IT-Sicherheit

Cybercrime: Viele Betriebe unterschätzen das Risiko

Cybercrime
09.03.2023

Laut der aktuellen CyberRisk-Analyse des KSV1870 haben 25 Prozent der heimischen Betriebe kein ausreichendes Cyber-Sicherheitskonzept. Zum Großteil betrifft das KMU. Es gibt also Handlungsbedarf, vor allem weil ab Oktober 2024 der Nachweis der IT- und Cybersicherheit verpflichtend sein wird.
In den letzten zehn Jahren haben sich die Cyberattacken in Österreich fast versechsfacht.
In den letzten zehn Jahren haben sich die Cyberattacken in Österreich fast versechsfacht.

Weltweit nimmt die Internetkriminalität zu, davon ist auch Österreich betroffen. Wie die Kriminalstatistik des Bundesministeriums für Inneres zeigt, stiegen die angezeigten Internet-Straftaten 2022 auf den neuen Spitzenwert von 60.195. Gegenüber 2021 ist das eine Zunahme von 30,4 Prozent. Dabei gab es schon von 2020 auf 2021 (mit 46.179 Fällen) eine Steigerung von 28,6 Prozent. Macht man den Zehn-Jahres-Vergleich, zeigt sich, dass sich die Zahlen von 2013 (mit 10.053 Fällen) auf 2022 sogar fast versechsfacht haben. Der Aufwärtstrend setzt sich also kontinuierlich fort. Gleichzeitig werden die Angriffe technisch immer raffinierter.

Mehr als ein Drittel der Internet-Straftaten entfallen auf Cybercrime. Gemeint sind damit kriminelle Handlungen, die gegen Netzwerke selbst oder aber gegen Geräte, Dienste oder Daten in diesen Netzwerken gerichtet sind. Dazu zählen beispielsweise Datenbeschädigungen, Hacking oder DDoS-Angriffe, wo Verzögerungen und Ausfälle von Webseiten über künstliche Anfragen herbeigeführt werden. Alles Attacken, die für jedes Unternehmen höchst bedrohlich sein können.

Betriebe überschätzen ihre IT-Sicherheit

Dennoch haben noch immer drei von zehn Unternehmen keine ausreichenden IT-Sicherheitsmaßnahmen implementiert, um Cybervorfälle zuverlässig zu erkennen. Und 22 Prozent der heimischen Unternehmen überschätzen ihre bestehenden Sicherheitsmaßnahmen. So das Ergebnis der aktuellen CyberRisk-Analyse der KSV1870 Nimbusec GmbH. "Unternehmen erkennen zwar häufig ihre IT-Security als Problemfeld, gleichzeitig stellen sie aber zu wenig personelle und finanzielle Ressourcen bereit, um das Risiko zu minimieren. Insbesondere KMU sind davon häufig betroffen", erklärt Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH. Um dieses Problem in den Griff zu bekommen, wäre es am einfachsten, die eingesetzte Hard- und Softwarelösungen zu reduzieren und Prozesse zu standardisieren. Praktisch ist jedoch das Gegenteil zu beobachten. "Mehr und mehr Systeme werden miteinander verbunden, wodurch sie die Komplexität erhöht. Die Konsequenz ist eine Zuspitzung des Problems", warnt Mitter.

Oft fehlt ein Cyber-Sicherheitskonzept

Eine Folge der Selbstüberschätzung der Unternehmen ist auch, dass 25 Prozent der Betriebe ohne adäquates Konzept agieren, um auf IT-Sicherheitsvorfälle reagieren zu können. "Dabei sollte gerade in Zeiten der Digitalisierung gewährleistet sein, dass sich Kunden und Lieferanten sicher im Netz bewegen können, ohne Angst haben zu müssen, dass hinter jeder Ecke eine virtuelle Gefahr lauert, die das eigene Geschäft schädigen könnte", erklärt KSV1870 Holding AG-Geschäftsführer Ricardo-José Vybiral.

Ähnlich sieht das Martin Heimhilcher, Obmann der Sparte Information und Consulting der Wirtschaftskammer Wien. Seiner Meinung wäre es am besten, die Cyber-Täter gar nicht bis zur Tür des IT-Systems kommen zu lassen. Denn gerade Klein- und Mittelunternehmen, die den Großteil der Wirtschaftskammer-Mitglieder ausmachen, sind in den letzten Jahren verstärkt von Cyberkriminellen ins Visier genommen worden. Alleine in Wien gab es 2022 knapp über 22.300 IT-Straftaten. Im Jahr 2021 waren es 17.068 Fälle. Das heißt 2022 waren es um 5.252 Fälle mehr, was einer Steigerung von fast 31 Prozent entspricht. Die größte Schwachstelle dabei ist der Mensch, gibt Heimhilcher zu bedenken. Genau deswegen wäre es so wichtig, Mitarbeiterinnen und Mitarbeiter zu schulen. Was jedoch keine einmalige Sache sein sollte. Ganz im Gegenteil, es muss immer wieder wiederholt werden, da sich auch die Arten der Cyber-Angriffe laufend ändern.

