Noch immer wird Cybersicherheit hierzulande von vielen Unternehmen stiefmütterlich behandelt. Das könnte in Zukunft viele Geschäftsbeziehungen massiv belasten.
Text: Raimund Lang
Die vergangenen zwei Jahre waren pandemiebedingt vor allem von Sorge um die Gesundheit der Bürgerinnen und Bürger geprägt. Doch auch die Sorge um die „Gesundheit“ von Computersystemen gewinnt zunehmend an Bedeutung – endlich, möchte man fast meinen. Cybersecurity, also der Schutz gegen Attacken krimineller Hacker, Viren und sonstiger Schadsoftware („Malware“), ist ein Thema von sowohl innerbetrieblich wie auch volkswirtschaftlich wachsender Dimension. Diente die Entwicklung von Viren, Trojanern & Co. in den Anfangstagen des Informationszeitalters noch der Eitelkeit ambitionierter Programmierer, so stellt sie heute eine reale Einnahmequelle für Hacker dar. Computerkriminalität ist ein Milliardengeschäft geworden – und für die Opfer ein Milliardenverlust. So beziffert der deutsche Branchenverband bitkom den Schaden, den die Wirtschaft unseres Nachbarlandes jedes Jahr durch Malware erleidet, auf 223 Milliarden Euro.
Die Methoden der Hacker.
Insbesondere zwei Angriffstypen stehen derzeit im Vordergrund, wie dem aktuellen Bericht für Cybersicherheit des österreichischen Bundeskanzleramtes zu entnehmen ist. Erpressungstrojaner (auch „Ransomware“ genannt) sowie DDoS-Angriffe (Distributed Denial-of-Service) dominieren demnach Attacken auf heimische Unternehmen. Mit Erpressungstrojanern dringen Hacker in Netzwerke ein und entwenden Daten. In weiterer Folge drohen sie, diese zu veröffentlichen, wenn das Opfer nicht eine bestimmte Summe in Kryptowährung bezahlt. Bei einem DDoS-Angriff wird automatisiert eine enorm große Zahl an gleichzeitigen Anfragen an einen Zielserver geschickt, bis dieser aus Überlastung
"Man hat eine Technologie nach der anderen auf Schiene gebracht, ohne sich zu überlegen, welchen Wartungsaufwand diese erfordern."
den Dienst einstellt. Beide Angriffstypen werden vorwiegend dazu genutzt, um Geld zu erpressen. DDoS kommt auch für Sabotage zum Einsatz. Die im Frühjahr 2020 in Österreich angekommene Pandemie habe zu einer Ausweitung der Gefahrenlage geführt, stellt der Bericht fest. Durch die Zunahme an Heimarbeit wurden nämlich vermehrt Remote-Access-Lösungen eingesetzt, die ihrerseits neue Angriffsmöglichkeiten bieten. Ein Anstieg gegenüber dem Vorjahr wurde auch in Bezug auf den sogenannten „CEO-Fraud“ beobachtet. Dabei geben sich Hacker, zum Beispiel mit einer gefälschten E-Mail-Adresse, als Firmenchef aus und lassen sich von ihren Mitarbeitern sensible Daten zusenden oder weisen Zahlungen (natürlich auf das eigene Konto) an.
EU-Richtlinie soll Hilfe bringen.
Wie konnte es überhaupt so weit kommen? Für Alexander Mitter, CEO des zur KSV1870 Gruppe gehörenden Security-Dienstleisters Nimbusec, ist das Problem hausgemacht (siehe Interview ab Seite 10). „Man hat eine Technologie nach der anderen auf Schiene gebracht, ohne sich zu überlegen, welchen Wartungsaufwand diese erfordern“, meint er. Noch schlimmer: Nicht nur Klein- und Mittelunternehmen mit vergleichsweise geringen finanziellen Mitteln, um in Security zu investieren, sind betroffen. „Das Problem betrifft Unternehmen jeder Größe und aus jeder Branche“, so Mitter. „Das ist eigentlich auch keine Überraschung, weil ja alle im Wesentlichen dieselben Systeme einsetzen.“ Der Experte fordert unter anderem mehr Standardisierung sowie eine Meldepflicht für Security-Vorfälle. Einen ersten Schritt in diese Richtung bringt die EU-Richtlinie 2016/1148, die auf ein EU-weit einheitliches Niveau an Sicherheit für kritische Infrastrukturen abzielt. In Österreich wurde die Richtlinie in Form des Netz- und Informationssystemsicherheitsgesetzes (NISG) in nationales Recht umgesetzt. Adressaten des NISG sind die Betreiber sogenannter „wesentlicher Dienste“. Dazu zählen die Sektoren Energie, Luft-, Straßen- und Schienenverkehr, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung, digitale Infrastruktur sowie Teile der öffentlichen Verwaltung. Ab Herbst 2022 müssen die betroffenen Unternehmen nicht nur Sicherheitsvorfälle melden, sondern darüber hinaus mittels eines Audit-Berichts nachweisen, dass sie hinreichende Maßnahmen gesetzt haben, um die Funktionstüchtigkeit ihrer Dienste zu schützen. Dazu zählt unter anderem, dass aktiv Informationen über den Status der IT-Sicherheit von Lieferanten und anderen Partnerfirmen eingeholt werden. So soll verhindert werden, dass schlecht geschützte Unternehmen unentdeckte Schadsoftware an ihre Partner übertragen und so unfreiwillig zum Einfallstor in fremde Netzwerke werden. Motto: Jede Kette ist nur so stark wie ihr schwächstes Glied.
