Sie befinden sich hier:  Home  |  NEW BUSINESS  |  NR. 3, MÄRZ 2024  |  Der Schlüssel zur Sicherheit.

Der Schlüssel zur Sicherheit.

NEW BUSINESS - NR. 3, MÄRZ 2024
Würde man Cyberkrimi­nalität als Land messen, wäre sie nach den USA und China die drittgrößte ­Volkswirtschaft der Welt. © Adobe Stock/Who is Danny

Die Attacken aus dem Netz sind gekommen, um zu bleiben. Diese Tatsache zu ignorieren, ist falsch und mitunter geschäftsschädigend. Den Hackern ist man trotzdem nicht hilflos ausgeliefert.

Aber nur dann, wenn man mit Haus- und Sachverstand an die Sache herangeht. 

Die schlechte Nachricht zuerst: Es kann jeden treffen. Es gibt allerdings auch eine gute Nachricht: Man ist den Angriffen aus dem Internet nicht komplett schutz- und hilflos ausgeliefert. Manchmal reicht schon der gesunde Hausverstand, um nicht auf jeden Trick hereinzufallen. Allerdings sollte man nicht allein auf diesen vertrauen, sondern auf entsprechende Sicherheitsmaßnahmen setzen, um es den Angreifern so schwer wie möglich zu machen, ins Unternehmen zu kommen. 

„Es ist weniger eine Frage, ob man Opfer einer Cyberattacke wird, als vielmehr, wann dies der Fall sein wird“, bestätigt Martin Heimhilcher, Obmann der Sparte Information und Consulting der Wirtschaftskammer Wien, die gängige Meinung aller Experten. Die Zahlen aus der jüngsten KPMG-Umfrage bestätigen die stark steigenden Deliktsfälle im Internet: In Wien nahm der Identitätsdiebstahl im Vergleich zum Vorjahr um 220 Prozent zu, der Insider Threat um 209 Prozent und der Datendiebstahl um 150 Prozent.

„Die größte Schwachstelle in puncto Sicherheit – und das wissen die Cyberkriminellen – ist der Mensch“, betont Heimhilcher. Was bedeutet, dass es wichtig ist, die eigenen Mitarbei­te­r:in­nen für Cyberattacken zu sensibilisieren, zu schulen und dies immer wieder zu wiederholen, damit das Risiko möglichst gesenkt wird. 

Im Oktober 2023 wurde die Kriminalstatistik 2022 für Österreich veröffentlicht. Deutlich zu erkennen: Von 17.068 angezeigten Straftaten im Jahr 2021 stiegen die Zahlen auf 22.320 im Jahr 2022. Heimhilcher ist davon kaum überrascht: „Seit der Coronakrise wurde vieles ins Digitale verlagert. Und das hat sich seither auch nicht mehr verändert.“

Gefahr aus dem Homeoffice
Remotearbeit ist mittlerweile zum Standard geworden. Was für den einen zu einer neuen Qualität der Arbeit geworden ist, ist für die Security-Verantwortlichen zu einer neuen Herausforderung gewachsen. Viele Arbeitnehmer:in­nen nutzen ihr privates Gerät häufig für berufliche Aufgaben wie das Versenden von E-Mails, berufliche Anrufe und die gemeinsame Bearbeitung von Dokumenten. Den Schutz des heimischen Internetzugangs haben viele gar nicht im Blick. Stichwort: Passwort. Das wird zu Hause so gut wie nie geändert.

Ebenfalls kritisch ist die Nutzung von öffentlichen WiFi-Netzen, um beispielsweise E-Mails abzurufen. Noch bedenklicher ist das für komplexere Aufgaben. Das zeigt, dass die Absicherung privater Devices von Seiten der IT- oder Security-Teams eine neue Priorität haben muss. „Hybrides Arbeiten verlangt nach einer soliden Strategie seitens der Unternehmen und einer Investition in Geräte, Protokolle und Anwendungen als entscheidende Maßnahmen für IT-Security. Die Wahrscheinlichkeit unbefugter Zugriffe kann dadurch deutlich minimiert werden. Zugriffe auf Anwendungen in der Cloud sollten ebenfalls nach individuellem Bedarf und Kontext abgestimmt werden“, empfiehlt Markus Sageder, Cybersecurity-Experte bei Cisco Österreich. 

