Cyberattacken gelten als das Geschäftsrisiko Nummer 1. Dennoch wird die virtuelle Gefahr vor allem von mittelständischen Unternehmen unterschätzt. Diese bekommen durch die Cybersecurity-Richtlinie NIS2 akuten Handlungsbedarf.
Text: Markus Mittermüller
Dieser Fall hat nicht nur bei CNN, sondern auch bei Behörden auf der ganzen Welt für Aufsehen und Erschrecken gesorgt. Ein multinationales Unternehmen in Hongkong ist um umgerechnet rund 23 Millionen Euro geprellt worden – und hat diese Summe sogar selbst an die Betrüger überwiesen. Wie war das möglich? Ein Angestellter des betroffenen Unternehmens ist nach einer zunächst per E-Mail erfolgten Zahlungsaufforderung vom vermeintlichen Finanzchef zu einer Videokonferenz eingeladen worden. Wie sich später herausstellte, waren die vermeintlichen Teilnehmer der Videokonferenz größtenteils KI-generierte Nachbildungen von echten Menschen. Zum Einsatz kam hier eine als Deepfake bekannte Technologie. Der Betrug wurde erst bemerkt, als der betroffene Mitarbeiter sich bei der Firmenzentrale meldete, um sich über die getätigte Transaktion zu beraten.
Prominente Cyberopfer.
Ist dieser Betrug eine Ausnahme? Wohl nur, was den großen Aufwand seitens der Kriminellen betrifft. Cybervorfälle wie Ransomware-Attacken, Datenpannen und IT-Ausfälle sind laut dem Allianz Risk Barometer, für das mehr als 3.000 Risikoexperten aus 92 Ländern nach ihren Top-Unternehmensrisiken befragt wurden, das Geschäftsrisiko Nummer 1 – noch vor der Inflation, Betriebsunterbrechungen wegen Engpässen in den Lieferketten oder Naturkatastrophen. „Cybersicherheit ist eines der größten Risiken für Unternehmen“, bestätigt Verena Becker, Cybersicherheits-Expertin der Bundessparte Information und Consulting in der Wirtschaftskammer Österreich. Betroffen sind aber nicht nur Unternehmen jeder Größe und Branche, sondern auch die öffentliche Verwaltung, erinnert Becker in diesem Zusammenhang an den Angriff der internationalen Hackergruppe Black Cat auf das Land Kärnten. Die Hacker forderten ein Lösegeld in Höhe von fünf Millionen Euro in Bitcoin für eine Software, mit der man die verschlüsselten Daten des Landes wieder hätte entschlüsseln können. Oder an den Cyberangriff auf die Salzburger Großmolkerei Salzburgmilch, bei dem alle IT-Systeme lahmgelegt wurden. Sämtliche Unternehmensbereiche wie Logistik, Lager und Kommunikation waren von dem Ausfall betroffen.
„Wir stehen hochprofessionell agierenden kriminellen Organisationen gegenüber, die international von Ländern aus tätig sind, in denen keine Strafverfolgung möglich ist“, sagt Becker. Welche Arten von Attacken treten am häufigsten auf? Phishing, also die Beschaffung persönlicher Daten anderer Personen wie Passwort oder Kreditkartennummer mit gefälschten E-Mails oder Websites, ist die klare Nummer 1. So eines der Ergebnisse der Cybersecurity-Studie 2023 von KPMG, einem Netzwerk von Wirtschaftsprüfungs- und Beratungsunternehmen. 100 % der befragten Unternehmen haben in den vergangenen zwölf Monaten Attacken dieser Art erlebt. Eine echte Hochkonjunktur mit 88 % erleben Business E-Mail Compromise und CEO/CFO Fraud. Das ist eine Form von Cyberangriffen, bei denen sich Angreifer als eine bekannte, vertrauenswürdige Quelle ausgeben, um andere dazu zu bringen, Geld zu überweisen, vertrauliche Informationen weiterzugeben oder sonstige nicht autorisierte Aktionen durchzuführen.
