Management-Tipp : Cybercrime: 365 Tage der offenen Tür

Durch die weitreichende Digitalisierung österreichischer Unternehmen der letzten Jahre ist nicht nur der Wert von digitalen Unternehmensdaten rasant gestiegen, sondern auch das damit verbundene Risiko, Opfer von cyberkriminellen Handlungen zu werden. Auch unsere aktuelle Datendiebstahlstudie hat ergeben, dass bereits über 40% der befragten Österreichischen Unternehmen in den letzten drei Jahren Opfer einer Cyberattacke wurden. Jeder fünfte Angriff wurde dabei lediglich zufällig entdeckt – die Dunkelziffer könnte daher noch wesentlich höher sein.

Die Corona-Krise und die damit einhergehende großflächige Umstellung auf Home-Office verschärften dieses Risiko vehement. Unternehmen waren gezwungen, Geschäftstätigkeiten und Unternehmensprozesse schnellstmöglich zu digitalisieren, um den bestehenden Betriebsfluss weiterhin zu gewährleisten. Die Folge waren teils fehlende oder unvollständig umgesetzte Kontrollmechanismen und Sicherheitslücken, welche das IT-Sicherheitsmanagement sowie innerbetriebliche Abläufe vor eine zusätzliche Herausforderung gestellt haben. Denn während im Bereich der Dienstleistungsunternehmen die Möglichkeit für Home-Office bereits weitestgehend verbreitet und anerkannt war, betraten viele Industriebetriebe diesbeüglich Neuland. Das Arbeiten von zu Hause aus schuf somit kurzerhand einen zusätzlichen Nährboden für feindliche Angriffe aus dem Netz.

Sowohl die Motive von Cyberkriminellen als auch die Art und Weise, wie Angriffe auf IT-Systeme von Unternehmen durchgeführt werden, sind meist unterschiedlichster Natur und daher nur schwer zu kategorisieren. Kein Cyberangriff gleicht dem anderen und nicht selten sind sie individuell auf das jeweilige Unternehmen abgestimmt. IT-Spezialisten müssen daher unverzüglich und höchst flexibel auf den jeweiligen Anlassfall reagieren, um den Schaden bestmöglich einzugrenzen.

Datendiebstahl stellt in diesem Zusammenhang ein über die letzten Jahre kontinuierlich ansteigendes Risiko dar. Angreifer zielen dabei auf die „Entwendung“ höchstsensibler Informationen wie Kundendaten, Geschäftsberichte oder Forschungs- und Entwicklungspläne – sogenanntes „Intellectual Property“ – ab. In weiterer Folge nutzen sie die widerrechtlich erlangten Daten und Informationen für ihre kriminellen Zwecke. Einerseits werden Daten und Informationen gewinnbringend verkauft, andererseits werden unter Androhung der Veröffentlichung von Geschäftsgeheimnissen Lösegeldforderungen an die geschädigten Unternehmen gestellt. Ein solcher Datendiebstahl hat für Unternehmen meist gravierende finanzielle Konsequenzen: Neben hohen Kosten für Abwehr und Aufarbeitung des Angriffs folgen oft langjährige Prozessstreitigkeiten und Reputationsschäden. Auch Strafen aufgrund der Verletzung der Datenschutzgrundverordnung sind denkbar.

Besonders „Fake President“-Angriffe sind über die letzten Jahre europaweit vermehrt in den Fokus der Öffentlichkeit geraten. Bei dieser Betrugsmasche zielen Kriminelle nicht per se auf die Sicherheitslücken der IT-Systeme eines Unternehmens ab, sondern vielmehr gesamtheitlich auf Prozessschwächen, fehlende Kontrollen und mangelndes Bewusstsein der Beschäftigten. Unter einem Vorwand geben sich Betrüger als Führungskraft bzw. Vorstandsmitglied eines Betriebes aus, um einzelne Angestellte zu Sofortüberweisungen von teils horrenden Summen zu bewegen. Genutzt werden bei diesen sogenannten „Social Engineering“-Angriffen etwa gefälschte E-Mail-Adressen bzw. Telefonanrufe von vermeintlich bekannten Nummern. Zumeist werden „Fake President“-Angriffe von organisierten und internationalen kriminellen Netzwerken durchgeführt, die über umfassendes Know-how des Unternehmens selbst, des Marktes, der Struktur und der Kunden der betroffenen Unternehmen verfügen.

