Cybersecurity : Österreichische Unternehmen machen es Cyberkriminalität zu leicht

IT-Mitarbeiter in Server-Raum
© Gorodenkoff - stock.adobe.com

Cybercrime als "Service" im Darknet, rund 46.000 Anzeigen - um ein gutes Viertel mehr als 2020 - im Vorjahr und eine weit höhere Dunkelziffer, Angriffe meist am Wochenende auf ohnehin nicht gut vorbereitete Unternehmen - dennoch werde die Gefahr von Cyberattacken von vielen immer noch unterschätzt. Dieses Bild zeichneten die Beteiligten an der Frühjahrsveranstaltung des Instituts für Versicherungswirtschaft der Johannes Kepler Universität in Linz am Dienstag.

Eine Studie der KPMG habe ergeben, dass die meisten Unternehmen in Österreich in Bezug auf die Cyberkriminalität noch keine ganzheitliche Perspektive haben, hieß es in der Presseunterlage zum Gespräch am Dienstag. Rund 80 Prozent der Schäden könnten vermieden werden, würden die Firmen mehr in die IT-Sicherheit investieren, sind sich die Fachleute einig. In drei von vier Unternehmen seien die Anforderungen an die Cyber-Sicherheit derzeit nicht erfüllt. Dabei stünden neben dem finanziellen Schaden auch Unternehmensdaten und das Vertrauen der Kunden auf dem Spiel.

"Die Cyber-Polizze wird die Feuerversicherung des 21. Jahrhunderts", sah Othmar Nagl, Generaldirektor der Oberösterreichischen Versicherung, noch viel zu tun. Eine Cyber-Versicherung sorge mit ihren Leistungen und einem Expertennetzwerk dafür, dass Sicherheitslücken bereits im Vorfeld erkannt werden und im Fall eines Angriffs rasch fachkundige Hilfe kommt. Sie komme für den Eigenschaden auf und hafte auch gegenüber Kunden oder Lieferanten. "Man kann den Schaden nicht verhindern und nicht ausgleichen, aber jedenfalls die finanziellen Folgen begrenzen", so Nagl.

Unternehmen können sich gegen Cyber-Risiken absichern, aber die Versicherer müssten auch die "kritische Linie hinsichtlich der Versicherbarkeit insbesondere bei systemischen Risiken im Blick behalten", gab Bengt von Toll, Cyberchef beim Rückversicherer Munich Re, zu bedenken. Einerseits seien die Versicherer selbst von Cyberrisiken betroffen, andererseits sichern sie Cyberrisiken anderer Firmen ab, so Stephan Korinek, Leiter der Abteilung behördliche Aufsicht über Versicherungsunternehmen und Pensionskassen bei der Finanzmarktaufsicht (FMA). Die FMA sehe ein enormes Gefahrenpotenzial, da auch bei Lösegeldforderungen nicht garantiert sei, dass der Unternehmer seine Daten wieder bekomme.

"Der Cyberangriff kam für uns völlig unerwartet", gestand auch Palfinger-Vorstandschef Andreas Klauser ein. Der Salzburger Kranhersteller wurde Anfang 2021 zum Opfer. Nach zwölf Tagen war der Zugriff auf alle Systeme wieder hergestellt, dank eines intensiv arbeitenden internen wie externen Expertenteams. "Essenziell vor allem gegenüber unseren Kunden und Partnern war, dass wir zeitnah und offen über den Angriff und seine Folgen kommuniziert haben", sagte Klauser. Andere Betroffene würden das Thema tabuisieren und damit den Kriminellen in die Hände spielen.

Hacker können auch über Geräte wie Brandmelder oder Überwachungskameras, die nicht an das Internet angeschlossen sind, Zugang zu Unternehmensdaten erhalten. Ein so genannter Ransomware-Angriff erfolge oft vor dem Wochenende, wenn die Täter ungestört seien, erläuterte Jürgen Weiss, Geschäftsführer der Ares Cyber Intelligence. Rasch kommen dann die Forderung samt Countdown und Zeitpunkt, ab wann sich die Summe verdoppeln wird und Chatfenster zu den Tätern.

Ist ein Unternehmen nicht vorbereitet, ist es in dieser Situation komplett überfordert. IT-Experten, die normalerweise PC installieren, geraten bei einer Cyberattacke an ihre Grenzen. Hier brauche es Forensiker, die die meisten Firmen nicht bei der Hand hätten. Mit 100.000 Euro sei laut Weiss allein für die externen Kosten zu rechnen, selbst wenn die Daten zu retten seien, kein Lösegeld gezahlt werde und keine Strafe der Datenschutzbehörde, Kosten für Krisenkommunikation oder Vertragsstrafen für verspätet abgelieferte Aufträge anfallen.