Das Ringen um Cybersecurity
Die großen Cyberangriffe der letzten Jahre waren so genannte Ransomware-Angriffe, bei denen der Angreifer versucht, Daten eines Unternehmens zu verschlüsseln, um sie gegen Lösegeld zu entschlüsseln. Insofern können alle Branchen Ziel eines solchen Angriffs sein, vor allem jene, die sehr digitalisiert sind: „Je höher der Digitalisierungsgrad, umso anfälliger ist ein Unternehmen für solche Angriffe“, sagt Georg Beham, Cybersecurity und Privacy Leader bei PwC Österreich.
Und je häufiger diese Angriffe stattfinden, umso stärker rückt die Bedrohung ins Bewusstsein der Unternehmen. PwC befragt jährlich im Zuge des „Global CEO Survey“ über 5.000 CEOs weltweit unter anderem zu den größten Risiken für ihren Betriebserfolg. Und seit nunmehr zwei Jahren wird diese Liste von Cyberbedrohungen angeführt. „In Österreich waren es vor zwei Jahren noch nur an die 25 Prozent der befragten CEOs, die darin die größte Bedrohung sahen – das war noch eine Wahrnehmung von der Insel der Seligen“, so Beham. Das habe sich aber zuletzt durch große prominente Angriffe geändert, sprich: „Das Bewusstsein für Cyberbedrohungen ist auch bei uns angekommen. Mittlerweile sehen auch die österreichischen CEOs Cyberangriffe mit 64 Prozent als die größte Bedrohung für Unternehmen.“
Enorme Steigerungsraten
Angesichts der enormen Steigerungsraten bei dieser Kriminalitätsform sind diese Sorgen durchaus berechtigt: „In Wien haben wir eine Steigerung von +22,4 Prozent von 2020 auf 2021, in Österreich +30 Prozent von 2020 auf 2021 bzw. +50 Prozent im Vergleich zu 2019“, weiß Martin Heimhilcher, Spartenobmann „Information & Consulting“ in der WKO. „Offiziell“ – denn in der Realität sei diese Rate sicher viel höher, ganz vieles werde nicht angezeigt oder gemeldet. „So weisen wir bei jeder Veranstaltung und Schulung auch darauf hin, solche Vorfälle unbedingt zur Anzeige zu bringen. Denn nur wenn alle es anzeigen, bekommt diese Form der Kriminalität auch den kriminellen ,Stellenwert‘, den sie inzwischen real hat. Und umso effektiver kann sie bekämpft werden“, betont Heimhilcher und weist auch auf die Cybersecurity-Hotline 0800 888 133 hin. Sie ist 24/7 erreichbar.
Wie gehen die österreichischen Unternehmen mit dieser Bedrohung um? Diverse Umfragen zeigten, dass sich puncto Cybersicherheit in den letzten Jahren zwar viel getan habe, aber nicht genug oder teilweise nicht das Richtige, sagt Wolfgang Rosenkranz, Team Lead bei der CERT.at GmbH. „Man schaut sich nicht konsequent an, was die wirklichen tagesaktuellen Bedrohungen sind, dabei sind die Angriffstechniken der Cyber-Kriminellen teilweise viel geschickter geworden.“ Für die komplexeren Angriffe, bei denen eine Schwachstelle im System gesucht werde, existiere schon ein im kriminellen Sinn „sehr gut funktionierender“ Markt, wo man Schadsoftware kaufen könne. „Es gibt also noch viel zu tun, bis es genauso selbstverständlich ist, sich um Security-Themen zu kümmern, wie um andere infrastrukturelle oder verwalterische Dinge“, so Rosenkranz.
Ebenfalls noch nicht bei uns angekommen scheint zu sein, dass Cybersecurity Chefsache ist. Georg Beham von PwC: „Der österreichische CEO neigt noch dazu, das Thema Cybersicherheit an die IT zu delegieren und zu glauben, dem Problem sei damit Genüge getan.“ Tatsächlich sei das Problem aber nur zu einem Teil von der IT zu lösen. Es sei auch ein Problem vom Vertrieb, von der gesamten Organisation oder von der Produktion – und somit ein Thema für den Vorstand, der sich dieses Themas auch selber annehmen und sich ein eigenes Bild davon machen müsse. „Er muss sich immer wieder mit den verantwortlichen Personen darüber austauschen, er muss entsprechende Budget-Entscheidungen treffen und möglicherweise auch damit zusammenhängende Konflikte lösen – und da“, so Beham, „mangelt es in den österreichischen Unternehmen noch an entsprechendem Bewusstsein.“
Die wichtigsten Präventionsmaßnahmen
Hier zunächst die laut Gottfried Tonweber von EY exemplarisch das typische Cyber-Gefährdungspotential:
- Gefährdung durch IT-Sabotage (meist durch eigene unzufriedene Mitarbeiter);
- Gefährdung durch Ransomware (Phishing-Mails als Überträger, unaufmerksame Mitarbeiter);
- Niedrige Risiko-Wahrnehmung („Awareness“) bei Mitarbeitern und Management, nicht nur im Unternehmenskontext, sondern darüber hinaus, wie man mit den personenbezogenen Daten auch im privaten Umfeld umgeht. Cyberangriffe erfolgen gerade über unachtsame Mitarbeiter mit persönlichen Daten und Geschäftsdaten. Das sind klassische „Angriffsvektoren“;
- Datenklau durch Ransomware beziehungsweise – gerade für die Immobilienbranche relevant – Veröffentlichung von sensiblen personenbezogenen Daten wie Namen von Käufern, von Mietern und deren Kontoverbindung, von Bonitätsauskünften und Miethöhen. Insofern kann die Immobilienbranche schon auch sehr ein lohnendes Ziel für Cyberkriminelle darstellen;
- Weiters sind Angriffe zu erwähnen, wie das Hacken von Liftsteuerungen, Klimaanlagen etc. Das schafft mediale Aufmerksamkeit, Stichwort Reputationsschaden, wenn auch nicht unbedingt Gefahr.
