.jpg)
Corona hinterlässt nicht nur gesundheitliche Spuren, es macht auch blinde Flecken in Sachen Cybersecurity sichtbar. Die Cyberangriffe sind massiv gestiegen, die Gründe sind vielfältig: unsicheres Home-Office, zu hohes Vertrauen in Lieferketten aber auch die zunehmende Professionalisierung der Cyber-Kriminellen.
Sämtliche Studien sind sich einig: die Wahrscheinlichkeit digital angegriffen zu werden, war noch nie so hoch wie in diesem Jahr. Die Cyberangriffe steigen, befeuert durch die zunehmende Digitalisierung einerseits und andererseits auf Grund der Tatsache, dass sich Cyberkriminalität zu einem regelrechten Geschäftsmodell entwickelt hat. Man könnte es fast schon als Pandemie der anderen Art bezeichnen, die während der Covid-19-Krise ausgebrochen ist. Betroffen sind neben IT-Dienstleistern aktuell sehr häufig auch physische Lieferketten und kritische Infrastruktur. Die Lösegeldforderungen steigen rasant, und auch die Kunden gehackter Unternehmen bleiben nicht verschont. Erschreckend: Ransomware-Tools werden mittlerweile wie kommerzielle Dienstleistungen verkauft, Service inklusive.
Cyberkriminelle müssen dazu auch nicht mehr sonderlich technisch versiert sein, um Chaos anrichten zu können. Eine Entwicklung, wie man sie auch schon bei Malware erlebt hat. Denn cyberkriminelle Gangs haben ihr Malware-as-a-Service-Modell weiter ausgebaut und bieten dabei richtige Schritt-für-Schritt-Anleitungen an, wie man auch durch die Kompromittierung der Angriffsziele Profit schlagen kann, sagen die Experten von Acronis, einem Anbieter von Cyber-Protection-Lösungen.
Auch der Cybercrime-Report des Bundeskriminalamt vom August dieses Jahres verzeichnet einen Anstieg von insgesamt 26,3 % an angezeigten Delikten im Vergleich zu 2019. „Es gibt nur mehr wenige Bereiche, auch in der traditionellen Kriminalität, in denen Digitalisierung und IT keine Rolle mehr spielen“, so Franz Ruf, Generaldirektor für die öffentliche Sicherheit. „Cybercrime ist in den letzten zehn Jahren von einer kriminalistischen Randerscheinung zu einem Hauptproblem geworden. Deshalb ist Cybercrime auch eine Priorität in der Sicherheitsstrategie des Innenministeriums.“
Jeden Tag ein Cyberangriff.
Basierend auf den Ergebnissen einer unabhängigen Umfrage unter 3.600 IT-Managern und Remote-Mitarbeitern von kleineren und mittleren Unternehmen (in 18 Ländern auf der ganzen Welt) geht im Cyber Readiness Report von Acronis hervor, dass 53 % der globalen Unternehmen ein falsches Gefühl von Sicherheit haben, wenn es um Lieferkettenangriffe geht. Trotz der weltweit bekannten Angriffe auf vertrauenswürdige Software-Anbieter (wie Kaseya oder SolarWinds) glauben dennoch über die Hälfte der IT-Führungskräfte, dass die Verwendung einer „bekannten und vertrauenswürdigen Software“ ein ausreichender Schutz wäre – was diese Unternehmen zu einem leichten Ziel macht.
Drei von zehn Unternehmen berichten, dass sie mindestens einmal pro Tag mit einem Cyberangriff konfrontiert werden, ähnlich wie im letzten Jahr. Allerdings geben diesmal nur noch 20 % der Unternehmen an, gar nicht angegriffen worden zu sein, was gegenüber 2020 (mit damals 32 %) ein deutlicher Abfall ist. Das Ausmaß der Angriffe nimmt also zu. Die häufigsten Angriffsarten erreichten in diesem Jahr ein Rekordniveau, was insbesondere Phishing-Angriffe betrifft, die noch häufiger vorkommen und nun mit 58 % die häufigste Angriffsart darstellen. Auch Malware-Angriffe haben 2021 weiter zugenommen: in diesem Jahr wurden sie von 36,5 % der Unternehmen entdeckt (im Gegensatz zu 22,2 % in 2020).
„Die Cybercrime-Branche hat sich in diesem Jahr als gut geölte Maschine erwiesen, die auf bewährte Angriffstechniken wie Phishing-, Malware- oder DDoS-Angriffe zurückgreift. Die Bedrohungsakteure weiten ihre Ziele immer stärker aus, während die Unternehmen durch die wachsende Komplexität der IT-Infrastruktur behindert werden“, sagt Candid Wuest, Vice President des Bereichs Cyber Protection Research bei Acronis. „Nur wenige Unternehmen haben sich die Zeit genommen, um ihr IT-Arsenal mit einer integrierten Data Protection- und Cybersecurity-Lösung zu modernisieren. Die Bedrohungslandschaft wird weiter wachsen – und Automatisierung ist der einzige Weg zu mehr Sicherheit, geringeren Kosten, höherer Effizienz und weniger Risiken.“
Blinder Fleck.