Eine weitere Angriffsfläche bietet auch die in den letzten Jahren voranschreitende Vernetzung von betriebsinternen sowie lieferkettenübergreifenden Industrieanlagen und Produktionsprozessen: Individualisierte Cyberangriffe können beispielsweise nicht nur die Unternehmensdaten zum Ziel haben, sondern mitunter auch ganze Industriesteueranlagen lahmlegen oder beschädigen. Die Angreifer fordern nicht selten hohes Lösegeld, um den System- bzw. den Dateizugriff wiederherzustellen. Aber selbst wenn schrittweise gewisse Zugriffe wieder ermöglicht werden, ist die Wiederaufnahme einer zum Stillstand gekommenen Produktionsanlage oft ein sehr langwieriger und kostenintensiver Vorgang.

Die aktuelle Cyber-Bedrohungslage wird auch dadurch verschärft, dass Cyberangriffe immer schwerer zu vereiteln sind: Schädliche Computerprogramme, sogenannte Malware, können derart entwickelt werden, dass sie von aktuellen Virenschutzprogrammen nicht verlässlich erkannt werden. Die einzelnen Angestellten selbst rutschen in solchen Fällen oftmals in die sogenannte „last line of defense“: Der Klick auf eine einzige betrügerische „Phishingmail“ reicht im Anlassfall aus, um die Schadfunktionen im Unternehmen in Gang zu setzen. Auch wurden in jüngster Vergangenheit vermehrt Fälle bekannt, bei denen Cyber- kriminelle schädliche Software eigens und gezielt für das IT-System eines spezifischen Industrieunternehmens programmierten.

Hand in Hand mit der voranschreitenden Digitalisierung und Vernetzung entwickeln sich auch die Vorgehensweisen von Cyberkriminellen laufend weiter. Unternehmen müssen daher kontinuierlich Maßnahmen ergreifen, um das heutige Gefahren- und Schadenspotenzial von Cyberangriffen bestmöglich zu erkennen und einzudämmen.

So ist eine unternehmensspezifische IT-Sicherheitsstrategie und die damit verbundene Erstellung sowie Ausarbeitung eines Krisenplans eine erste Voraussetzung, um im Ernstfall unverzüglich und systematisch reagieren zu können. Die Implementierung eines Krisenplans ist dabei als iterativer Prozess zu gestalten: Durch kontinuierlich durchgeführte Planspiele, sogenanntes „War Gaming“, können Industriebetriebe nicht nur ihre Reaktionsfähigkeit verbessern, sondern sich vor allem an aktuelle Begebenheiten anpassen, um im Notfall die richtigen Maßnahmen zu ergreifen.

Auch die Vermittlung des nötigen (Grundlagen-)Know-hows an die eigene Belegschaft ist für eine erfolgreiche Cyberabwehr von elementarer Bedeutung. Mithilfe von regelmäßigen Schulungen, praktischen Trainings und geplanten Phishing-Kampagnen wird das Gefahrenbewusstsein der Angestellten geschärft, um im Berufsalltag richtig agieren zu können.

In jedem Fall ist es wichtig, sich mit dem Reifegrad des eigenen Unternehmens in puncto Informationssicherheit stetig auseinanderzusetzen und diesen kontinuierlich zu steigern. Um im Ernstfall gewappnet zu sein, ist eine intensive Kommunikation zwischen Unternehmensführung, Rechts-, IT- und Personalabteilung sowie eine enge Zusammenarbeit mit einem starken, externen Technologiepartner unerlässlich. Mithilfe der geeigneten Strategie und unter Einsatz effektiver Maßnahmen können Unternehmen ihrem Risiko, Ziel cyberkrimineller Handlungen zu werden, gut vorbereitet und mit dem richtigen Mindset begegnen. Somit hat Goethe wohl das wichtigste Prinzip der Informationssicherheit bereits vorweggenommen: „Glaube dich nicht allzu gut gebettet; Ein gewarnter Mann ist halb gerettet.“