EU-Vorgaben für Cyberschutz.
Wie diese Zahlen eindrucksvoll zeigen, sind Cyberattacken keine Ausnahme, sondern bereits zur Regel geworden. Sind die heimischen Unternehmen auf Angriffe wie diese ausreichend vorbereitet? Zumindest 99 der großen Unternehmen sind nachweislich gut geschützt. Dass die Anzahl dieser Unternehmen so genau bekannt ist, liegt an der ersten Cybersecurity-Richtlinie, die von der Europäischen Union im Jahr 2016 eingeführt wurde und als NIS-Richtlinie oder NIS1 bekannt ist. Grundlegendes Ziel von NIS1 ist, die für die Gesellschaft bedeutenden Branchen und Dienstleistungen vor Angriffen in der Cybersphäre zu schützen. „Das bestehende NIS-Gesetz betrifft knapp 100 Unternehmen der kritischen Infrastruktur, die – wie viele andere stark reglementierte Branchen – ein sehr hohes Bewusstsein für die Gefährdungen durch Cyberattacken aufweisen. Mit der künftigen NIS2-Gesetzgebung müssen aber auch tausende mittelständische Unternehmen, zum Beispiel im Bereich Chemie, Lebensmittel oder im verarbeitenden Gewerbe, strenge Cybersicherheits-Vorgaben erfüllen, was vielen noch nicht bewusst ist“, erklärt Becker.
Gesetz trifft 4.000 Unternehmen.
Wir erwarten, dass unter NIS2 definitiv mehr als 4.000 Unternehmen in Österreich fallen werden.
Der bisherige Anwendungsbereich der NIS-Richtlinie nach Sektoren wird mit NIS2 nämlich auf einen weit größeren Teil der Wirtschaft ausgeweitet. „Wir erwarten auf Basis der Aussagen der zuständigen Behörden, dass unter NIS 2 definitiv mehr als 4.000 Unternehmen in Österreich fallen werden, erstmals auch die öffentliche Hand. Und wir haben dabei eine Strafandrohung von bis zu zehn Millionen Euro und persönliche Haftungen für das Führungspersonal, wenn Pflichten im Bereich IT-Sicherheit nicht umgesetzt werden“, sagt dazu Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH. Das Unternehmen bietet eine Hightech-SaaS-Dienstleistung zum Monitoring von Webapplikationen an, welche Manipulationen und gehackte Webauftritte frühzeitig erkennen und beseitigen kann.
Lieferanten im Fokus.
Künftig sind grundsätzlich alle Unternehmen in zusätzlichen Sektoren wie „Abwasserwirtschaft“, „Rechenzentrumsbetreiber“ oder „Produktion von bestimmten wichtigen Produkten“ betroffen, die einen Jahresumsatz von mehr als 50 Millionen Euro und über 50 Mitarbeiter haben. Zudem werden die bestehenden Meldepflichten verschärft, signifikante Sicherheitsvorfälle oder Bedrohungen werden mittels Frühwarnung bereits binnen 24 Stunden zu melden sein. Ein besonders wichtiger Punkt ist künftig auch das Lieferantenmanagement: Aus EU-Sicht stellen in einer Lieferkette verbundene Unternehmen ein besonders wahrscheinliches Angriffsziel dar. Betroffene Unternehmen sind nun auch für die Wirksamkeit der Sicherheitsmaßnahmen der Lieferanten verantwortlich. „Das bedeutet, ich muss Anforderungen an Dienstleister und Lieferanten festlegen und diese periodisch überprüfen. Das gilt für Lieferanten, die Zugriff auf Netz- und Informationssysteme haben. Und das betrifft nahezu alle, denn wenn ich jemandem eine E-Mail schicke, dann habe ich effektiv auch schon Zugriff auf dessen Netz- und Informationssystem“, sagt Mitter.
