Hacker : Cyber Security in Österreich: Eifersucht und Parteipolitik

INDUSTRIEMAGAZIN: Herr Krausz, die Anzahl von Cyberangriffen auf die Industrie steigt von Jahr zu Jahr, dennoch tauchen diese kaum in den Statistiken auf. Ist Cyber Security in Österreich ein Tabuthema?

Michael Krausz: Wir haben leider nach wie vor eine große Anzahl von Unternehmen, die patriarchalisch geführt werden. Es gibt nichts Schlimmeres für ein Industrieunternehmen. Weil einfach nie die richtigen Probleme zur richtigen Zeit angesprochen und gelöst werden. Die Industrie, vor allem in Österreich, hat ein massives Problem damit, den unterstützenden Prozessen die notwendige Aufmerksamkeit zu schenken.

Lesen Sie auch hier: Lohnt sich eine Cyberversicherung?

Es hat 20 Jahre gedauert, bis sich die Erkenntnis durchgesetzt hat: IT ist das A und O, ohne IT kann man eigentlich kein Geschäft mehr machen. Und dasselbe gilt auch für die Cybersecurity. Dass man über Vorkommnisse schweigt, ist nur konsequent. In Deutschland gibt es beispielsweise eine viel offenere Kommunikationskultur. Einfach weil ständig etwas passiert und jede Woche ein anderes Unternehmen in der Zeitung steht.

Der wichtigste Punkt ist aber, dass die richtigen Lehren aus den Erfahrungen im eigenen Haus gezogen werden müssen. Gerade dort, wo man jetzt eine neue Führungsgeneration hat, zum Beispiel bei den Familienunternehmen, sieht man das. Das Niveau der Altlasten in der Industrie ist sehr unterschiedlich, muss man sagen. Wir kennen Industrieunternehmen in Deutschland, da ist das älteste noch eingesetzte Betriebssystem Windows NT 4.0. Das ist grenzwertig fahrlässig.

Wie schätzen Sie die aktuelle Bedrohungslage in der heimischen Industrie ein und welche Rolle spielt dabei der Krieg in der Ukraine?

Krausz: Es wundert mich überhaupt nicht, dass es jetzt auch in der österreichischen Industrie Granada spielt ... Aber es kommt wirklich immer darauf an, wie der Einzelne vorbereitet ist. Ich kann zum Beispiel aus der Praxis berichten: Wir hatten in Österreich von Herbst 2021 bis Anfang 2022 extrem viele Ransomware-Angriffe. Diese Angriffswelle ist aber seit Februar 2022 komplett verschwunden. Woran liegt das? Weil sich die ganzen russischen Hacker auf die Ukraine, Polen, Litauen, die USA gestürzt haben. Insofern müsste man sich jetzt proaktiv vorbereiten. Aber ich vermisse dieses vorausschauende Denken in Österreich.

Was kann man über Hacker sagen? Wer sind sie? Von wo aus agieren sie? Und warum fällt es den Sicherheitsbehörden so schwer, sie zu fassen?

Krausz: Diese Frage lässt sich ganz leicht beantworten. Das sind skrupellose Kriminelle, sonst nichts. Der Grund, warum man dagegen nicht wirklich etwas unternehmen kann, ist die fehlende internationale Zusammenarbeit. Den typischen Hacker, der eine Firma lahmlegt und Lösegeld fordert, den wird man nie ausfindig machen können. Und der wird auch nie vor Gericht kommen. Denn der sitzt irgendwo in Russland und wird von der Regierung geschützt. Russland, Brasilien, China, also die Staaten, in denen es eigentlich keinen Rechtsstaat gibt, sind ein massives Problem. Es gibt ja auch Studien, die belegen, dass zum Beispiel Nordkorea eine Zeit lang zwei Drittel seines Staatshaushaltes mit Lösegeldern aus Ransomware-Attacken bestritten hat.

Warum werden diese Lösegelder bezahlt? Weil in manchen Unternehmen, auch Industrieunternehmen, die IT einfach so im Argen liegt, dass es besser ist, zu zahlen und die Hoffnung zu haben, schnell wieder online zu sein, als nicht zu zahlen und ein Riesenproblem zu haben, weil man den Betrieb gar nicht mehr wiederherstellen kann, weil die Dokumentation schlecht ist und das Backup nicht funktioniert.

