Digitale Festung

^{Text: Susanne Mayer}

Es ist nicht die Frage, ob man gehackt wird, sondern nur mehr, wann man an der Reihe ist. Viele große Unternehmen waren bereits davon betroffen, nun ist der Mittelstand im Fokus der Cyberkriminellen“, sagt Norbert Jagerhofer, Cybersecurity-Experte der RVM Versicherungsmakler GmbH. Die Szenarien sind vielfältig: Von der Verschlüsselung der IT in Verbindung mit einer Lösegeldforderung bis zu einer „Man in the middle“-Attacke, bei der das Unternehmen monatelang ausspioniert wird. In einem günstigen Augenblick schlägt dann der Hacker zu und leitet etwa Zahlungs- oder Warenströme um. „Dafür empfehlen wir nicht nur eine Cyberversicherung, sondern ebenso eine Vertrauensschadenversicherung, weil nicht alle Cyberversicherungsprodukte die Umleitung von Zahlungsströmen oder das Abhandenkommen von Waren oder Geld decken. Hacker können auch Dokumente abziehen und jemanden damit erpressen“, so Jagerhofer. In derartigen Fällen bestünde dann ein Datenschutzproblem, man müsse einen spezialisierten Anwalt beauftragen und möglicherweise die Datenschutzbehörde einschalten und seine betroffenen Kunden verständigen – dies alles binnen 72 Stunden ab dem Zeitpunkt, an dem man es bemerkt.

Auch ein Stromausfall aufgrund eines Hacks kann ein Unternehmen lähmen, zentrale Daten verschwinden mit einem Klick – solche Szenarien hängen unmittelbar mit der voranschreitenden Technologieabhängigkeit zusammen. „Ein Stromausfall bedeutet häufig auch den Ausfall des Internets. Für Banken würde das bedeuten, dass der Wertpapier- und Derivatenhandel an internationalen Börsenplätzen nicht mehr möglich ist. Das könnte in weiterer Folge auch zu Liquiditätsproblemen führen“, erklärt Arthur Greiderer, Geschäftsführer der Raitec IT Services.

Seine Experten ermöglichen täglich die Bankgeschäfte von mehr als 1,5 Millionen Menschen in Österreich. 16 Milliarden Onlinetransaktionen laufen jährlich über ihre Rechensysteme und sowohl der Betrieb von Bankomaten, das Funktionieren der Arbeitsplätze der Bankangestellten sowie das Bezahlen an der Supermarktkasse wird von Raitec gewährleistet. Mit leistungsstarken Intrusion-Detection-Systemen beugt man Hackerangriffen vor, die versuchen, Services mittels Überlastung der Systeme außer Gefecht zu setzen. Aufwendige Verschlüsselungen und Zutrittssysteme machen Bankgeschäfte sicherer und auch der Einsatz von Künstlicher Intelligenz für sichere Kundenanwendungen wird geprüft. Denn: „Die Kreativität der Cyberkriminellen beflügelt auch die IT-Securityabteilungen“, sagt Greiderer.

Kreative Kriminelle

Martin Haunschmid ist den Kriminellen auf der Spur. Der IT-Securityexperte nimmt Cyberangriffe unter die Lupe und weiß: „Hackern ist man immer hinterher. Die neuesten Tools, die innovativsten Systeme – die haben nicht die Unternehmen, sondern Hacker.“ Banken sieht Haunschmid generell gut abgesichert, da diese schon seit Jahren mit den Gefahren aus dem Netz konfrontiert sind. Deshalb zielen Betrüger heute mittels Social Engineering stärker auf Kunden und Mitarbeiter ab. KI-generierte Deep Fakes werden immer mehr zum Problem. Dass Anfang des Jahres ein Unternehmen aus Hongkong um 23 Millionen Euro geprellt wurde, weil ein Angestellter in einer Videokonferenz einem gefakten CEO auf den Leim ging, ist nur die Spitze des Eisbergs. Denn heute reichen bereits wenige Minuten an Audiomaterial, um Stimmen perfekt nachzuahmen und gezielte Angriffe übers Telefon zu starten. Und seit Kurzem ermöglicht auch ChatGPT das Erstellen täuschend echter Videos mit einfachen Prompts.

Mehr Sicherheitslücken ortet Haunschmid weiterhin bei Klein- und Mittelbetrieben sowie dem öffentlichen Sektor. Der Securityexperte rät vor allem Unternehmen mit wenig Expertise unbedingt zum Hinzuziehen von Beratern: „Es fehlt ganz einfach am Bewusstsein, dass bei schlampig gesetzten Sicherheitsmaßnahmen nicht nur das eigene Unternehmen betroffen ist, sondern potenziell alle Partnerbetriebe und Lieferanten.“ 2021 etwa wurden 34 Betriebe auf einen Schlag Opfer von Cyberangriffen. Sie alle waren die Geschäftspartner eines Linzer Unternehmens, das gehackt worden war. Anfänger sollten deshalb mit versierten Beratern ein Gefahrenmodell erstellen, um einzugrenzen, woher Angriffe kommen könnten. Fortgeschrittene greifen zum Penetration Testing (Pen Testing), bei dem mit gezielten Angriffen die IT-Security von Unternehmen getestet wird, um Sicherheitslücken zu finden.