IT unter Kontrolle.
Kurz gesagt: Viele heimische Unternehmen haben dadurch massiven Handlungsbedarf. Sie benötigen einen Nachweis ihrer Cybersicherheit von externer Seite. Bestehende Lösungen am Markt beurteilt Mitter als zu aufwändig: „Es dauert meistens ein, zwei Jahre, bis ich zum Beispiel eine ISO-27000-Zertifizierung schaffe.“ Aus diesem Grund empfiehlt er das CyberRisk Rating des KSV1870. Kern dieses CyberRisk Ratings sind 25 Fragen bzw. Anforderungen, die das Unternehmen beantworten und erfüllen muss. „Die Quintessenz ist: Ich muss meine IT unter Kontrolle haben und risikobasiert alles, was nach dem Stand der Technik dafür erforderlich ist, auch umsetzen“, so der Experte.
Was sind die Anforderungen, die jedes Unternehmen erfüllen muss, um vor Cyberangriffen bestmöglich gefeit zu sein? Peter Neubauer ist Geschäftsführer der LANIT Service GmbH mit Sitz in Wien und Experte für Datenschutz und IT-Sicherheit. „Wenn ein Hacker von 100 Angriffen nur einen einzigen durchbringt, hat er schon gewonnen. Ein Unternehmen muss hingegen alle Angriffe abwehren. Daher ist es entscheidend, sich mit diesem Thema zu beschäftigen“, sagt Neubauer. Ein Standard-Package, das eine grundlegende IT-Sicherheit garantiert, besteht für ihn aus einer Firewall inklusive Update-Service, einer Datensicherung mit zwei Backups innerhalb und außerhalb des Unternehmens sowie einem erweiterten Virenschutz. „Die Kosten für einen Kleinunternehmer liegen bei 3.500 Euro und erhöhen sich mit der Größe und den Anforderungen des Unternehmens“, erklärt der IT-Experte.
Stillstand kostet Geld.
Ein relativ kleiner Betrag im Vergleich zu den Schäden, die eine Cyberattacke auslösen kann. „Die Kosten bei Sicherheitsvorfällen können enorm werden“, warnt Becker. Angefangen beim finanziellen Schaden durch das Zahlen von Lösegeld, reicht die Liste von den Kosten für die Betriebsunterbrechung, den Security-Kosten für die Datenwiederherstellung bis hin zu Haftungs- und Schadenersatzansprüchen wegen Weiterleitung von Schadsoftware oder Verletzung von Geheimhaltungspflichten. „Cybersicherheit erfordert natürlich Ressourcen, aber jedes Unternehmen sollte sich überlegen, was es kostet, wenn der Betrieb nach einer Cyberattacke zum Beispiel zwei Wochen oder länger stillsteht, und das den Investitionen für Cybersicherheits-Maßnahmen gegenüberstellen“, sagt Becker.
Sicherheitsrisiko Mensch.
Und es gibt noch eine weitere, sehr große Gefahr für die Cybersicherheit. „Der Mensch ist ein großes Sicherheitsrisiko und eine Schwachstelle, da man ihn täuschen kann. Daher ist es absolut nötig, seine Mitarbeiter laufend zu schulen“, rät Neubauer. Denn das Thema wird die Unternehmen in Zukunft noch intensiver beschäftigen als derzeit. „Je digitaler die Welt wird, desto einfach wird es auch, Personen und Unternehmen zu attackieren“, sagt Neubauer. Und Becker ergänzt: „Ein Unternehmen kann ich heute einfach nicht mehr führen, ohne Cybersicherheit in allen Prozessen, in der IT und OT und auch bei den Mitarbeiterinnen und Mitarbeitern mitzudenken.“
Hilfreiche Services des KSV1870 und der WKÖ |
|
Aus dem KSV1870 Magazin forum.ksv - Ausgabe 1/2024.