Da gibt es auch kulturelle Unterschiede. Unsere Kunden aus den USA wollen einfach sofort zahlen, die wollen das Problem aus der Welt haben. Die deutschen Kunden überlegen sich schon sehr genau, zahlen wir oder zahlen wir nicht. Die österreichischen Kunden sind typischerweise eher renitent, wie das eben in unserer Natur liegt. Sie wollen eher nicht zahlen und erst dann, wenn es wirklich keine andere Möglichkeit gibt, was ja auch der richtige Ansatz ist.

In Deutschland gibt es eine eigene Bundesagentur, die für Cybersicherheit zuständig ist. In Österreich sind drei Ministerien involviert und es gibt eine ganze Reihe von Institutionen, die beteiligt sind. Wie könnte man das besser lösen?

Krausz: Es bedarf eines "One-Stop-Shop"-Prinzips mit dedizierten Hotlines, Ansprechpartnern und Key Account Managern. Die Bündelung dieser Kompetenzen scheitert aber an der Realität. Es gibt immer wieder gegenseitige Eifersüchteleien oder es werden parteipolitische Interessen verfolgt. Dass die unterschiedlichen politischen Couleurs auch bei diesen Themen nicht zusammenarbeiten können, irritiert mich sehr. Man kann zwar nicht pauschal sagen, dass die verschiedenen Institutionen schlechte Arbeit leisten. Aber diese mangelnde Koordination ist einfach extrem produktivitätshemmend. Für die Zusammenlegung der Institutionen ist keine Verfassungsmehrheit erforderlich, die Umsetzung wäre also sehr einfach.

Kann man sich gegen Cyberangriffe überhaupt dauerhaft schützen oder trifft es früher oder später ohnehin jeden?

Krausz: Nicht unbedingt, das kommt natürlich auf die Schutzmaßnahmen an. Es gibt drei Ebenen: IT, physische Sicherheit und menschliche Sicherheit. Mit Awareness-Schulungen eliminiert man das Ransomware-Risiko eigentlich zu 99 Prozent. Denn Ransomware-Angriffe beginnen in den meisten Fällen damit, dass ein ungeschulter Mitarbeiter auf einen Link klickt. Und je besser diese Maßnahmen ineinandergreifen, desto besser ist der Schutz.

Eine ganz entscheidende Rolle spielt dabei die Führungskultur. Dazu eine kleine Anekdote aus der Praxis: Wir hatten einen Kunden aus dem Bereich des internationalen Handels mit Baustoffen. Die lokalen IT-Verantwortlichen beteuerten der Zentrale immer, alles im Griff zu haben. Dann hat es im März einen Ransomware-Vorfall gegeben, im September den nächsten. Und bei der Gelegenheit stellt man dann fest: Hoppla! In Spanien haben 250 Clients den Endpoint-Schutz nicht installiert.

Dieses Zusammenspiel zwischen Zentralen und Niederlassungen, gerade im internationalen Umfeld, ist ein Riesenthema. Es gibt auch Unternehmen, die sich dieses Risikos bewusst sind und ihre Niederlassungen in China komplett vom Rest ihres Netzwerkes isoliert haben. Das heißt, was auch immer die Chinesen dort glauben, machen zu können, und was auch immer sie glauben, an Know-how stehlen zu können – sie haben am Ende keine Chance, weil sie immer nur im lokalen Netzwerk unterwegs sind, nie im Netzwerk der Zentrale, wo die Forschung, die Entwicklung, die Programmierung stattfindet.

Wird die NIS-2-Richtlinie, die strengere Meldepflichten und Strafzahlungen vorsieht, zu mehr Transparenz im Umgang mit dem Thema Cybersecurity führen?

Krausz: Aus meiner Sicht ist das eine Compliance-Vorschrift wie jede andere und die Unternehmen müssen sich entsprechend vorbereiten. Die Unternehmen, die die ISO 27001 bereits erfüllen, müssen sich eigentlich keine Sorgen machen. Aber alle anderen kommen jetzt unter Druck. Der Vorreiter in diesem Bereich war ja die Datenschutzgrundverordnung. Vorher war der Datenschutz in Österreich völlig ungeordnet, die Unternehmen haben getan, was sie wollten. Erst durch die umsatzabhängigen Strafen haben die Firmen das ernst genommen. Letztlich ist es eine Frage des Risikomanagements. Ich befürchte nur, dass das Bundesministerium mit dem Strafen nicht nachkommen wird, wie es schon jetzt der Fall ist. Wir haben einen eklatanten Fachkräftemangel im Cybersicherheitsbereich, der sich mit dem Ukrainekrieg verschärft hat.