Ernst der Lage erkennen
Vor ein paar Jahren waren es meist ein „paar dumme Jungs“, denen es vor allem darum ging, ins Netzwerk einzudringen, nur um zu zeigen, dass es möglich ist. Sozusagen nur um die Nachricht „Ich war hier“ zu hinterlassen. Mittlerweile stehen hinter den Angriffen zu 99,99 Prozent kriminelle Organisationen. Und denen geht es längst nicht mehr um Lausbubenstreiche. „Würde man Cyberkriminalität als Land messen, wäre sie nach den USA und China die drittgrößte Volkswirtschaft der Welt“, so die Experten von Sosafe, einem Anbieter von Cybersecurity-Awareness-Trainings. So ist Cyberkriminalität mittlerweile zu einem einträglichen Geschäftsmodell geworden. Und das gibt es sogar auch als zukaufbare Leistung:

„Crime as a Service“ (CaaS). Da finden sich im Darknet Anbieter, die vollständige Frameworks anbieten – ähnlich wie man Websites erstellen kann, ohne HTML und CSS zu beherrschen. Im Unterschied zu diesen legalen Angeboten, fordern die Ransomware-Anbieter eine „Umsatzbeteiligung“ am Lösegeld. Die Cyberangriffe geschehen dann oft aufgrund eines automatisierten Prozesses, der frei zugängliche Dienste oder Server sucht und attackiert.

Hinter gezielten Angriffen steckt viel mehr Kalkül und Zeit. Denn eine Angriffskette, umfasst mehrere Phasen. Das heißt: Die Angreifer sind bereits mehrere Wochen oder Monate versteckt in den Systemen unterwegs, bevor sie sich scheinbar plötzlich zeigen. In der ersten Erkundungsphase sammeln sie Informationen über das Zielunternehmen, seine Netzwerktopologie, verwendete Software und potenzielle Schwachstellen. Das kann durch passive Methoden wie das Durchsuchen öffentlich zugänglicher Informationen oder aktive Methoden wie das Scannen von Netzwerken erfolgen.

Nachdem die Angreifer genügend Informationen gesammelt haben, um ihr Ziel zu identifizieren, wählen sie eine Angriffsmethode aus und liefern den schädlichen Code aus. Dies kann durch infizierte E-Mail-Anhänge, schädliche Links oder Schwachstellen in der Software erfolgen. Sobald der schädliche Code auf einem System ausgeführt wird, wird das System kompromittiert und der Angriff beginnt. Danach versuchen die Angreifer, sich im Netzwerk des Unternehmens auszubreiten. Dies kann durch die Ausnutzung von ungesicherten Zugangsdaten, Schwachstellen in der Netzwerkkonfiguration oder fehlende Sicherheitspatches erfolgen. Erst danach geht es an die Kronjuwelen, sprich die sensiblen Daten aus dem Unternehmensnetzwerk. 

Diesem Prozess ist man aber keineswegs hilflos ausgeliefert. Für jede einzelne Phase gibt es wirkungsvolle Maßnahmen, die es den Angreifern schwerer machen. Die Liste reicht von regelmäßigen Sicherheitsaudits über Antivirus-Software, E-Mail-Filter, strikte Zugriffskontrollen bis zu Netzwerksegmentierung und regelmäßiger Überprüfung der Zugriffsrechte. Die Implementierung von Intrusion-Detection-Systemen hilft, um verdächtige Datenübertragungen zu erkennen und zu blockieren. Außerdem ist es wichtig, Backups sensibler Daten regelmäßig durchzuführen, um im Falle einer Datenexfiltration seine Geschäftsfähigkeit schnell wiederherstellen zu können.

