DHK-Veranstaltung zu Cyberangriffen : Den Hackern auf der Spur

2022 wurde ein neuer Spitzenwert bei den Anzeigen wegen Cybercrime in Österreich erfasst: 60.195 Delikte wurden angezeigt – eine Zunahme von 30,4 %. Rund 46 % entfallen dabei auf Internetbetrugsdelikte. Diese Zahlen listet der Cybercrime-Bericht des heimischen Bundesministeriums für Inneres auf.
Ein Cyberangriff kann jedes Unternehmen treffen. Cybersicherheit ist daher seit Jahren ein wichtiges Thema.
Beim Business-Talk der Deutschen Handelskammer in Österreich (DHK) am 19. September 2023 in Wien beleuchteten Experten (m/w), welche technischen, kriminalpsychologischen und rechtlichen Aspekte hinter einem Hackerangriff stecken und was die neue Cybersicherheits-Richtlinie der EU für Unternehmen bedeutet (Anm.: Die DHK organisiert im Oktober 2023 eine weitere, interessante Veranstaltung in Wien – Details am Schluss).

Edith Huber, Seniorresearcher für Sicherheitsforschung und Cyberkriminologie an der Universität für Weiterbildung in Krems, räumte mit dem Vorurteil des Cyberkriminellen als IT-Nerd in Kapuzenpullover auf. „Die Täter findet man weltweit in fast allen Gruppierungen, angefangen von Kindern bis zu Geschäftsleuten, viele haben auch gar keine IT-Ausbildung.“ Oft stünde hinter einer Ransomeware-Attacke eine ganze Lieferkette, in der sich nicht jeder strafbar machen würde: Produzenten von Verschlüsselungssoftware, Verkäufer (m/w/d) und eben und Anwender (m/w/d).
Die Motive für Cyberkriminalität sind laut Huber ebenfalls vielschichtig und vom jeweiligen Delikt abhängig. Finanzielle Reize seien ebenso ein Grund wie politische Motive oder persönliche Rache, etwa von Mitarbeitern (m/w/d).

Aron Molnar, Security-Tester und Gründer der Syslifters GmbH, gab einen Einblick in seine Arbeit. Sicherheitsüberprüfungen, sogenannte Penetration-Testings, könnten viele Folgeschäden verhindern. „Ein Ransomware-Angriff kostet viel, wenn das Unternehmen lahmgelegt ist, Umsatz entgeht oder Deals nicht abgeschlossen werden können. Deshalb sollte man, so wie man bei einem Hausbau einen Sachverständigen beauftragt, auch für IT-Infrastruktur und Software einen Experten zu Rate ziehen“, so Molnar. Der IT-Experte betonte aber, dass eine Sicherheitsüberprüfung immer nur für den Status quo gelte und das Unternehmen nicht von künftigen Maßnahmen für die IT-Sicherheit wie Updates oder starken Passwörtern befreit.
Laut Molnar sollen Unternehmen ihre Mitarbeiter (m/w/d) schulen, man könne diese aber nie zu Experten machen. Jedenfalls seien sie nicht die „Last Line of Defense“. „Die Schwachstelle ist oftmals der Mensch. Dass er einen Computer infiziert, ist nur eine Frage der Zeit. Wichtiger ist aber die Frage: Was passiert dann? Kann sich der Hacker im ganzen Firmennetzwerk ausbreiten, die höchsten Rechte erreichen und Schadsoftware ausrollen oder hindert ihn die Technik daran?“

Yuyun Yao, Leiter IT Betrieb & Infrastruktur bei der Flughafen Wien AG, berichtete über die Cybersicherheit am Wiener Flughafen. „Wir müssen zwei Aspekte beachten: die Aufrechterhaltung der IT-Systeme wie Check-in-Systeme, E-Gates oder Quickboarding-Gates und die Einhaltung von Compliance-Themen.“ Überraschend war die Vielfalt an Motiven für Cyberangriffe auf den Flughafen, die Yao anführte. Sie reicht von politischen über finanzielle Motive bis zu Unzufriedenheit bei Passagieren (m/w/d). Typischerweise finden die Angriffe zu Randzeiten, etwa am Freitag oder an Wochenenden statt, „weil da weniger Personal da ist, um die Angriffe abzuwehren“, vermutet Yao.

Einen Überblick zu den rechtlichen Aspekten von Cyberangriffen lieferte Rechtsanwalt Michael Röhsner, der sich bei Eversheds Sutherland auf IT-Recht, Datenschutz und Cybersicherheit spezialisiert hat. „Die meisten Betroffenen denken bei einem Cyberangriff sofort an Strafen aufgrund der DSGVO oder an potenzielle Schadenersatzforderungen von Kunden. Das Hauptproblem in vielen Fällen sind aber die indirekten Schäden, wenn Unternehmen etwa ihren Lieferverpflichtungen nicht mehr nachkommen können", weiß Röhsner.
Um sich rechtlich bestmöglich vor Cyberattacken zu schützen, empfiehlt er ein datenschutzrechtliches Löschkonzept – alles, was gelöscht ist, kann man nicht stehlen – und entsprechende Vertragsklauseln, etwa durch Einstufung eines Cybervorfalls als höhere Gewalt sowie den Abschluss einer Cybersecurity-Versicherung. „Haben oder nicht haben kann hier besonders bei kleineren Unternehmen über das Überleben entscheiden."
Röhsner erklärte auch die wichtigsten Auswirkungen der neuen Cybersicherheits-Richtlinie der EU, NIS 2: „Unternehmen müssen gewisse Cyberhygienemaßnahmen treffen, die über eine bloße Checkliste hinausgehen. Darüber hinaus wird Cybersicherheit zur Managementaufgabe, die man nicht mehr vollständig delegieren kann. Und es gibt extrem scharfe Meldepflichten."
Der Rechtsexperte rät Betrieben zu prüfen, ob sie unter den Anwendungsbereich der Richtlinie fallen, und sich vorzubereiten. Bis Oktober 2024 muss Österreich die Richtlinie in nationales Recht umsetzen.
Moderiert wurde der DHK Business-Talk von Martin Szelgrad. Das Event im Almanac Palais Vienna wurde von Women4Cyber Austria unterstützt (eine Initiative die darauf abzielt, Frauen für die Cybersicherheitsbranche zu begeistern und zu vernetzen).

Die Deutsche Handelskammer in Österreich (DHK) organisiert am 11. Oktober 2023 in Wien eine weitere interessante Veranstaltung: „Mission Zukunft – Transformation der Wirtschafts- und Energiesysteme“. Der Kick-off-Event ist der Auftakt zum Deutsch-Österreichischen Technologieforum 2024.
Am 11. Oktober 2023 wird Dr.ⁱⁿ Sabine Klauke, Technikvorständin der Airbus SE, im Marx Palast in Wien eine Keynote halten. Im Anschluss folgt eine Podiumsdiskussion mit weiteren namhaften Industrieunternehmen aus Österreich und Deutschland und dem österreichischen Bundesminister Martin Kocher – Details zur Veranstaltung finden Sie hier.