"Cyberangriffe werden besser und komplexer"
Dieser Artikel ist älter als ein Jahr!
"Cyberangriffe werden immer besser, komplexer und spezifischer", sagt Lukas Praml, Geschäftsführer der Österreichischen Staatsdruckerei (OeSD). Gemeinsam mit anderen Managern österreichischer Unternehmen und IT-Sicherheitsexperten diskutierte er auf Einladung der futurezone über die Sicherheit der kritischen Infrastruktur, das geplante Cybersicherheitsgesetz und aktuelle Entwicklungen in der Cyberkriminalität.
Gezielte Angriffe
"Wir beobachten einen zunehmenden Trend zur zielgerichteten Attacke", sagt Thomas Stubbings, der die Raiffeisenbank International in Cybersicherheitsfragen berät. Dabei geht der eigentlichen Attacke eine lange, teilweise mehrwöchige Erkundungsphase voran, in der Angreifer sich mittels Social Engineering Informationen aus dem Unternehmen beschaffen, um dann beim eigentlichen Angriff so zielgerichtet wie möglich zuschlagen zu können.
Diese Einschätzung betätigt auch Wolfgang Schwabl, Cybersecurity Manager bei A1 Telekom Austria. Sein Unternehmen war heuer bereits einige Male Ziel sogenannter "CEO-Frauds", bei der Konzernmitarbeiter mithilfe gefälschter E-Mails von Vorgesetzten zu Zahlungen bewegt werden sollten. "Schaden ist keiner eingetreten", sagt Schwabl. "Diese Vorfälle haben aber unser Bewusstsein weiter geschärft."
Private Datenlecks als Basis
Datenlecks aus dem privaten Bereich würden zunehmend als Datenbasis für weitere Angriffe genommen, berichtet Andreas Tomek von IT-Sicherheitsforschungszentrum SBA Research. So würden etwa Datenbestände, wie jener des vor kurzem gehackten Seitensprung-Portals Ashley Madison, aus dem Netz heruntergeladen und gezielt nach Leuten durchforstet, die erpresst werden könnten. "Die privaten Datenverluste haben auch Auswirkungen auf die Unternehmenssicherheit, weil potenziell wichtige Personen dort angeführt und auch erpressbar werden."
Viele österreichische Unternehmen seien nicht ausreichend für die Gefahren von Cyberangriffen sensibilisiert, meint Chytil: "Es gibt kleine Firmen, die gut aufgestellt sind, es gibt genauso welche, die das ein bisschen vernachlässigen." Ein wichtiges Thema seien die Kosten. Mehrstufige Lösungen, die im Stande sind, ein komplexes System im Internet zu schützen, seien nur bei ganz großen Unternehmen selbstverständlich.
Schutz der kritischen Infrastruktur
Wie aber sieht es mit dem Schutz der kritischen Infrastrukturen aus, bei deren Ausfall das öffentliche Leben beeinträchtigt wäre? Niemand könne hunderprozentig sicher sein, dass ein Angriff nicht erfolgreich ist, sagt A1-Experte Schwabl. Systeme seien heute so komplex, dass man davon ausgehen müsse, dass wenn beliebig viel Energie auf einen Angriff verwendet werde, der auch durchschlage: "Das ist branchenunabhängig. Wichtig ist, wie gut man darauf vorbereitet ist." Die Telekom Austria sei schon lange mit dem staatlichen Krisenmanagement verbunden. "Wenn etwas passiert, sind wir in der Lage mit dem Staat sehr gut koordiniert vorzugehen, sodass wir den Normalbetrieb wiederherstellen können."
Auch OeSD-Geschäftsführer Praml hält das sogenannte "Incident Handling", die Wiederherstellung des sicheren Zustands, für zentral. "Da schrauben wir in unserem Unternehmen massiv nach." Wichtig sei es Beweis- und Nachverfolgungsspuren nicht "zu killen". In der Struktur seien viele Unternehmen gut ausgerüstet, die größte Schwachstelle sei aber der menschliche Faktor. "Da muss man viel trainieren."
"Alles hängt an den Prozessen und an fähigen Personen", meint auch Tomek: "Die Ausbildung und die Ressourcen innerhalb eines Unternehmens sind der Faktor, der wichtig ist. Da müssen viele Unternehmen dazulernen."
Meldepflicht für Unternehmen
Für den Bereich der kritischen Infrastruktur, etwa Energieversorger, Banken, Telekomunternehmen, Krankenhäuser und Verkehrsbetriebe, soll das bis 2017 geplante Cybersicherheitsgesetz eine Meldepflicht für Unternehmen bringen. Derzeit werden die Inhalte noch diskutiert. Die konkrete Ausgestaltung sei noch offen, sagt Sicherheitsberater Stubbings. "Wir müssen schauen, dass wir die richtigen Informationen zu den Behörden bringen und letztlich auch wertvolle Informationen zurückbekommen. Es darf keine Einbahnstraße sein."
Die Meldepflicht müsse für die Unternehmen handhabbar sein, meint auch Chytil. Schon heute würde die Zusammenarbeit mit CERT.at, dem Computer Emergency Response Team Austria, sehr gut funktionieren. "Die sagen uns, wenn Sachen auftreten, die interessant sein könnten, umgekehrt melden wir auch Vorfälle, die vielleicht gar nicht meldepflichtig wären." Der informelle Austausch bringe sehr viel. "Wenn der durch Formulare, die in eine Richtung geschickt werden, ersetzt werden sollte, dann ist das ein Rückschritt."
Um in der Cyberabwehr wirklich Qualität zu erlangen, bedürfe es mehr als nur einer Meldepflicht, sagt Cybersecurity-Manager Schwabl. Gerade in der Angriffsphase sei eine Vertrauensbeziehung zu Experten, wie jenen des CERT zentral. "Was wir von dem Gesetz bräuchten, ist eine legale Basis, dass wir Experten zu Rate ziehen dürfen."
Mindeststandards
Auch verpflichtende Mindeststandards für Unternehmen der kritischen Infrastruktur sollen in dem Gesetz vorgegeben werden. "Das ist prinzipiell sinnvoll", sagt Sicherheitsforscher Tomek. Mindeststandards seien aber kein Allheilmittel, sondern würden lediglich sicherstellen, dass gewisse Sicherheitsmaßnahmen getroffen werden und dass ein Sicherheitsmanagement in den Unternehmen vorhanden sei. "Mindeststandards bedeuten nicht, dass Firmen dann automatisch sicher sind."
Mit der zunehmenden Vernetzung würden auch neue Schwachstellen zutage treten, sagt Schwabl: "Wer hätte gedacht, dass man sich über den Mediaplayer in ein Auto einhacken kann", gibt der A1-Sicherheitsexperte unter Verweis auf einen aktuellen Fall zu bedenken. Hacker würden unkonventionell denken und immer die einfachste Schwachstelle suchen. "Sie sind sehr kreativ darin. Wir werden in Zukunft noch das eine oder andere erleben, mit dem wir überhaupt nicht gerechnet haben."
Kommentare