Dem Hacker einen Schritt voraus
(kunid) Ein Cyberangriff kann jedes Unternehmen treffen, egal welche Größe. Cybersicherheit ist daher seit Jahren ein wichtiges Thema.
Beim Business-Talk der Deutschen Handelskammer in Österreich (DHK) in Wien beleuchteten Experten, welche technischen, kriminalpsychologischen und rechtlichen Aspekte hinter einem Hackerangriff stecken und was die neue Cybersicherheits-Richtlinie der EU für Unternehmen bedeutet.
Edith Huber, Seniorresearcher für Sicherheitsforschung und Cyberkriminologie an der Universität für Weiterbildung in Krems, räumte mit dem Vorurteil des Cyberkriminellen als IT-Nerd in Kapuzenpullover auf. „Die Täter findet man weltweit in fast allen Gruppierungen, angefangen von Kindern bis zu Geschäftsleuten, viele haben auch gar keine IT-Ausbildung.“
Oft stünde hinter einer Ransomeware-Attacke eine ganze Lieferkette, in der sich nicht jeder strafbar machen würde: Produzenten von Verschlüsselungssoftware, Verkäufer und eben Anwender.
Die Motive für Cyberkriminalität sind laut Huber ebenfalls vielschichtig und vom jeweiligen Delikt abhängig. Finanzielle Reize sind ebenso ein Grund wie politische Motive oder persönliche Rache, etwa von Mitarbeitern.
Einen Experten zu Rate ziehen
Aron Molnar, Security-Tester und Gründer der Syslifters GmbH, gab einen Einblick in seine Arbeit. Sicherheitsüberprüfungen, sogenannte Penetration-Testings, können viele Folgeschäden verhindern. „Ein Ransomware-Angriff kostet viel wenn das Unternehmen lahmgelegt ist, Umsatz entgeht oder Deals nicht abgeschlossen werden können.“
Deshalb sollte man, so wie man bei einem Hausbau einen Sachverständigen beauftragt, auch für IT-Infrastruktur und Software einen Experten zu Rate ziehen, so Molnar. Der IT-Experte betonte aber, dass eine Sicherheitsüberprüfung immer nur für den Status quo gilt und das Unternehmen nicht von künftigen Maßnahmen für die IT-Sicherheit wie Updates oder starken Passwörtern befreit.
Laut Molnar sollen Unternehmen ihre Mitarbeiter schulen, man kann diese aber nie zu Experten machen. Jedenfalls sind sie nicht die „Last Line of Defense“. „Die Schwachstelle ist oftmals der Mensch. Dass er einen Computer infiziert, ist nur eine Frage der Zeit.
Wichtiger ist aber die Frage: Was passiert dann? Kann sich der Hacker im ganzen Firmennetzwerk ausbreiten, die höchsten Rechte erreichen und Schadsoftware ausrollen – oder hindert ihn die Technik daran?“
Potenzielle Schadenersatzforderungen von Kunden
Yuyun Yao, Leiter IT Betrieb & Infrastruktur bei der Flughafen Wien AG, berichtete über die Cybersicherheit am Wiener Flughafen. „Wir müssen zwei Aspekte beachten: die Aufrechterhaltung der IT-Systeme wie Check-in-Systeme, E-Gates oder Quickboarding-Gates und die Einhaltung von Compliance-Themen.“
Überraschend war die Vielfalt an Motiven für Cyberangriffe auf den Flughafen, die Yao anführte. Sie reicht von politischen Motiven über finanzielle Gründe bis hin zu Unzufriedenheit bei Passagieren. Typischerweise finden die Angriffe zu Randzeiten, etwa am Freitag oder an Wochenenden statt, „weil da weniger Personal da ist, um die Angriffe abzuwehren“, vermutet Yao.
Einen Überblick über die rechtlichen Aspekte von Cyberangriffen lieferte Rechtsanwalt Michael Röhsner, der sich bei Eversheds Sutherland auf IT-Recht, Datenschutz und Cybersicherheit spezialisiert hat. „Die meisten Betroffenen denken bei einem Cyberangriff sofort an Strafen aufgrund der DSGVO oder an potenzielle Schadenersatzforderungen von Kunden. Das Hauptproblem in vielen Fällen sind aber die indirekten Schäden, wenn Unternehmen etwa ihren Lieferverpflichtungen nicht mehr nachkommen können“, weiß Röhsner.
Haben oder nicht haben kann über Überleben entscheiden
Um sich rechtlich bestmöglich vor Cyberattacken zu schützen, empfiehlt Röhsner ein datenschutzrechtliches Löschkonzept – alles, was gelöscht ist, kann man nicht stehlen – und entsprechende Vertragsklauseln, etwa durch Einstufung eines Cybervorfalls als höhere Gewalt, sowie den Abschluss einer Cybersecurity-Versicherung. „Haben oder nicht haben kann hier besonders bei kleineren Unternehmen über das Überleben entscheiden.“
Röhsner erklärte auch die wichtigsten Auswirkungen der neuen Cybersicherheits-Richtlinie der EU, NIS 2: „Unternehmen müssen gewisse Cyberhygienemaßnahmen treffen, die über eine bloße Checkliste hinausgehen. Darüber hinaus wird Cybersicherheit zur Managementaufgabe, die man nicht mehr vollständig delegieren kann. Und es gibt extrem scharfe Meldepflichten.“
Der Rechtsexperte rät Betrieben zu prüfen, ob sie unter den Anwendungsbereich der Richtlinie fallen, und sich vorzubereiten. Bis Oktober 2024 muss Österreich die Richtlinie in nationales Recht umsetzen.