Sicherheitsrating schafft Transparenz.
Eine niederschwellige Möglichkeit, um diesen Nachweis zu erbringen, stellt seit etwa einem Jahr das CyberRisk Rating by KSV1870 dar, das von der Nimbusec GmbH erstellt wird. Es ist ein Instrument zur Bewertung der IT-Security von Unternehmen. Analog zum klassischen KSV1870 Rating werden Unternehmen auf einer Skala von 100 bis 700 gewertet, wobei 100 für minimales Risiko und 700 für größtmögliches Risiko steht. Um ein Rating zu bekommen, müssen in der Basisversion („B-Rating“) 14 Fragen, in der Vollversion („A-Rating“) 25 Fragen beantwortet werden. B-Fragen sind unter anderem, ob das Unternehmen eine IT-Sicherheitsrichtlinie hat, ob es seine Mitarbeiter regelmäßig in Sicherheitsbelangen schult oder ob regelmäßige Software-Updates durchgeführt werden. Die A-Variante geht weit darüber hinaus. Hier ist beispielsweise anzugeben, ob man Penetration-Tests durchführt oder Systeme im Einsatz hat, die das Netzwerk permanent auf ungewöhnliche Aktivitäten
"Es geht um Aufklärung und die Schaffung von Bewusstsein."
und Anomalien überwachen. Die anonymen Antworten werden von externen Auditoren ausgewertet. Mit einem guten Rating können Unternehmen nachweisen, dass und in welchem Ausmaß sie über eine sichere IT verfügen und für aktuelle oder potenzielle Partner kein unnötiges Risiko darstellen. Die Teilnahme am CyberRisk Rating ist freiwillig, betont Alexander Mitter. Da es aber seitens der Auditoren Nachfragen bzw. ein Feedback auf die Antworten gibt, fungiert das Rating indirekt als eine Art Beratung für die teilnehmenden Unternehmen. Sind etwa Antworten zu ungenau oder nicht hinreichend, werden die Unternehmen darauf hingewiesen und erkennen, ob es hier vielleicht nicht nur bei der Formulierung, sondern auch in der Sache selbst Bedarf zum Nachschärfen gibt. „Beim CyberRisk Rating geht es um viel mehr als nur den Wert an sich“, sagt Mitter. „Es geht um Aufklärung und die Schaffung von Bewusstsein.“
Umdenken erkennbar.
In dieser Hinsicht besteht noch erheblicher Nachholbedarf, wie etwa der aktuelle „Global Digital Trust Insights Survey 2022“ des Wirtschaftsprüfers PricewaterhouseCoopers (PwC) zeigt. Für die Studie wurden weltweit 3.600 Führungskräfte befragt. Die Österreich-Auswertung liefert unter anderem den ernüchternden Befund, dass bisher lediglich 35 % der heimischen Unternehmen systematisch Datenschutzrisiken bei ihren Lieferanten erheben. Als Hinweis für ein Umdenken kann jedoch interpretiert werden, dass 73 % der Befragten im kommenden Jahr eine Erhöhung ihrer Investitionen in IT-Sicherheit planen. Die Hälfte will diese sogar um mehr als 10 % steigern. Das ist auch dringend nötig, denn Cyberkriminelle schlafen bekanntlich nicht.
So können sich Unternehmen schützen |
|---|
|