IT-Sicherheit steht in Österreich eine häufig vorherrschende Unwissenheit über die entscheidenden Schutzmaßnahmen sowie die größten Cyberrisiken gegenüber. Allen voran mögliche Bedrohungen durch Dritte, die zu häufig durch die Komplexität und Vernetzung von Partner- und Lieferantenbeziehungen verdeckt werden. Das zeigen die für Österreich geltenden Ergebnisse der „Global Digital Trust Insights Survey 2022“ von PricewaterhouseCoopers kurz PwC, im Zuge derer weltweit mehr als 3.600 CEOs und Führungskräfte qualitativ befragt wurden. „Die Entwicklungen in den letzten Jahren haben die Bedeutung der IT-Sicherheit ins Rampenlicht gerückt. Doch man kann nicht schützen, was man nicht kennt. So haben viele österreichische Unternehmen enorme Schwierigkeiten dabei, ihre Risiken durch Dritte – wie Lieferanten – im eigenen Umfeld zu erkennen. Gerade die Vorfälle der jüngeren Vergangenheit haben gezeigt, dass potenzielle Angreifer immer das schwächste Glied in der (Liefer-)Kette auswählen, um das Unternehmen lahm zu legen. Bei einer fehlenden Einbindung von Dienstleistern in die eigene Risikobetrachtung werden diese Risiken zumeist falsch oder gar nicht bewertet”, erklärt Georg Beham, Cybersecurity & Privacy Leader bei PwC Österreich. So gaben nur 35 % der befragten heimischen Unternehmen an, dass sie das Risiko von Datenschutzverletzungen durch Dritte systematisch erheben und über ein gutes Verständnis der vorhandenen Risiken verfügen. Bei Technologieanbietern oder IoT-Spezialisten haben lediglich 17 % ein angemessenes Verständnis für diese Risiken. Ein großer blinder Fleck, den Cyberkriminelle sehr wohl kennen und ausnutzen. Entgegen dem weltweiten Trend wird in Österreich immer noch zu sehr auf Lieferanten vertraut, ohne sich ein unabhängiges Bild zu machen. Die Durchführung von umfassenden Due-Diligence-Prüfungen im Rahmen von Dienstleister-Beauftragungen wird von mehr als 80 % der Befragten als nicht erforderlich betrachtet. „Ich fürchte, dass wir besonders bei österreichischen KMUs Aufholbedarf haben und in der Vergangenheit wenig gemacht bzw. zu viel gespart wurde. Wir sind keine Insel der Seligen, sondern Teil des globalen Cyberspace. Daher rate ich allen Unternehmen – auf gut österreichisch – nicht jammern, sondern anpacken“, meint Jimmy Heschl, Head of Digital Security bei Red Bull als einer der Befragten der Studie im Interview.
Die Tücken des Homeoffice.
Teleworking, Remote-Working oder Homeoffice – die Bezeichnungen sind unterschiedlich, das Problem identisch. Auch künftig werden Mitarbeiter von zu Hause aus arbeiten, Meetings oder Einstellungsgespräche aus der Ferne geführt werden. IT-Teams müssen Lösungen für den Mangel an Hardware, die wachsende Komplexität, den erhöhten Bedarf an IT-Support und bessere Cybersecurity-Lösungen finden. Der Acronis Cyber Readiness Report hält auch die drei größten technischen Herausforderungen fest, die weltweit von Remote-Mitarbeitern genannt werden: WLAN-Konnektivität, Verwendung von VPNs und anderen Sicherheitsmaßnahmen sowie fehlender IT-Support. Einer von vier Remote-Mitarbeitern verwendet keine Multi-Faktor-Authentifizierung und wird so zu einem leichten Phishing-Ziel (die häufigste Angriffsart 2021). Im Durchschnitt ist jeder fünfte Remote-Mitarbeiter stark von Phishing-Angriffen betroffen und erhält monatlich weit über 20 Phishing-E-Mails. Wobei 71 % der Befragten bestätigten, dass dies Monat für Monat der Fall ist. Solche Angriffe mithilfe von Cybersecurity-Schulungen besser zu erkennen, ist von entscheidender Bedeutung, um nicht nur Unternehmen, sondern auch private Vermögenswerte schützen zu können.
Zu viel Zeit – zu wenig Information.
