Cyber Security : Österreichs Industrie im Visier der Hacker

Es ist ein Tabuthema. Kaum ein Unternehmen spricht offen über stattgefundene Cyberangriffe, denn in Österreich ist damit zwangsläufig ein Imageschaden zu befürchten. Aber die Statistik zeichnet ein klares Bild: Jedes fünfte Unternehmen im Land ist bereits einem Angriff zum Opfer gefallen. Die Dunkelziffer ist laut Experten noch deutlich höher.

Am 16. Januar ist die NIS2-Richtlinie der Europäischen Union in Kraft getreten, mit der versucht wird, auf die stetig wachsende Cyberkriminalität zu reagieren, die sich durch den Krieg in der Ukraine noch verschärft hat. Die Mitgliedstaaten müssen die Richtlinie innerhalb von 21 Monaten umsetzen. Erstmals ist ein beträchtlicher Teil der Industrie von strengen Anforderungen an die Cyber Security betroffen. Wer sich nicht daran hält, muss mit hohen Strafzahlungen rechnen.

Laut dem FBI findet alle 14 Sekunden ein Ransomware-Angriff statt. Ein lukratives Unterfangen, die Erpresser stoßen auf zahlungswillige Opfer, die hohe Summen in Kauf nehmen, um lange Produktionsausfälle zu vermeiden. „Wir sehen ganz klar, dass die Zahl der Ransomware-Angriffe massiv zugenommen hat, in den letzten fünf Jahren sogar exponentiell. Zudem gehen die Angreifer immer gezielter und professioneller vor. Es handelt sich nicht mehr nur um die klassische Phishing-Mail voller Rechtschreibfehler. Im Vorfeld werden Schwachstellen analysiert, über die dann in das System eingedrungen wird. Mittlerweile hat sich im Dark Web eine eigene dunkle Industrie entwickelt, in der mit diversen Zugangsdaten gehandelt wird“, so Georg Schwondra von Deloitte Österreich.

Cyberangriff: Unternehmen müssen mit 1,2 Mio. Euro Schaden rechnen

Die Industrie hat sich durch den Digitalisierungsboom und das Internet der Dinge angreifbar gemacht. Ein falscher Klick kann so zum kompletten Stillstand führen. „Der wesentliche Unterschied liegt in der Schadenshöhe, die in der Industrie weitaus höher ist als im Rest der Wirtschaft. Im Durchschnitt gehen wir in der österreichischen Wirtschaft von einem Schaden von 1,2 Millionen Euro aus. Aber in der Industrie sehen wir in der Regel viel höhere Folgekosten“, so Schwondra.

Mit der speziellen Ausgangslage für die Industrie beschäftigt man sich auch im Innenministerium. „Cybersicherheit im OT-Bereich, z.B. im Einsatz bei Industrieanlagen, zu erhöhen, stellt, im Vergleich zum klassischen IT-Bereich eine große Herausforderung für Unternehmen dar. Auch die Erhöhung von Kapazitäten im Bereich der Behandlung von Sicherheitsvorfällen stellt viele Unternehmen vor große Herausforderungen“, so Ressortsprecher Harald Sörös.

Die fehlenden Meldepflichten für den Großteil der Unternehmen haben laut Sörös auch dazu geführt, dass es kaum zur Zusammenarbeit zwischen Behörden und Unternehmen gekommen sei: „Aus Sicht einer Sicherheitsbehörde ist die Dunkelziffer von Cyberangriffen immer noch sehr hoch, insbesondere wenn keine gesetzlichen Meldepflichten bestehen. Polizeibehörden werden von den Betroffenen leider selten als Unterstützung und Informationsquelle bei derartigen Angriffen gesehen, sondern häufig als zusätzlicher Aufwand. Oft wird nur eine Meldung an die Datenschutzbehörde durchgeführt, aber keine polizeiliche Anzeige erstattet, weswegen auch nicht alle Vorfälle in der Statistik aufscheinen.“

Ein weiterer Faktor für die österreichische Kultur des Schweigens: In Deutschland gibt es seit 2019 eine eigene Bundesagentur, die sich mit Informationssicherheit beschäftigt. In Österreich hingegen gibt es eine ganze Reihe von Institutionen, die sich unter den Dächern des BKA, BMI und BMLV versammeln. Dieser Umstand dürfte die Meldefreude der betroffenen Unternehmen nicht wirklich fördern. Doch mit der Umsetzung der NIS2-Richtlinie werden nun strenge Meldepflichten eingeführt.

Nicht nur die Cyberkriminellen freuen sich über volle Kassen, sondern auch deren Gegenstück, die IT-Dienstleister. Laut Freedom Finance Europe wird der globale Markt für Cybersicherheit bis 2027 eine jährliche Wachstumsrate von 8,9 Prozent aufweisen und bis dahin einen Wert von 266 Milliarden US-Dollar erreichen. „Man kann davon ausgehen, dass Cyberangriffe in den nächsten Jahren komplexer werden. Das stellt die Implementierung von Sicherheitslösungen vor neue Herausforderungen und könnte das Marktwachstum behindern“, so Shanna Strauss-Frank, Österreich-Sprecherin der Investmentgesellschaft.

Ähnlich wie bei der Einführung der DSGVO-Verordnung löst die Umsetzung der NIS2-Richtlinie einen regelrechten Boom im Bereich der IT-Beratung aus. Axians ICT Austria ist seit mehr als 25 Jahren als IT-Dienstleister in Österreich aktiv – man kennt sich mit den lokalen Besonderheiten also aus. Security-Experte Roger Gspan: „In den Gesprächen mit unseren Kunden stellen wir sehr oft fest, dass die geforderten technischen Maßnahmen wie Netzwerksegmentierung, Multifaktor Authentifizierung, Patchmanagement oder gesicherte Kommunikation größtenteils umgesetzt sind. Aufholbedarf sehen wir im Bereich von Risikomanagementmaßnahmen und in der Erstellung von Wiederanlaufplänen für die Aufrechterhaltung des Betriebes. Eine weitere wichtige Maßnahme, die noch wenig etabliert ist, und vielfach auch zu wenig Bedeutung findet, ist ein definiertes Incident Response Management und die dafür notwendigen Prozesse.“

Auch wenn die Attacken immer ausgetüftelter werden, ist der Großteil der erfolgreichen Angriffe auf eine ganz banale Phishing-Mail zurückzuführen, die ein ungeschulter Mitarbeiter angeklickt hat. Die Sicherheitsberaterin Johanna Hametner führt sogenannte Awareness-Schulungen durch, bei denen Mitarbeiter für Phishing-Versuche sensibilisiert werden. „Die Mitarbeiter klicken in der Regel nicht aus Böswilligkeit auf den gefährlichen Link, sondern einfach, weil man aus Gutherzigkeit dem Angreifer helfen will. Es wird einfach die Menschlichkeit der Mitarbeiter ausgenutzt“, so die Expertin.

Das Bewusstsein für den richtigen Umgang mit Daten geht aber weit über die gesunde Skepsis beim Mailverkehr hinaus. „Es ist wichtig, dass man auch darüber nachdenkt, was passieren kann, wenn man einen USB-Stick stecken lässt, das eigene Büro nicht absperrt, wenn man das Gebäude verlässt oder welche sensiblen Daten am Telefon besprochen werden. All das gehört zu einem verantwortungsvollen Umgang mit Informationen“, so Hametner.

Diese Bewusstseinsbildung hat enorme betriebswirtschaftliche Implikationen, denn laut dem Cybersecurity- und Compliance-Unternehmen Proofpoint setzen 99 Prozent aller Cyberangriffe auf den Menschen als Schwachstelle.