Und genau darum geht es: sich vor Störungen und Ausfällen mit schwerwiegenden Folgen zu schützen. In diesem Kontext müssen sich vor allem Führungskräfte vermehrt mit der Frage auseinandersetzen, ob sie entsprechend vorbereitet sind. „Organisationen sollten unbedingt ihre Resilienz stärken – dafür braucht es ein Aufbrechen des Silo-Denkens. Cybersicherheit muss in die laufenden Geschäftsprozesse integriert werden und ein fixer Bestandteil der Kultur werden. Im Leadership braucht es auf jeder Ebene Bewusstsein dafür“, so Maria Kirschner, Vice President, General Manager von Kyndryl Alps.

Das Unternehmen ist Anbieter von IT-Infrastrukturdienstleistungen und hat in seinem aktuellen Kyndryl Cybersecurity Risk Report gezeigt, dass in 35 Prozent der Fälle der Ruf der Organisation als Resultat dieser IT-Zwischenfälle litt. Größere Cybervorfälle können unter anderem den Aktienwert börsennotierter Unternehmen deutlich beeinträchtigen.

„Cybersicherheit muss als integraler Bestandteil des Risikomanagements betrachtet werden, denn Häufigkeit und Schwere von Cyberbedrohungen und Ransomware-Gefahren nehmen leider zu“, so Michael Sturmlechner, Managing Director Multinational Clients bei Aon in Österreich. „Entsprechend verändert sich auch der Versicherungsmarkt in diesem Bereich rasant. Er ist gekennzeichnet von steigenden Prämien, Selbstbehalten und einer umfangreichen Underwriting-Prüfung seitens der Versicherer.“

„Wenn” und nicht „Falls“ 
Auch Ransomware-Attacken haben die Unternehmen weiter fest im Griff. Laut Veeam Data Protection Trends Report 2024 wurden in den vergangenen zwölf Monaten 76 Prozent der befragten Unternehmen mindestens einmal angegriffen. Diese Zahl ist zwar gegenüber 85 Prozent im Jahr 2023 gesunken, dennoch gaben 26 Prozent an, im vergangenen Jahr mindestens viermal angegriffen worden zu sein. Dem Rückgang der Ransomware-Angriffe schließt sich auch der 2024 X-Force Threat Intelligence Index von IBM an, allerdings mit einer interessanten Erklärung:

„Ransomware-Angriffe auf Unternehmen sind im vergangenen Jahr um fast 12 Prozent zurückgegangen, da sich größere Unternehmen gegen eine Zahlung und Entschlüsselung zugunsten des Wiederaufbaus ihrer Infrastruktur entschieden haben. Da dieser wachsende Widerstand wahrscheinlich die Umsatzerwartungen der Angreifer aus verschlüsselungsbasierter Erpressung beeinflusst, ist zu beobachten, dass die zuvor auf Ransomware spezialisierten Gruppierungen zunehmend zu Infostealern werden.“

Training für den Ernstfall
Um Vorbereitung für den Ernstfall geht es beim jährlichen Planspiel des Kompetenzzentrums Sicheres Österreich (KSÖ). Im November 2023 trafen sich dazu rund 60 Akteure aus den Bereichen Energieversorgung, Telekommunikation, Mobilität, Finanzdienstleistung, Gesundheitsversorgung sowie Industrie und Behörden mit Einsatzkräften, um jene Sicherheitsmaßnahmen zu evaluieren, die in den jeweiligen Organisationen definiert sind. Dazu wurden die Teilnehmenden mit einem Cyberangriff-Szenario konfrontiert. Konkret ging es darum, die Zulieferketten in Österreich nachhaltig zu unterbrechen und der österreichischen Gesellschaft und auf diese Weise der Wirtschaft zu schaden. Dazu wurde eine ausgeklügelte Schadsoftware von Angreifern über einen längeren Zeitraum und gleichzeitig in mehreren wichtigen Industriesektoren in verschiedene Softwarekomponenten eingebaut. 