Guter Schutz ist teuer

Um den Schutz der eigenen Infrastruktur zu gewährleisten, müssen Unternehmen mitunter tief in die Tasche greifen. Deswegen lagern immer mehr Firmen ihre IT-Systeme auf Cloudanbieter aus: „Um Daten und Dokumente lokal in eigenen Räumen aufzubewahren, stehen wir schnell bei sechsstelligen Beträgen“, erklärt Peter Berner, CEO der Count IT, die sowohl Steuerberatung und Payroll-Services als auch Softwarelösungen und Cloudsysteme anbieten. „Und da reden wir nur von den physischen Räumlichkeiten. Personalkosten für die Wartung und Überwachung sowie Software und Firewall sind da noch nicht miteingerechnet.“

Der Trend zum Outsourcing macht also vor allem für kleine Firmen Sinn. Denn die Betreiber großer Rechenzentren, sogenannte Hyperscaler, arbeiten nicht nur mit hochgerüsteter, redundanter Datenhaltung, die die Daten durch virtuelle Spiegelung im Falle eines Hackerangriffs oder Verlusts schnell wiederherstellen kann – auch professionelles Personal steht diesen Anbietern für die Überwachung der Systeme zur Verfügung. Auffälligkeiten werden schnell erkannt, egal ob Hardware kaputtgeht oder Storages volllaufen: „Im Idealfall merken wir das vor unseren Kunden“, sagt Berner.

Um für den Ernstfall auch versichert werden zu können, braucht es jedenfalls ein eigenes Risk-Management, weiß Norbert Jagerhofer: „Ein Unternehmen ist nicht versicherbar, wenn es bei der eigenen IT-Sicherheit schlampig ist. Die IT-Sicherheit und die Versicherung gehen Hand in Hand. Die Versicherung kann nur das Restrisiko abdecken, aber nicht ein ungesichertes IT-System.“ Die Spezialisten beim RVM-Versicherungsmakler analysieren genau den Bedarf und erarbeiten mit den Kunden eine optimale und maßgeschneiderte Versicherungslösung.

Datensicherheit und Datenschutz

Datensicherheit braucht sichere IT sowie verschließbare Akten- und Serverschränke. Sogar Löschsysteme und das ordnungsgemäße Verlegen von Kabeln zählen zur Datensicherheit. Aber auch Datenschutz will wohlüberlegt implementiert werden. Datenschutzverletzungen passieren oft aus Versehen, in der IT dürfe das Fehlen notwendiger Kenntnisse aber keine Ausrede mehr sein, den Datenschutz zu vernachlässigen, sagt Maximilian Modl, CEO von Brevo Deutschland, auf dessen CRM(Customer Relationship Management)-Suites Riesen wie H&M, Louis Vuitton und eBay bei Marketingkampagnen über E-Mail, SMS oder WhatsApp setzen. Führungskräfte sollten sorgfältig darüber nachdenken, welche Daten ihnen überhaupt nützliche Informationen liefern, sagt Modl: „Pro forma möglichst viele Daten sammeln, ist der falsche Weg. Daten, die gar nicht erst gespeichert wurden, können auch nicht kompromittiert werden.“ Modl verweist auch auf Datenschutz in Verbindung mit Software. So sollte etwa eine CRM-Suite über eine integrierte DSGVO-Compliance verfügen. Dies kann unter anderem über eine ISO-27001:2013-Zertifizierung, eine der anerkanntesten internationalen Standards für Informationssicherheit, ausgewiesen werden. „Eine solche Zertifizierung vermittelt den Kunden ein hohes Maß an Sicherheit beim Umgang mit den persönlichen Daten, was wiederum ein gutes Investment für Unternehmen darstellt“, sagt Modl.

Manche Datenschutzverletzungen passieren aus Versehen. Was Florian Polster, Jurist und Datenschutzbeauftragter des Verbraucherschutzvereins (VSV) viel mehr ärgert, ist die schlampige Anwendung der DSGVO im Netz: „Die meisten Cookie-Banner sind ja bis heute rechtswidrig.“ Deren Sinn ist einfacher und transparenter Datenschutz. Das gelingt am besten über „Privacy by default“- Einstellungen (die Einwilligung zu Cookie-Einstellungen ist automatisch auf „nur notwendige“ gesetzt) oder über „Privacy by design“ (Buttons für die Zustimmung dürfen nicht schwerer zu finden oder zu klicken sein als jene für die Ablehnung der zusätzlichen Cookies). Immer noch werden Hürden für das Opt-out eingebaut, um so viele Daten wie möglich zu erhalten, sagt Polsterer.
 

Gesunder Verstand

Auch wer einen Datenschutzbeauftragten braucht, ist vielen Unternehmen Jahre nach Inkrafttreten der DSGVO noch nicht klar. Der VSV bräuchte keinen, obwohl er viele personenbezogene Daten verarbeitet, so Polsterer, da diese Datenverarbeitung nicht zur Kerntätigkeit des Vereins zählt. Ebenso wenig braucht eine einzelne Hausärztin einen Datenschutzbeauftragten, da der Tatbestand der „umfangreichen Verarbeitung von sensiblen Daten“ nicht erfüllt ist, wohingegen sich ein Krankenhaus nicht aus der Affäre ziehen kann. Dort sei die systematische Verwaltung von Gesundheitsdaten Teil der Kerntätigkeit, ohne gehe es heute nicht mehr, sagt Polsterer. Um die Datensicherheit in einem Unternehmen zu verbessern, rät der Verbraucherschützer, sich einerseits nicht von den vielen Unklarheiten der DSGVO abschrecken zu lassen und andererseits nicht unhinterfragt die Dienste der großen Datenkraken (Google, Microsoft, Amazon etc.) zu nutzen, sondern nach bestem Wissen und Gewissen mit personenbezogenen Daten umzugehen: „Da reicht oft schon der gesunde Menschenverstand.“