Cyber Security : Österreichs Industrie im Visier der Hacker
Aktive Mitgliedschaft erforderlich
Das WEKA PRIME Digital-Jahresabo gewährt Ihnen exklusive Vorteile. Jetzt abonnieren und WEKA PRIME Mitglied werden!

- Zugang zu allen Rankings, Analysen und Hintergrundgeschichten
- Alle WEKA PRIME Artikel & Multimedia-Inhalte unserer 12 Online-Portale
- 1 E-Paper Magazin-Abo Ihrer Wahl
- E-Paper bereits eine Woche früher in Ihrem Posteingang
Sie haben bereits eine PRIME Mitgliedschaft?
Bitte melden Sie sich hier an.
Es ist ein Tabuthema. Kaum ein Unternehmen spricht offen über stattgefundene Cyberangriffe, denn in Österreich ist damit zwangsläufig ein Imageschaden zu befürchten. Aber die Statistik zeichnet ein klares Bild: Jedes fünfte Unternehmen im Land ist bereits einem Angriff zum Opfer gefallen. Die Dunkelziffer ist laut Experten noch deutlich höher.
Am 16. Januar ist die NIS2-Richtlinie der Europäischen Union in Kraft getreten, mit der versucht wird, auf die stetig wachsende Cyberkriminalität zu reagieren, die sich durch den Krieg in der Ukraine noch verschärft hat. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten umsetzen. Erstmals ist ein beträchtlicher Teil der Industrie von strengen Anforderungen an die Cyber Security betroffen. Wer sich nicht daran hält, muss mit hohen Strafzahlungen rechnen.
Dunkle Industrie im Dark Web
Laut dem FBI findet alle 14 Sekunden ein Ransomware-Angriff statt. Ein lukratives Unterfangen, die Erpresser stoßen auf zahlungswillige Opfer, die hohe Summen in Kauf nehmen, um lange Produktionsausfälle zu vermeiden. „Wir sehen ganz klar, dass die Zahl der Ransomware-Angriffe massiv zugenommen hat, in den letzten fünf Jahren sogar exponentiell. Zudem gehen die Angreifer immer gezielter und professioneller vor. Es handelt sich nicht mehr nur um die klassische Phishing-Mail voller Rechtschreibfehler. Im Vorfeld werden Schwachstellen analysiert, über die dann in das System eingedrungen wird. Mittlerweile hat sich im Dark Web eine eigene dunkle Industrie entwickelt, in der mit diversen Zugangsdaten gehandelt wird“, so Georg Schwondra von Deloitte Österreich.
Cyberangriff: Unternehmen müssen mit 1,2 Mio. Euro Schaden rechnen
Die Industrie hat sich durch den Digitalisierungsboom und das Internet der Dinge angreifbar gemacht. Ein falscher Klick kann so zum kompletten Stillstand führen. „Der wesentliche Unterschied liegt in der Schadenshöhe, die in der Industrie weitaus höher ist als im Rest der Wirtschaft. Im Durchschnitt gehen wir in der österreichischen Wirtschaft von einem Schaden von 1,2 Millionen Euro aus. Aber in der Industrie sehen wir in der Regel viel höhere Folgekosten“, so Schwondra.