So wurde beispielsweise in E-Mail-Clients, ERP-Systeme und Elec­tronic-Banking-Anwen­dungen sowie auch in diversen Software-Backup-Systemen Schadsoftware unbemerkt eingeschleust. Darüber hinaus wurde im Planspiel ein besonderes Augenmerk auf die Koordination und die Kooperation zwischen den einzelnen Organisationen gelegt. Hierbei wurden die vorgesehenen Kommunikationsprozesse und abgestimmten Abläufe unter den erschwerten Bedingungen, die im Szenario gelten (Unklarheit über Herkunft der Angriffe, Schwere des Vorfalls, sektorenübergreifende Auswirkungen), geprobt und in weiterer Folge ebenfalls evaluiert.

Die teilnehmenden Organisationen der Übung sind alle nach dem NIS2-Gesetz betroffen, daher ist diese Übung für alle Teilnehmenden auch eine Vorbereitung auf die kommende Umsetzung der NIS2-Richtlinie, die ab 18. Oktober auch in Österreich wirksam sein wird. „Die Richtlinie ist für jedes einzelne Unternehmen eine Möglichkeit zur Steigerung der Sicherheit, aber selbstverständlich auch eine große Herausforderung“, sagte Innenminister Gerhard Karner anlässlich des Planspiels. Schätzungen zufolge betrifft die Umsetzung zumindest 4.000 österreichische Unternehmen, Gebietskörperschaften des öffentlichen Rechts sowie Vereine.

Neben Ergänzungen bei den wesentlichen Einrichtungen, wie der Verwaltung von IKT-Diensten B2B, gibt es auch komplett neue Bereiche, die unter die wichtigen Einrichtungen fallen. Dazu zählt auch das verarbeitende bzw. herstellende Gewerbe, also der Maschinenbau, Hersteller von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, elektrischen Ausrüstungen, Kraftwagen, Kraftwagenteilen, sonstiger Fahrzeugbau sowie Hersteller von Medizinprodukten. Diese Einrichtungen fallen in den Anwendungsbereich, wenn sie mehr als 50 Personen beschäftigen oder über zehn Millionen Euro Jahresumsatz erreichen.

Betroffene Unternehmen erfahren unter www.nis.gv.at, was für die Umsetzung wichtig ist, welche Erfahrungen damit gesammelt wurden und welche Änderungen notwendig sind. Die Website bietet außerdem eine Checkliste, mit der überprüft werden kann, ob ein Unternehmen von der Richtlinie umfasst ist, sowie umfassende informative FAQs. Im Innenministerium wird eine zentrale Ansprechstelle für die Koordination der notwendigen Maßnahmen zwischen den Behörden des Bundes, der Länder sowie vor allem der Wirtschaft und der Unternehmen eingerichtet. (BS)


INFO-BOX
Was ist das Ziel von NIS2 und wer ist betroffen?
Die NIS-2-Richtlinie soll die Resilienz und die Reaktion auf Sicherheitsvorfälle des öffentlichen und des privaten Sektors in der EU verbessern. Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS-2 auf einen größeren Teil der Wirtschaft ausgeweitet, um eine umfassende Abdeckung jener Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind. Betroffene Einrichtungen müssen daher geeignete Risikomanagement­maßnahmen für die Sicherheit ihrer Netz- und Informationssysteme treffen und unterliegen Meldepflichten.

Betroffen sind große Unternehmen mit mindestens 250 Beschäftigten oder über 50 Millionen Euro Jahresumsatz und über 43 Millionen Euro Jahresbilanzsumme sowie mittlere Unternehmen mit 50 bis 249 Beschäftigten oder zwischen zehn und 50 Millionen Euro Jahresumsatz bzw. zwischen zehn und 43 Millionen Euro Jahresbilanzsumme. Kleine Unternehmen (unter 50 Beschäftigte und unter 10 Millionen Euro Jahresumsatz und unter 10 Millionen Euro Jahresbilanzsumme) fallen grundsätzlich nicht unter NIS-2. Bei Unternehmen, deren Tätigkeit auf eine Schlüsselrolle für Gesellschaft, Wirtschaft oder für bestimmte Sektoren hindeutet, sieht die Richtlinie für kleine Unternehmen Sonderregeln vor.

www.nis.gv.at