Cybersicherheit: "Viele haben nicht einmal Verschlüsselung"
Die Durchsage, dass die Wiener U-Bahn wegen eines Cyberangriffs unterbrochen wurde, werde es auch in Zukunft nicht geben, sagte Günter Steinbauer, Vorsitzender der Geschäftsführung der Wiener Linien bei einer Diskussion zur Cybersicherheit in Österreich, die auf Einladung der Unternehmensberatung KPMG im Wiener Raiffeisenhaus stattfand. "Unsere Signalsysteme sind abgeschottet und haben keine Verbindung ins Internet. Es gibt nicht einmal Fernwartungsverträge", sagte der Wiener Linien-Chef. Am Netz hängen hingegen die Verkaufssysteme des Verkehrsbetriebes. Angriffe darauf habe es bereits gegeben, sagt Steinbauer: "Aber keiner hat zu echten Schäden geführt."
Laut einer diese Woche von KPMG veröffentlichten Studie waren 61 Prozent der österreichischen Unternehmen im vergangenen Jahr Opfer von Cyberattacken. Das Bewusstsein für das Thema ist zwar gestiegen, vor allem bei kleineren Unternehmen herrscht aber noch viel Sorglosigkeit.
"Hausaufgaben machen"
Viele kleine und mittlere Unternehmen hätten nicht einmal Verschlüsselung, sagte Doris Wendler von der Wiener Städtischen Versicherung, die seit rund einem Jahr eine Versicherung gegen Cybervorfälle anbietet. "Viele Kunden müssen vorab Hausaufgaben machen", erzählte Wendler. Für KMUs könnten die Schäden aus Cyberattacken existenzbedrohend sein. Das Risiko für Cyberangriffe lasse sich nur sehr schwer einschätzen, sagte Wendler: In die Prämienberechnung würden aber Vorkehrungen der Kunden miteinfließen: "Wir können bei den Kunden Bewusstsein schaffen, um das Cyberrisiko zu minimieren."
Scheu vor Meldungen
45 Prozent der betroffenen Unternehmen melden laut der KPMG-Studie, meist aus Angst vor Reputationsverlusten, Cybervorfälle nicht. Das gelte vor allem für kleinere Firmen, sagte KPMG-Cybersicherheitsexperte Andreas Tomek. Die Informationen würden anderen aber dabei helfen, Vorfälle erkennen und auf Angriffe reagieren zu können. "Das müssen wir verstärken."
Zumindest für Unternehmen der kritischen Infrastruktur wird die Netzwerk- und Informationssicherheitsrichtlinie der EU (NIS-Richtlinie), die in Österreich demnächst - verspätet aber doch - mit dem Cybersicherheitsgesetz umgesetzt werden soll, eine Meldeverpflichtung bringen. Es werde auch versucht, mit Branchen-CERTS die Kooperation zu stärken, sagte Philipp Blauensteiner, Leiter des Cyber Security Center im Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT): "Nur wenn ein vertrauensvoller Austausch da ist, werden die Probleme erkannt."
Fachkräftemangel
In Österreich mangelt es auch an Fachkräften. Dies gelte für Sicherheitsexperten, aber auch für Experten, die Unternehmen bei der Digitalisierung unterstützen könnten, sagte KPMG-Partner Tomek. Das sei aber ein europäisches Phänomen. Man müsse versuchen, mehr Personen in entsprechende Ausbildungen zu bekommen. Es gebe auch viel zu wenige Frauen in dem Bereich, meinte Tomek.
Mit dem Fachkräftemangel hat auch das Cyber Security Center im BVT zu kämpfen. Über die Cybersecurity-Challenge habe man zwar einige junge Talente an sich binden können, sagte Zentrumsleiter Blauensteiner. "Ihre Gehaltsvorstellungen werden aber schon bald mit den Möglichkeiten des öffentlichen Dienstes nicht mehr zusammengehen." Das Problem betreffe auch andere Abteilungen, meinte Blauensteiner: "Da muss man sich Gedanken machen, der Markt ist leergefischt."
Vom Cyberterror verschont
Von Cyberkriminalität sei Österreich genauso betroffen wie alle anderen Länder auch, sagte Rudolf Striedinger, Leiter des Abwehramts beim Österreichischen Bundesheer. Vom Cyberterrorismus sei das Land bisher aber weitgehend verschont geblieben. Österreich gelte nicht als Angriffsziel, sagte Striedinger, das liege an der Kleinheit des Landes, aber auch an den internationalen Positionen. Dass Österreich in einen Cyberkrieg verwickelt werde, könne er zwar nicht ausschließen, bedrohlicher seien aber Kollateralschäden die aus möglichen Cyber-Auseinandersetzungen zwischen den großen Playern - USA, China und Russland - erwachsen könnten. "Dagegen kann man nichts machen, außer die Resilienz zu erhöhen."
Ein Problem sieht der Leiter des Abwehramtes in der Abhängigkeit von der Technologie nichteuropäischer Konzerne. Das könne aber nur auf europäischer Ebene gelöst werden. Wenn man solche Abhängigkeiten nicht wolle, müsse man eigene Systeme schaffen, sagte Striedinger: "Das ist eine Frage von Forschung und Entwicklung und dem Mut, selbst etwas anzugehen."
"Bewusstsein muss in die Breite gehen"
Was aber kann getan werden, um die Cybersicherheit zu verbessern, fragte Alexander Janda, Generalsekretär des Kuratoriums Sicheres Österreich (KSÖ), der die Veranstaltung moderierte. "Wir brauchen ein durchgängiges System", sagte Wiener-Linien-Geschäftsführer Steinbauer. Große Unternehmen hätten ein klares Bewusstsein, was zu tun sei, das sollten sie auch von ihren Lieferanten verlangen. Das Bewusstsein für Cybersicherheit müsse in die Breite gehen: "Da gibt es noch Handlungsbedarf." Es gehe um die Vertrauensbildung zwischen Staat und Unternehmen, sagte Abwehramts-Leiter Striedinger. Das auf die NIS-Richtlinie der EU aufbauende Cybersicherheitsgesetz, werde dabei helfen.
Unternehmen sollten keine Angst vor Reputationsschäden bei Sicherheitsvorfällen haben und sie melden, meinte Wendler von der Wiener Städtischen. "Wir müssen in den Köpfen verankern, dass Sicherheit kein Zustand sei, sondern ein Prozess, den man leben muss, sagte Blauensteiner vom BVT. Der Begriff "Security" habe in den vergangenen Jahren einen negativen Beigeschmack bekommen, sagte Tomek. "Vielleicht sollten wir stärker mit dem Begriff "Vertrauen" arbeiten, meinte der KPMG-Experte: "Chief Trust Officer klingt viel positiver."
Dieser Artikel ist im Rahmen einer bezahlten Kooperation zwischen futurezone und dem Kuratorium Sicheres Österreich (KSÖ) entstanden.