Abwehrmaßnahmen
Vorbereitung ist jedenfalls alles, um sich vor diesem Gefährdungspotenzial nach Möglichkeit zu schützen. „Abwehrmaßnahmen müssen vorher definiert, geübt und verinnerlicht werden“, betont Tonweber. Und weiter: „Die Schulung von Mitarbeitern, das Durchdenken und Durchspielen von möglichen Krisenszenarien – das ist sicher etwas, das eine hohe Lernkurve hat. Krisenstab, Krisenkommunikation, welche Dienstleister hat man an der Hand? Wie schafft man es, einen Angriff so gering wie möglich zu halten? Und wie schafft man die Wiederanlauf-Prozeduren, um schnell wieder einen Status quo zu erreichen?“
Zusammengefasst sei als Vorbereitung genannt:
- Risikobewertung: Was sind kritische Assets in der Organisation? Wie gut sind kritische Daten in den IT-Systemen gesichert? Was müsste passieren, damit das Business zusammenbricht?
- Hat man geeignete Sicherungsmaßnahmen? Was muss getan werden, damit ein Cyberangriff möglichst unwahrscheinlich ist?
- Ist man für alle Wiederherstellungsmaßnahmen gut aufgestellt? Was muss getan werden, um wieder „auf die Beine“ zu kommen?
Zu den Basics der Vorbereitung gehört natürlich, die Systeme auf dem Stand der Technik zu betreiben. „Das heißt vor allem auch, dass Updates überall, vom persönlichen Smartphone übers Notebook bis zu den Serversystemen, so schnell eingespielt werden, wie es möglich ist, um dem Angreifer einen zeitlichen Vorteil zu nehmen“, so Georg Beham von PwC. Denn man müsse sich zum Beispiel vorstellen: „An dem Patchday von Microsoft, an dem Tag, an dem Microsoft seine Updates, wo auch Sicherheitsschwachstellen behoben werden, veröffentlicht, sollten die Unternehmen diese Updates auch gleich einspielen. Denn was machen die Angreifer, die Cyberkriminellen, zu dem Zeitpunkt? Sie nehmen die Patches von Microsoft, machen Reverse Engineering und produzieren innerhalb kürzester Zeit Schadsoftware, die bei Unternehmen, die diese Patches nicht gleich einspielen, genau diese Sicherheitsschwachstellen ausnutzt.“ Eine der wichtigsten Präventivmaßnahmen sei also, ein gutes Patch-Management, sprich: Updates, möglichst zeitnahe einzuspielen. Eine weitere wichtige Maßnahme: die besonderen Berechtigungen beziehungsweise die Administrator-Konten gut schützen und die Backups ransomware-sicher machen.
Förderungen
Generell ist die KMU-Digitalförderung jetzt wieder aufgelegt worden, „da wird schon die Beratung dazu gefördert“, so Martin Heimhilcher von der WKO. „Die KMU Cybersecurity-Förderung – eine Investitionsförderung für KMU – ist derzeit leider ausgeschöpft. Es werden neue Fördermittel bereitgestellt. Hier erhalten KMU im Rahmen des Austrian Wirtschaftsservice (aws) Programms „aws Digitalisierung“ bei Investitionen zur Steigerung ihrer Cybersicherheit bis zu 40 % der Kosten gefördert.“
https://www.wko.at/site/it-safe/kmu-cybersecurity-foerderung.html
Infobox
Die wichtigsten Tipps von Gottfried Tonweber, Leiter Cybersecurity bei EY, wie Immobilienunternehmen (zum Beispiel Bauträger) mit dem Thema Cybersicherheit umgehen sollen:
- Kennen Sie ihre Assets, ihre Werte und die Risiken!
- Schaffen Sie eine passende, wirksame Sicherheitsarchitektur für ihr Unternehmen!
- Schaffen Sie Awareness bei ihren Mitarbeitern!
- Prüfen Sie ihre Maßnahmen regelmäßig, üben Sie Szenarios eines Angriffs!
- Prüfen Sie ihre Partner und Lieferanten durch Security-Audits!
- Verlangen Sie Cyber-Zertifizierungen von Ihren Zulieferern!