Ende April traf ein Angriff die Technische Universität Berlin. Die Hochschule meldete selbst, dass sie „auf Systemen der Windows-Umgebung […] massive Angriffe“ verzeichnet. Um den Schaden zu begrenzen, schaltete sie mehrere Bereiche ab, darunter den Exchange-Service für E-Mails.
Das Ziel der Attacke auf die TU Berlin blieb zunächst unklar. Ganz anders beim US-Pipelinebetreiber Colonial oder drei Salzburger Firmen, die seit Jänner Opfer von Cyberattacken wurden, darunter der börsenotierte Kranhersteller Palfinger. Deren Systeme hatten Hacker blockiert, und sie forderten Geld, um die Rechner wieder freizugeben. In einem der drei Fälle aus Österreich ging es um 100.000 US-Dollar in Bitcoin, bei Colonial um fast fünf Millionen Dollar.
Gefahr unterschätzt
Dass die Gefahr eines Angriffs durch Hacker hoch ist, gestehen sich viele Verantwortliche in Unternehmen jedoch nicht ein. Das zeigt die aktuelle Studie ‚Cybersecurity und Datendiebstahl‘ der Wirtschaftsberater von Ernst & Young, an der 202 österreichische Manager teilnahmen. Nur 29 Prozent von ihnen hielten im Jänner 2021 dieses Risiko für sehr hoch oder eher hoch, 12 Prozentpunkte weniger als ein Jahr zuvor. In kleinen Unternehmen mit 20 bis 50 Beschäftigten liegt der Wert noch niedriger. Andererseits lassen sich mehr als 75 Prozent der Unternehmen mindestens einmal im Jahr auf IT-Schwachstellen testen.
Für Benjamin Weissmann, Leiter Cyberforensik bei EY Österreich, spiegelt das geringe Risikobewusstsein nicht das aktuelle, kriminelle Geschehen im Internet wider, sondern eher ein verfrühtes Vertrauen auf bereits getätigte Investitionen in IT-Sicherheit. Er warnt unter anderem vor einem neuen Vorgehen der Hacker: Sie würden zunehmend Geld für das Freigeben von Systemen verlangen und zusätzlich Daten abgreifen, um Unternehmen später erneut mit deren Veröffentlichung zu erpressen. Zielscheibe innerhalb der angegriffenen Unternehmen ist vor allem das Finanzwesen – kaum eine Abteilung sei so stark betroffen, so die Betriebe in der Umfrage.
Denn es geht ums Geld: Organisierter Kriminalität zum Opfer zu fallen, halten Unternehmenslenker für die größte Gefahr, noch vor Aktivisten und weit vor staatlicher Spionage. Gerade für kleinere Unternehmen mit weniger als 50 Mitarbeitern kann der Schaden existenzbedrohend sein. Das gaben 12 Prozent von ihnen in einer Umfrage des deutschen Bundesamts für Sicherheit in der Informationstechnik Ende 2020 an.
Hoher Aufwand nötig
In diese Gruppe fällt auch der überwiegende Teil der Rechtsanwaltskanzleien. Für sie sind Sicherheit und Vertraulichkeit von Daten über alle Endgeräte und Drittanbieter hinweg zentral – nicht zuletzt aus standesrechtlicher Sicht. „Das ist viel Aufwand“, sagt die Anwältin und Vorsitzende des Arbeitskreises IT und Digitalisierung des ÖRAK, Dr. Alma Steger: „Aber ohne den geht es nicht.“ Egal ob eine Kanzlei Cloud-Services nutzt, die seit September zulässig sind, oder nicht.
Dass ein Cyberangriff auch ein größeres Unternehmen harsch treffen kann, zeigen die millionenschweren ‚Fake-President‘-Fälle bei FACC oder dem finnischen Telekom-Ausrüster Teleste. Immerhin gelang es bei letzterem, einen kleinen Teil des Geldes zurückzuholen, 3,2 Millionen Euro übernahmen die D&O-Versicherer. Da kam Palfinger glimpflicher weg: Mit Sonderschichten machte das Unternehmen zwei Wochen Produktionsausfall wett und verbesserte sogar seine Marge.