Backup, Retter vor dem Untergang

Eine weitere wichtige Maßnahme ist das regelmäßige Backup. Das sollte unbedingt zusätzlich an einem Ort außerhalb des Unternehmens aufbewahrt werden, denn das kann ein Unternehmen vor dem Untergang retten, wie Heimhilcher betont. Doch manchmal schützt auch die beste Prävention nicht vor einer Cyberattacke. Dann ist es gut, einen IT-Dienstleister des Vertrauens zu haben, der im Falle eines Cyberangriffs sofort zur Stelle ist. Für den Fall, dass dieser nicht erreichbar ist, gibt es seit Juli 2017 die Cyber-Security-Hotline für alle heimischen Unternehmen von den Wirtschaftskammern Österreichs. Da die IT-Attacken in den seltensten Fällen zu den gängigen Büroöffnungszeiten stattfinden, ist die Hotline unter 0800 888 133 österreichweit 24 Stunden am Tag und sieben Tage die Woche erreichbar. Betroffene Unternehmen bekommen dort kostenlos und rasch telefonische Erstinformationen und Notfallhilfe.

NIS2-Richtlinie der EU für Betriebe

Zusätzliche Sicherheit bietet auch der WebRisk Indicator, den KSV1870 in seine Unternehmensauskünfte integriert hat. Konkret wird das öffentliche sichtbare Cyberrisiko von Webseiten in vier Kategorien klassifiziert. Wenn Unternehmen jedoch mehr wissen möchten, bevor sie sich mit den IT-Systemen eines Geschäftspartners verbinden, kann ein detailliertes CyberRisk-Rating über den potenziellen Partner in Auftrag gegeben werden. Ein derartiger Beleg wird für Unternehmen selbst, insbesondere jene der kritischen Infrastruktur und deren Lieferanten, wahrscheinlich ab Oktober 2024 nötig sein. Denn spätestens ab dann wird die bestehende EU-Richtlinie 2016/1148, die 2016 eingeführt wurde, durch die  NIS2-Richtlinie ersetzt werden. Diese erfordert einen Nachweis über die IT-Sicherheit. Sollte dann ein solcher Nachweis nicht vorhanden sein, kann es zu Haftungen und Strafen für die Unternehmen und deren Vorstände kommen.

Jene, die ein ausgezeichnetes CyberRisk-Rating haben, können hingegen das Cyber Trust Austria-Gütesiegel, das österreichische Label für Cybersicherheit, beantragen. Es basiert auf dem Cyber-Risk-Rating-Schema, das vom Kompetenzzentrum Sicheres Österreich in Zusammenarbeit mit dem KSV1870 erarbeitet wurde. Es gibt drei Qualitätsstufen des Labels, die sich hinsichtlich ihres Sicherheitsanspruchs (Security Claim) und des Sicherheitsgrades der Überprüfung (Assurance Level) unterscheiden.

Die häufigsten Arten von Cybercrime-Angriffen

  • Pishing-Angriffe:

Betrüger verwenden gefälschte E-Mails oder Webseiten, um vertrauliche Informationen wie Passwörter, Kreditkartennummern und persönliche Daten zu erhalten.

  • Ransomware-Angriffe:

Hacker verwenden eine Software, um Daten auf den Systemen des Unternehmens zu verschlüsseln und erpressen dann Lösegeld, um die Daten wieder herzustellen.

  • Malware-Angriffe:

Malware ist eine bösartige Software, die unbefugte Aktionen im System des Opfers ausführt und so Schaden verursacht. Dazu gehören beispielsweise Viren, Trojaner und Spyware.

  • Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe):

Das sind Angriffe, bei denen eine große Anzahl von Anfragen an ein Netzwerk oder eine Website gesendet wird, um dieses zu überlasten und so den Zugriff auf die Website zu verhindern.

  • Insider-Bedrohung:

Das ist eine Bedrohung, die von einer Person ausgeht, die dem Unternehmen angehört oder eng mit diesem verbunden ist (Insider). Sie gehört zu den größten Bedrohungen für Unternehmen.

  • Social-Engineering-Angriffe:

Hier verwenden Betrüger soziale Manipulationstechniken, um Mitarbeiter dazu zu bringen, vertrauliche Informationen preiszugeben und bösartige Software herunterzuladen.

Wichtig: Die Bedrohungslandschaft ist ständig im Wandel und es können jederzeit neue Angriffsvektoren auftauchen. Unternehmen sollten sich daher kontinuierlich auf dem neusten Stand halten und ihre Sicherheitsmaßnahmen regelmäßig aktualisieren, um für mögliche neue Bedrohungen gut gerüstet zu sein.