche zu haben. Auch der Präventionsarbeit sollte ein hoher Stellenwert beigemessen werden. „Für den Ernstfall müssen im Vorfeld unbedingt die Kompetenzen klar verteilt und ein Krisenplan sowie -team festgelegt werden“, sagt Tlapak. Neben der technischen Absicherung sei auch die Sensibilisierung der Mitarbeiter:innen von höchster Bedeutung.
Lamprecht rät Unternehmen bei der Auswahl des eigenen IT-Dienstleisters das Thema Sicherheit besonders stark zu priorisieren. Vor allem kleine Betriebe sollten mit Partnern zusammenarbeiten. „Holt euch jemanden, mit dem ihr Schulter an Schulter steht, der euch in Technologiefragen begleitet, und stellt dem Dienstleister hin und wieder auch ein paar kritische Fragen zum Thema Sicherheit, dann stellt sich heraus, ob er das Thema ernst nimmt.“ 33 Prozent der befragten Unternehmen der KPMG-Studie würden bevorzugt Securitylösungen von österreichischen Unternehmen einsetzen. „Das ist eine Chance, wenn wir uns die globale Abhängigkeit von Herstellern in den USA, Israel oder dem ostasiatischen Raum ansehen.“ Diese Zahl würde eindeutig zeigen, dass es in Österreich einen Standort für Securitylösungen geben kann. „Es gibt Leuchtturmprojekte, etwa in Hagenberg, Linz und St. Pölten“, sagt Lamprecht._
Es gibt nicht diese eine Anleitung, nach der man bestimmte Maßnahmen setzen sollte.
Axel Anderl
Managing Partner, DORDA Rechsanwälte
