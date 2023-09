Dem Hacker einen Schritt voraus

Beim DHK Business-Talk beleuchteten Expertinnen und Experten Motive, technische und rechtliche Risiken bei Cyberangriffen.

Wien (OTS) - Ein Cyberangriff kann jedes Unternehmen treffen, egal welche Größe. Cybersicherheit ist daher seit Jahren ein wichtiges Thema. Beim Business-Talk der Deutschen Handelskammer in Österreich (DHK) am 19. September 2023 in Wien beleuchteten Expertinnen und Experten, welche technischen, kriminalpsychologischen und rechtlichen Aspekte hinter einem Hackerangriff stecken und was die neue Cybersicherheits-Richtlinie der EU für Unternehmen bedeutet.

Edith Huber, Seniorresearcher für Sicherheitsforschung und Cyberkriminologie an der Universität für Weiterbildung in Krems, räumte mit dem Vorurteil des Cyberkriminellen als IT-Nerd in Kapuzenpullover auf. „Die Täter findet man weltweit in fast allen Gruppierungen, angefangen von Kindern bis zu Geschäftsleuten, viele haben auch gar keine IT-Ausbildung.“ Oft stünde hinter einer Ransomeware-Attacke eine ganze Lieferkette, in der sich nicht jeder strafbar machen würde: Produzentinnen und Produzenten von Verschlüsselungssoftware, Verkäuferinnen und Verkäufer und eben Anwenderinnen und Anwender.

Die Motive für Cyberkriminalität sind laut Huber ebenfalls vielschichtig und vom jeweiligen Delikt abhängig. Finanzielle Reize seien ebenso ein Grund wie politische Motive oder persönliche Rache, etwa von Mitarbeiterinnen und Mitarbeitern.

Aron Molnar, Security-Tester und Gründer der Syslifters GmbH, gab einen Einblick in seine Arbeit. Sicherheitsüberprüfungen, sogenannte Penetration-Testings, könnten viele Folgeschäden verhindern. „Ein Ransomware-Angriff kostet viel, wenn das Unternehmen lahmgelegt ist, Umsatz entgeht oder Deals nicht abgeschlossen werden können. Deshalb sollte man, so wie man bei einem Hausbau einen Sachverständigen beauftragt, auch für IT-Infrastruktur und Software einen Experten zu Rate ziehen“, so Molnar. Der IT-Experte betonte aber, dass eine Sicherheitsüberprüfung immer nur für den Status quo gelte und das Unternehmen nicht von künftigen Maßnahmen für die IT-Sicherheit wie Updates oder starken Passwörtern befreit.

Laut Molnar sollen Unternehmen ihre Mitarbeiterinnen und Mitarbeiter schulen, man könne diese aber nie zu Expertinnen und Experten machen. Jedenfalls seien sie nicht die „Last Line of Defense“. „Die Schwachstelle ist oftmals der Mensch. Dass er einen Computer infiziert, ist nur eine Frage der Zeit. Wichtiger ist aber die Frage: Was passiert dann? Kann sich der Hacker im ganzen Firmennetzwerk ausbreiten, die höchsten Rechte erreichen und Schadsoftware ausrollen oder hindert ihn die Technik daran?“

Yuyun Yao, Leiter IT Betrieb & Infrastruktur bei der Flughafen Wien AG, berichtete über die Cybersicherheit am Wiener Flughafen. „Wir müssen zwei Aspekte beachten: die Aufrechterhaltung der IT-Systeme wie Check-in-Systeme, E-Gates oder Quickboarding-Gates und die Einhaltung von Compliance-Themen.“ Überraschend war die Vielfalt an Motiven für Cyberangriffe auf den Flughafen, die Yao anführte. Sie reicht von politischen über finanzielle Motive bis zu Unzufriedenheit bei Passagierinnen und Passagieren. Typischerweise finden die Angriffe zu Randzeiten, etwa am Freitag oder an Wochenenden statt, „weil da weniger Personal da ist, um die Angriffe abzuwehren“, vermutet Yao.

Einen Überblick über die rechtlichen Aspekte von Cyberangriffen lieferte Rechtsanwalt Michael Röhsner, der sich bei Eversheds Sutherland auf IT-Recht, Datenschutz und Cybersicherheit spezialisiert hat. „Die meisten Betroffenen denken bei einem Cyberangriff sofort an Strafen aufgrund der DSGVO oder an potenzielle Schadenersatzforderungen von Kunden. Das Hauptproblem in vielen Fällen sind aber die indirekten Schäden, wenn Unternehmen etwa ihren Lieferverpflichtungen nicht mehr nachkommen können", weiß Röhsner.

Um sich rechtlich bestmöglich vor Cyberattacken zu schützen, empfiehlt er ein datenschutzrechtliches Löschkonzept – alles, was gelöscht ist, kann man nicht stehlen – und entsprechende Vertragsklauseln, etwa durch Einstufung eines Cybervorfalls als höhere Gewalt sowie den Abschluss einer Cybersecurity-Versicherung. „Haben oder nicht haben kann hier besonders bei kleineren Unternehmen über das Überleben entscheiden."

Röhsner erklärte auch die wichtigsten Auswirkungen der neuen Cybersicherheits-Richtlinie der EU, NIS 2: „Unternehmen müssen gewisse Cyberhygienemaßnahmen treffen, die über eine bloße Checkliste hinausgehen. Darüber hinaus wird Cybersicherheit zur Managementaufgabe, die man nicht mehr vollständig delegieren kann. Und es gibt extrem scharfe Meldepflichten." Der Rechtsexperte rät Betrieben zu prüfen, ob sie unter den Anwendungsbereich der Richtlinie fallen, und sich vorzubereiten. Bis Oktober 2024 muss Österreich die Richtlinie in nationales Recht umsetzen.

Moderiert wurde der DHK Business-Talk von Martin Szelgrad. Das Event im Almanac Palais Vienna wurde von Women4Cyber Austria unterstützt. Die Initiative zielt darauf ab, Frauen für die Cybersicherheitsbranche zu begeistern und zu vernetzen.

