Im Umgang mit digital gespeicherten Daten fehlt es österreichischen Unternehmern an Gefahrenbewusstsein und Verantwortungsgefühl für Kundeninformationen, sind sich IT-Sicherheitsexperten einig. Das zeige auch der Angriff auf den Webserver der GIS (Gebühren Info Service) Mitte Juli, bei dem 214.000 Datensätze gestohlen wurden. Die GIS habe hier „mit Sicherheit fahrlässig gehandelt“, glaubt Martin Prager, Sprecher der IT-Security Experts Group von der Wirtschafskammer (WKÖ).

Wenig Sicherheitsbewusstsein

Derzeit fielen in heimischen Unternehmen Investitionen in den Sicherheitsschutz „verschwindend gering“ aus, meinte Gerald Kortschak, Geschäftsführer der Informationssicherheitsfirma sevian7 IT development, im Gespräch mit der APA. Vor allem Klein- und Mittelbetriebe (KMU) würden oft erst nach einem Angriff investieren. Laut Josef Pichlmayr, Geschäftsführer von Ikarus Security Software, wäre „viel gewonnen, wenn man das, was man tun könnte, auch tut“.

Dazu gehört laut Prager in erster Linie die Einhaltung von „Grundprinzipien der Datensicherheit“. Es sei sicherzustellen, dass Daten Unbefugten nicht zugänglich gemacht und nicht kopiert werden können. Dabei sei es egal, ob diese im virtuellen Netzwerk („Cloud“) oder auf dem Computer gespeichert sind.

Großteil der Delikte bleibt unbemerkt

Trotz unternehmerischen Leichtsinns liege die Schuld aber nie beim Angriffsopfer, betonte Prager. „Datendiebstahl ist kriminell, egal aus welchem Motiv heraus.“ Anders als bei gesellschaftspolitisch motivierten Angriffen, wo Hacker - wie im Falle der „Anonymous“-Attacke auf die Web-Seiten der GIS, der FPÖ und der SPÖ - selbst auf den erfolgten Coup hinweisen, falle der Großteil der virtuellen Überfälle gar nicht erst auf. „Du wirst einen erfolgreichen Hack, der wirtschaftlich motiviert war, nie merken“, so Pichlmayr. Schuld daran sei auch mangelndes technisches Know-how.

Schon alleine deshalb liegt die Anzahl der Hackerangriffe auf österreichische Unternehmen im Dunkeln. „Seriöse Zahlen gibt es nicht“, so Prager. Die einzige Stelle, an die sich Betroffene wenden könnten, sei die Polizei, bei der Anzeige zu erstatten wäre. Davor würden die meisten aber zurückschrecken, sagte Prager. Das Offenlegen von Angriffen werde in Österreich „immer noch mit einem Gesichtsverlust gleichgesetzt“, meinte Kortschak.

Polizei registriert Zunahme bei IT-Kriminalität

Die Polizei sieht sich trotzdem mit einer Zunahme der IT-Kriminalität konfrontiert. Alleine im ersten Halbjahr 2011 wurden laut Kriminalstatistik des Bundeskriminalamts 2.229 Delikte aus dem Bereich Cyber-Crime zur Anzeige gebracht. Zum Vergleich: In den ersten sechs Monaten 2010 waren 2.020 virtuelle Angriffe gezählt worden. Im Vergleichszeitraum 2008 waren es nur 1.188 Delikte. Besonders gestiegen sind Hackerangriffe. Im ersten Halbjahr 2011 wurde in 105 Fällen Anzeige erstattet. In den ersten sechs Monaten 2010 zählte man dagegen nur 49 virtuelle Attacken. Im Vergleichszeitraum 2009 waren es sogar nur elf Hacks.

In einer Umfrage zu Wirtschafts- und Industriespionage in Österreich, die Ende 2010 von der FH Campus Wien gemeinsam mit dem Innenministerium durchgeführt wurde, gaben 31 Prozent der 9.200 befragten Unternehmen an, Opfer von Angriffen geworden zu sein. Ob diese auf persönlichem oder auf digitalem Wege erfolgten, sei aber nicht erhoben worden, so Kortschak. Dennoch sei davon auszugehen, dass die meisten Hacks intern unterstützt werden. Es sind also oft die Mitarbeiter selbst, die Daten klauen.

Schäden schwer bezifferbar

Opfer von virtuellen Angriffen werden laut Pichlmayr in erster Linie „Unternehmen, wo was zu holen ist, sprich verwertbare Daten“. Da die Folgen eines Hacks aber - vom finanziellen bis zum Imageschaden - sehr unterschiedlich ausfallen, seien diese „nicht auf klassischem Wege bezifferbar“, so Prager.

Die IT-Sicherheitsexperten forderten im Gespräch mit der APA die Einhaltung von Mindestsicherheitsstandards. „Unangreifbar ist unterm Strich niemand“, hielt Pichlmayr fest. Denn „sehr viele, sehr bekannte Lücken“ seien immer noch offen, so Prager.