Globalisierung, Digitalisierung, Pandemie und zuletzt der Krieg in der Ukraine haben die Gefährdung durch Cyber-Kriminalität massiv erhöht. Unternehmen zeigen sich nur unzureichend vorbereitet.
Die Zahlen sind alarmierend: Laut Bundeskriminalamt ist im vergangenen Jahr die Zahl der Anzeigen wegen Internetkriminalität auf mehr als 46.000 gestiegen. Das bedeutet ein Plus von 29 Prozent gegenüber dem Jahr davor. Die Gründe sind vielfältig.
Zum einen öffnet die Digitalisierung weltweit viele Türen – mit einem bitteren Beigeschmack. Denn egal, ob es sich um Schadsoftware, Datendiebstahl oder digitale Erpressung handelt: Die Angriffsmöglichkeiten von Cyber-Kriminellen nehmen rasant zu. Dazu kommt das pandemiebedingte Wachstum an Webshops und Onlinebestellungen. Es führte zu häufigeren Delikten, neuen Betrugsmaschen und deutlich höheren Schäden. Handlungsbedarf ist gegeben. 2021 waren allein fast zwei Drittel der heimischen HändlerInnen Opfer von Betrug im Netz, ein Viertel schon mehrmals.
Cyber-Kriminalität: 80 Prozent vermeidbar
Dazu kommt jetzt, warnen ExpertInnen, die potenziell steigende Gefahr von Cyberattacken aufgrund der Ukrainekrise. „Trotzdem wird das Thema IT-Sicherheit häufig stiefmütterlich behandelt“, kritisiert Alexander Mitter, Geschäftsführer von KSV1870 Nimbusec. Eine Studie der Unternehmensberatung KPMG bestätigt, dass die meisten Unternehmen in Österreich in Bezug auf die Cyberkriminalität noch keine ganzheitliche Perspektive haben.
Unternehmen müssten demnach mehr in Risikominimierung und Prävention investieren. „Auch wenn es heutzutage fast unmöglich ist, sich komplett gegen Hacker zu schützen, so muss das Risiko zumindest auf ein absolutes Minimum reduziert werden“, mahnt Mitter. Rund 80 Prozent der Schäden könnten laut KPMG vermieden werden, würden die Firmen mehr in die IT-Sicherheit investieren, sind sich die Fachleute einig. In drei von vier Unternehmen seien die Anforderungen an die Cyber-Sicherheit jedoch derzeit nicht erfüllt.
Nach einem Monat wieder Opfer
Für den CyberRisk Report 2022 hat der KSV in Österreich rund 45.000 Webseiten unter die Lupe genommen. Fazit? Knapp hundert Unternehmenswebseiten waren mit Schadsoftware infiziert. „Das klingt im ersten Moment nicht viel. Wenn man aber bedenkt, dass viele dieser Webseiten täglich zigtausende Zugriffe haben und dabei jedes Mal Schadsoftware verteilen, steigt die Zahl an betroffenen IT-Systemen fast schon ins Unermessliche“, zeigt sich Mitter besorgt.
CYBERCRIME IN ZAHLEN
- 2021 gab es 46.179 Cybercrime-Anzeigen. Das waren fast ein Drittel mehr als 2020. Damals gab es 35.915 Anzeigen.
- Der Großteil der Online-Kriminalität entfiel auf Betrug. So wurden 2021 insgesamt 22.440 Anzeigen wegen Internetbetrugs erstattet, ein Fünftel mehr als 2020.
- Der Großteil betrifft Bestellbetrügereien. Bei einem Viertel sind HändlerInnen die Opfer, bei einem weiteren Viertel bestellen Opfer auf privaten Verkaufsplattformen, erhalten aber keine Waren.
- Die Schadenssumme der Betrugsfälle im Onlinehandel lag 2019 noch mehrheitlich (55 Prozent) unter 500 Euro. 2020 lag nur noch ein Fünftel der Schadenssummen unter 500 Euro.
- In 30 Prozent der Fälle verloren die Handelsbetriebe hingegen zwischen 5.000 und 10.000 Euro. Auch der Anteil der Fälle mit einem Schaden von bis zu einer Million Euro ist von zwei auf 13 Prozent angewachsen.
Dazu kommt, dass 28 Prozent der infizierten Domains zwei Monate nach erfolgter Überprüfung noch immer beschädigt waren. Und 17 Prozent der betroffenen Domains wurden nach erfolgter Bereinigung nur unzureichend abgesichert. Innerhalb eines Monats wurden sie neuerlich Opfer von Hackern. Es ist eine dramatische Entwicklung, die noch dazu die Realität nicht vollständig abbilde, befürchten ExpertInnen. Sie gehen von einer weit höheren Dunkelziffer aus.
Angriffe meist am Wochenende
Die Angriffe treffen die ohnehin nicht gut vorbereiteten Unternehmen meist am Wochenende. Rasch kommt dann die Forderung samt Countdown und Zeitpunkt, ab wann sich die Summe verdoppeln wird. Ist ein Unternehmen darauf nicht vorbereitet, ist es in dieser Situation komplett überfordert. Hier brauche es ForensikerInnen, die die meisten Firmen nicht bei der Hand hätten.
Mit 100.000 Euro sei allein für die externen Kosten zu rechnen, selbst wenn die Daten zu retten seien, kein Lösegeld gezahlt werde und keine Strafe der Datenschutzbehörde, Kosten für Krisenkommunikation oder Vertragsstrafen für verspätet abgelieferte Aufträge anfallen. Neben dem finanziellen Schaden und Unternehmensdaten steht aber auch das Vertrauen der KundInnen auf dem Spiel.
Schulungen für MitarbeiterInnen
Was also tun? Die mögliche Vorbereitung auf die Abwehr eines Cyberangriffs umfasst technische und organisatorische Maßnahmen. Technisch ist eine robuste Datensicherungs- beziehungsweise Backup-Strategie notwendig, um gegen Beschädigungen durch Schadsoftware oder Verschlüsselungen gewappnet zu sein. Auf organisatorischer Ebene braucht es entsprechende Awareness und Schulungen der MitarbeiterInnen, damit diese keine Schadsoftware aktivieren, die sie beispielsweise per E-Mail erhalten. Gerade durch Pishing-Mails, gefälschte Webseiten oder Kurznachrichten verschaffen sich AngreiferInnen Zugriff. Denn die größte Schwachstelle bleibt bei aller technischer Verwundbarkeit immer noch der Mensch.
GUT ZU WISSEN
- Unter einem IT-Security- oder einem Cybersecurity-Vorfall oder -Angriff versteht man in der Regel, dass ein IT-System (Computer, Server, Smartphone, Router etc.) durch eine Schadsoftware oder eine/n menschlichen AngreiferIn bewusst und absichtlich gestört wird.
- Ob es sich nun um eine Schadsoftware handelt, die Daten löscht, verschlüsselt oder kopiert, oder um einen Hacker, der auf der Suche nach für ihn relevanten Information ist: Es ist ein absichtlicher Angriff und kein technischer Defekt.
- Der wesentliche Unterschied dabei ist, dass ein technischer Defekt nicht auf Gegenmaßnahmen reagieren wird. Ein/e menschliche/r AngreiferIn würde dagegen Gegenmaßnahmen erkennen und darauf mit einem neuen Angriff, eventuell aus einer anderen Richtung, kontern. Daher muss man bei der Vorbereitung auf einen Angriff immer berücksichtigen, dass eine einzelne Schutzmaßnahme nicht ausreicht und dass jede offene Schwachstelle potenziell ausgenutzt werden wird.