Behörden nicht erster Ansprechpartner
Mit der speziellen Ausgangslage für die Industrie beschäftigt man sich auch im Innenministerium. „Cybersicherheit im OT-Bereich, z.B. im Einsatz bei Industrieanlagen, zu erhöhen, stellt, im Vergleich zum klassischen IT-Bereich eine große Herausforderung für Unternehmen dar. Auch die Erhöhung von Kapazitäten im Bereich der Behandlung von Sicherheitsvorfällen stellt viele Unternehmen vor große Herausforderungen“, so Ressortsprecher Harald Sörös.
Die fehlenden Meldepflichten für den Großteil der Unternehmen haben laut Sörös auch dazu geführt, dass es kaum zur Zusammenarbeit zwischen Behörden und Unternehmen gekommen sei: „Aus Sicht einer Sicherheitsbehörde ist die Dunkelziffer von Cyberangriffen immer noch sehr hoch, insbesondere wenn keine gesetzlichen Meldepflichten bestehen. Polizeibehörden werden von den Betroffenen leider selten als Unterstützung und Informationsquelle bei derartigen Angriffen gesehen, sondern häufig als zusätzlicher Aufwand. Oft wird nur eine Meldung an die Datenschutzbehörde durchgeführt, aber keine polizeiliche Anzeige erstattet, weswegen auch nicht alle Vorfälle in der Statistik aufscheinen.“
Ein weiterer Faktor für die österreichische Kultur des Schweigens: In Deutschland gibt es seit 2019 eine eigene Bundesagentur, die sich mit Informationssicherheit beschäftigt. In Österreich hingegen gibt es eine ganze Reihe von Institutionen, die sich unter den Dächern des BKA, BMI und BMLV versammeln. Dieser Umstand dürfte die Meldefreude der betroffenen Unternehmen nicht wirklich fördern. Doch mit der Umsetzung der NIS2-Richtlinie werden nun strenge Meldepflichten eingeführt.

Cyber Security in den österreichischen Unternehmen
- 18 % der österreichischen Unternehmen berichten, dass ihre Daten bereits einmal von Angreifern verschlüsselt wurden.
- In 5 % der Fälle bezahlte nach eigenen Angaben das betroffene Unternehmen den Angreifern Lösegeld. Doch die Dunkelziffer ist deutlich höher.
- Kommt es zu einem Cyber-Angriff, würden sich zwei Drittel der Befragten (67 %) an einen IT-Dienstleister wenden. Die behördlichen Stellen Polizei (38 %), Datenschutzbehörde (25 %) und Meldestelle des BMI (18 %) würden jeweils nur von einer Minderheit kontaktiert werden.
- Mittel- und Großunternehmen schätzen den finanziellen Schaden bei einem einwöchigen Ausfall des IT-Systems durchschnittlich auf 1,2 Mio. Euro. Bei Industrieunternehmen fallen die Schäden deutlich höher aus.
- Trotz eines gestiegenen Bewusstseins gibt nur jedes fünfte Unternehmen mit mindestens 50 Mitarbeitern (20 %) an, einen Krisen- bzw. Notfallplan im Unternehmen zu haben, um gegen Ransomware-Angriffe geschützt zu sein. Stattdessen setzen die Unternehmen beim Schutz hauptsächlich auf: Antivirus Software/Firewalls (72 %), Sensibilisierung der Mitarbeiter (25 %), Überprüfungen durch die IT-Abteilung oder Security-Experten (22 %), Regelmäßige Updates (21 %)
Quelle: Deloitte/ SORA
IT-Dienstleister auf dem Vormarsch
Nicht nur die Cyberkriminellen freuen sich über volle Kassen, sondern auch deren Gegenstück, die IT-Dienstleister. Laut Freedom Finance Europe wird der globale Markt für Cybersicherheit bis 2027 eine jährliche Wachstumsrate von 8,9 Prozent aufweisen und bis dahin einen Wert von 266 Milliarden US-Dollar erreichen. „Man kann davon ausgehen, dass Cyberangriffe in den nächsten Jahren komplexer werden. Das stellt die Implementierung von Sicherheitslösungen vor neue Herausforderungen und könnte das Marktwachstum behindern“, so Shanna Strauss-Frank, Österreich-Sprecherin der Investmentgesellschaft.
Ähnlich wie bei der Einführung der DSGVO-Verordnung löst die Umsetzung der NIS2-Richtlinie einen regelrechten Boom im Bereich der IT-Beratung aus. Axians ICT Austria ist seit mehr als 25 Jahren als IT-Dienstleister in Österreich aktiv – man kennt sich mit den lokalen Besonderheiten also aus. Security-Experte Roger Gspan: „In den Gesprächen mit unseren Kunden stellen wir sehr oft fest, dass die geforderten technischen Maßnahmen wie Netzwerksegmentierung, Multifaktor Authentifizierung, Patchmanagement oder gesicherte Kommunikation größtenteils umgesetzt sind. Aufholbedarf sehen wir im Bereich von Risikomanagementmaßnahmen und in der Erstellung von Wiederanlaufplänen für die Aufrechterhaltung des Betriebes. Eine weitere wichtige Maßnahme, die noch wenig etabliert ist, und vielfach auch zu wenig Bedeutung findet, ist ein definiertes Incident Response Management und die dafür notwendigen Prozesse.“

