Cyberangriffe können jedes Unternehmen treffen, egal ob Kleinbetriebe oder Riesenkonzerne. Cybersicherheit ist daher seit Jahren ein wichtiges Thema. Die Deutsche Handelskammer in Österreich (DHK) brachte es nun im Rahmen eines von Martin Szelgrad moderierten Business-Talks prominent auf die Agenda. Ort der Veranstaltung, die von Women4Cyber Austria unterstützt wurde, war das Almanac Palais Vienna.
Konkret sprachen am Dienstag Edith Huber, Seniorresearcher:in für Sicherheitsforschung und Cyberkriminologie an der Universität für Weiterbildung in Krems, Aron Molnar, Security-Tester und Gründer der Syslifters GmbH, Yuyun Yao, Leiter IT Betrieb & Infrastruktur bei der Flughafen Wien AG und Rechtsanwalt Michael Röhsner, der sich bei Eversheds Sutherland auf IT-Recht, Datenschutz und Cybersicherheit spezialisiert hat, über das Thema Cyberangriffe und -sicherheit und was die neue Cybersicherheits-Richtlinie der EU für Unternehmen bedeutet.
Vielschichtige Motive
Edith Huber räumte mit dem Vorurteil des Cyberkriminellen als IT-Nerd in Kapuzenpullover auf. "Die Täter:innen findet man weltweit in fast allen Gruppierungen, angefangen von Kindern bis zu Geschäftsleuten, viele haben auch gar keine IT-Ausbildung."
Häufig stünde hinter einer Ransomeware-Attacke eine ganze Lieferkette, in der sich nicht jede:r strafbar machen würde. Produzent:innen von Verschlüsselungssoftware, Verkäufer:innen und eben Anwender:innen. Laut der Expertin seien die Motive für Cyberkriminalität ebenfalls vielschichtig und vom jeweiligen Delikt abhängig. Dabei spielen z.B. finanzielle Reize ebenso eine wichtige Rolle wie politische Motive oder persönliche Rache, etwa von Mitarbeiter:innen.
Die Arbeit eines Security-Testers
Aron Molnar gewährte den Besucher:innen einen Einblick in seine Arbeit als Security-Tester. Sicherheitsüberprüfungen, sogenannte Penetration-Testings, könnten viele Folgeschäden verhindern. "Ein Ransomware-Angriff kostet viel, wenn das Unternehmen lahmgelegt ist, Umsatz entgeht oder Deals nicht abgeschlossen werden können. Deshalb sollte man, so wie man bei einem Hausbau einen Sachverständigen beauftragt, auch für IT-Infrastruktur und Software eine:n Experten:in zu Rate ziehen", so Molnar. Der Experte unterstrich aber, dass eine Sicherheitsüberprüfung immer nur für den Status quo gelte und das Unternehmen nicht von künftigen Maßnahmen für die IT-Sicherheit wie Updates oder starken Passwörtern befreit.
Unternehmen sollen ihre Mitarbeiter:innen schulen, betont Molnar. Eines jedoch sei klar, man könne diese aber nie zu Expert:innen machen. Jedenfalls seien sie nicht die "Last Line of Defense". "Die Schwachstelle ist oftmals der Mensch. Dass er einen Computer infiziert, ist nur eine Frage der Zeit. Wichtiger ist aber die Frage: Was passiert dann? Kann sich der Hacker im ganzen Firmennetzwerk ausbreiten, die höchsten Rechte erreichen und Schadsoftware ausrollen oder hindert ihn die Technik daran?"
Beispiel Flughafen Wien
Der Fachmann bei der Flughafen Wien AG, Yuyun Yao, berichte über die Attacken auf den Vienna International Airport. "Wir müssen zwei Aspekte beachten: die Aufrechterhaltung der IT-Systeme wie Check-in-Systeme, E-Gates oder Quickboarding-Gates und die Einhaltung von Compliance-Themen." Yao sprach über die Vielfalt an Motiven für Cyberangriffe auf den Flughafen. Sie würden von politischen über finanzielle Motive bis zu Unzufriedenheit bei Passagier:innen reichen. Typischerweise finden die Angriffe zu Randzeiten, etwa am Freitag oder an Wochenenden statt, "weil da weniger Personal da ist, um die Angriffe abzuwehren", so Yao.
Rechtliche Aspekte
Rechtsanwalt Michael Röhsner gab einen Überblick über die rechtlichen Aspekte von Cyberattacken. "Die meisten Betroffenen denken bei einem Cyberangriff sofort an Strafen aufgrund der DSGVO oder an potenzielle Schadenersatzforderungen von Kund:innen. Das Hauptproblem in vielen Fällen sind aber die indirekten Schäden, wenn Unternehmen etwa ihren Lieferverpflichtungen nicht mehr nachkommen können", sagt Röhsner. Er empfiehlt außerdem noch ein datenschutzrechtliches Löschkonzept – alles, was gelöscht ist, kann man nicht stehlen – und entsprechende Vertragsklauseln, etwa durch Einstufung eines Cybervorfalls als höhere Gewalt sowie den Abschluss einer Cybersecurity-Versicherung. "Haben oder nicht haben kann hier besonders bei kleineren Unternehmen über das Überleben entscheiden."
Der Rechtsexperte erklärte zudem die wichtigsten Auswirkungen der neuen Cybersicherheits-Richtlinie der EU, NIS 2: "Unternehmen müssen gewisse Cyberhygienemaßnahmen treffen, die über eine bloße Checkliste hinausgehen. Darüber hinaus wird Cybersicherheit zur Managementaufgabe, die man nicht mehr vollständig delegieren kann. Und es gibt extrem scharfe Meldepflichten." Er rät Betrieben zu prüfen, ob sie unter den Anwendungsbereich der Richtlinie fallen, und sich vorzubereiten.
Bis Oktober 2024 muss Österreich die Richtlinie in nationales Recht umsetzen.
LEADERSNET war beim DHK Business-Talk. Einen Eindruck können Sie sich hier machen.
www.oesterreich.ahk.de
www.women4cyber.at
Kommentar schreiben