Die Studie von PwC lässt zusätzlich eine falsch wahrgenommene Sicherheit auf Vorstandsebene erkennen. Während in Österreich 50 % der befragten CEOs ihrerseits eine frühzeitige und aktive Einbindung bei der strategischen Festlegung und Erreichung von Cyberzielen sehen, teilen lediglich zehn Prozent ihrer führenden Mitarbeitern diese Einschätzung und erkennen die Einbindung der CEOs primär bei der Behandlung von konkreten Cybervorfällen (46 %). „Eine rein passive Information an den CEO bei strategischen Cybersecurity-Entscheidungen vermittelt ein falsches Gefühl von Sicherheit. Dabei kann ein proaktives Engagement auf Vorstandsebene den entscheidenden Unterschied ausmachen. Wie unsere Studie zeigt, erzielten Unternehmen mit sehr engagierten CEOs, die ihre Führungskräfte in hohem Maße unterstützen, in den letzten zwei Jahren erhebliche Fortschritte bei ihren Cybersecurity-Programmen“, so Experte Georg Beham. Als weiteres Problem erkennt Beham, dass wesentliche Elemente zur Umsetzung einer datenbasierten Entscheidungsgrundlage in Österreich meist unzureichend vorhanden sind. Cyberkriminelle seien bereits seit Monaten in das Unternehmens-Netzwerk eingedrungen und hätten ausreichend Zeit sich überall auszubreiten. „Das wäre fast so, als wenn man in einem Einfamilienhaus eine Alarmanlage montiert, aber vergisst diese einzuschalten. Hier lohnt es sich für heimische Unternehmen einen Blick auf die weltweiten Vorreiter zu werfen, denn Datenanalyse ist auch in der Verteidigung des eigenen Unternehmens eine entscheidende Macht“, empfiehlt Georg Beham.
Präventivarbeit immens wichtig.
Europa befindet sich mitten im digitalen Wandel: die Europäische Kommission hat „Europas digitale Dekade“ ausgerufen und will mit klaren Vorgaben einen entschlossenen Kurs auf ein digital gestärktes Europa bis 2030 setzen. Doch die zunehmende Digitalisierung birgt Gefahren, die sich massiv auf die analoge Welt auswirken können: Seien es zuletzt Hacker-Angriffe im Mai 2021 auf die größte Pipeline der USA und die irische Gesundheitsbehörde oder ein Vorfall in einem kroatischen Umspannwerk Anfang des Jahres, der Europa an den Rand eines Strom-Blackouts führte. „Die Angriffe nehmen zu. Sei es durch einzelne Hacker, die organisierte Kriminalität oder durch Staaten. Aber nicht nur quantitativ wird der Druck stärker, auch die Qualität der Cyberangriffe ist massiv gestiegen. Es vergehen oft Wochen und Monate zwischen Infiltration und dem eigentlichen Hack. Die Diebe sind aber nicht völlig unsichtbar und wir können sie mit unseren Methoden entdecken, wenn davor Präventivarbeit geleistet wurde“, berichtet Ali Carl Gülerman, CEO von Radar Cyber Security im Rahmen einer virtuellen Informationsveranstaltung Anfang Juni zusammen mit Beststeller-Autor Marc Elsberg. Es gäbe derzeit einen rasant wachsenden Markt für Cyberkriminalität und die Experten von Radar Cyber Security erkennen bei Cyberangriffen mittlerweile Businessmodelle mit ausgeklügelter Arbeitsteilung. Man bestellt im Darknet einen Angriff auf das gewünschte Ziel, das dann erpresst wird. Den Gewinn teilt man sich mit den Hackern. Je bedeutsamer eine Branche für die Gesellschaft ist, desto drastischer die Auswirkungen. Bei erfolgreichen Cyberangriffen auf Krankenhäuser kann es etwa sein, dass lebensrettende Operationen nicht stattfinden können. Software alleine kann das Problem nicht lösen: „Wir müssen uns auf eine Steigerung der Resilienz in der kritischen Infrastruktur konzentrieren und auf regelmäßige Cybersecurity-Übungen mit Szenario-Trainings setzen. Leider können wir einmal erfolgte Hacks nicht mehr rückgängig machen – deshalb ist die Präventivarbeit so wichtig. Und das Thema ist kein Spleen von IT-Verrückten. Denn neben den Lieferketten oder Cash-Systemen von Unternehmen und Organisationen kann es in gewissen Branchen wie dem Lebensmittel-Einzelhandel bis hin zur massiven Verunsicherung der Bevölkerung durch Lieferengpässe gehen. Und damit kann man Politik machen. Mit Cybersecurity schützen wir deshalb auch unsere europäischen Werte“, so Ali Gülerman. Dieses erschreckende Szenario hat Marc Elsberg bereits 2021 in seinem Roman „Blackout“ verpackt. Zwar fiktiv, aber dennoch dank fundierter Recherche sehr nah dran an einer möglichen Realität. „Die IT-Infrastruktur ist mittlerweile zum sensiblen Nervensystem unserer gesamten Gesellschaft geworden. Unzählige Systeme hängen voneinander ab und sind miteinander verbunden. Bereits eine kleine Störung in einem Teilbereich kann massive Auswirkungen auf die Funktionsfähigkeit und Belastbarkeit des Gesamtsystems bewirken. Wir haben seit dem Erscheinen meines Buches vor zehn Jahren noch immer nicht gelernt, vernünftig mit dieser Tatsache umzugehen und strapazierfähige Fall-Back-Systeme zu entwickeln. Es ist wohl wie in der Liebe: Man weiß erst, was man hatte, wenn man es verloren hat“, so Marc Elsberg.