Der Faktor Mensch ist entscheidend
Auch wenn die Attacken immer ausgetüftelter werden, ist der Großteil der erfolgreichen Angriffe auf eine ganz banale Phishing-Mail zurückzuführen, die ein ungeschulter Mitarbeiter angeklickt hat. Die Sicherheitsberaterin Johanna Hametner führt sogenannte Awareness-Schulungen durch, bei denen Mitarbeiter für Phishing-Versuche sensibilisiert werden. „Die Mitarbeiter klicken in der Regel nicht aus Böswilligkeit auf den gefährlichen Link, sondern einfach, weil man aus Gutherzigkeit dem Angreifer helfen will. Es wird einfach die Menschlichkeit der Mitarbeiter ausgenutzt“, so die Expertin.
Das Bewusstsein für den richtigen Umgang mit Daten geht aber weit über die gesunde Skepsis beim Mailverkehr hinaus. „Es ist wichtig, dass man auch darüber nachdenkt, was passieren kann, wenn man einen USB-Stick stecken lässt, das eigene Büro nicht absperrt, wenn man das Gebäude verlässt oder welche sensiblen Daten am Telefon besprochen werden. All das gehört zu einem verantwortungsvollen Umgang mit Informationen“, so Hametner.
Diese Bewusstseinsbildung hat enorme betriebswirtschaftliche Implikationen, denn laut dem Cybersecurity- und Compliance-Unternehmen Proofpoint setzen 99 Prozent aller Cyberangriffe auf den Menschen als Schwachstelle.

So reagieren Sie auf einen Cyberangriff
Das Bundeskriminalamt hat für Unternehmen, die einem Angriff zum Opfer gefallen sind, folgende Handlungsempfehlungen entwickelt.
- „Die Sicherheit herzustellen“, das heißt Maßnahmen zu setzen, um den Schaden noch so gut wie möglich zu minimieren bzw. gering zu halten. Je nach Unternehmen, Netzwerk oder angebotener Services können die Maßnahmen unterschiedlich sein.
- Gemäß einem Notfallplan (der sinnvollerweise vorab erstellt worden ist) den Vorfall abarbeiten bzw. im Rahmen des Cyberkrisenmanagements handhaben, das heißt Informationen sammeln, die Lage bewerten bzw. einschätzen, Maßnahmen setzen, Kommunikation intern/extern etc.
- Im Zuge des Notfallplans sind auch die gesetzlichen Meldeverpflichtungen zu beachten. Die polizeiliche Anzeigenerstattung dient der Strafverfolgung, ist aber auch individuell ein Mehrwert in Anbetracht der Absicherung gegenüber Dritter aufgrund etwaiger Schadensforderungen, Schadenswiedergutmachung (wenn die Täter ausgeforscht werden) – außerdem benötigt man häufig eine Anzeigenbestätigung für die Versicherung.
- Wesentlich ist, dass im Rahmen des Incident Response Prozesses eruiert wird, was der initiale Angriffsvektor war bzw. was überhaupt zum Cyber-Angriff geführt hat (Sicherheitslücken, Phishing-Angriffe etc.), um künftig Cyber-Angriffe zu verhindern oder so gut wie möglich zu minimieren.