Otmar Lendl ist Senior Information Technology Security Analyst bei der staatlichen Stelle CERT.at, wo es seine Aufgabe ist, die IT-Sicherheit Österreichs zu unterstützen.

CERT.at wurde in einer Kooperation des Bundeskanzleramts mit der Domain-Registrierungsstelle nic.at gegründet. In welcher Weise arbeiten Sie für die IT-Sicherheit des Landes?

Otmar Lendl: Wir beobachten seit unserer Gründung 2008 Entwicklungen im Cybersicherheitsbereich, sammeln Informationen von IT-Security-Unternehmen oder beispielsweise Microsoft und anderen IT-Konzernen, generieren Warnungen daraus und informieren Entscheidungsträger und auch Medien. Dann holen wir unterschiedlichste Informationen zu Sicherheitslücken, Schwachstellen und auch kompromittierter IT-Infrastruktur in Österreich ein – und geben diese Informationen an die betroffenen Betreiber und Unternehmen weiter. Selbst können wir nichts anordnen, dafür gibt es keine rechtliche Grundlage und mit unserem kleinen Team können wir selten bei Sicherheitsvorfällen vor Ort unterstützen – aber wir geben sehr wohl Empfehlungen ab.

CERT.at ist so etwas wie der freundliche Nachbar von gegenüber, der auf das eingeschaltete Licht beim geparkten Auto aufmerksam macht. Wir fungieren primär als Informationsdrehscheibe zum Thema IT-Sicherheit: sowohl innerhalb Österreichs als auch als Schnittstelle zu internationalen Kooperationen. Seit März 2019 übernimmt CERT.at die Rolle des »Nationalen Computer-Notfallteams« laut NIS-Gesetz.

Wie gefährdet sehen Sie Unternehmen und Verwaltung in Österreich? Wie hat es dazu in den letzten Jahren ausgesehen? Können Sie einen Trend erkennen?

Lendl: Wir befinden uns seit vielen Jahren in einem Wettrüsten. Es gibt, ähnlich wie im menschlichen Immunsystem, keinen absoluten Zustand der Sicherheit oder der Unsicherheit. Werden Firmen angegriffen? Das ist klar mit einem Ja zu beantworten. Jedes einzelne Unternehmen wird täglich attackiert, gleich dem Abwehrkampf des Körpers gegenüber Viren. Sich etwa einmal in den Finger zu schneiden, ist nicht gleich eine Katastrophe – vorausgesetzt, man hat eine Tetanus-Impfung und versorgt die Wunde. Neben den Dauerbrennern wie rein finanziell motivierten Ransomware- und CEO-Fraud-Attacken und den üblichen Spionageversuchen kam im Vorjahr mit dem Krieg in der Ukraine ein weiterer großer Unsicherheitsfaktor dazu.

Hat sich der Ukraine-Krieg auch auf die Cybersicherheit in Österreich niedergeschlagen? Wenn ja, wie?

Lendl: Zunächst war unklar, ob sich die Cyberaktionen beider Seiten auf die Kriegsparteien beschränken, oder ob auch Unterstützer betroffen sein werden. Das hat bei einigen Organisationen zu mehr Investitionen in die IT-Sicherheit geführt, inzwischen ist der Effekt aber vorbei. Glücklicherweise ist bis auf wenige Aktionen von Aktivisten in Österreich nichts passiert. 

Welche Lücken sind oft für erfolgreiche Ransomware-Attacken auf Organisationen verantwortlich? 

Lendl: Die Einbruchsvektoren variieren stark, manchmal kaufen die Ransomware-Gruppen einfach den Zugang zu Firmennetzen von anderen Tätergruppen ein. Aus technischer Hinsicht geht es grob um zwei Problembereiche. Zum einen der Arbeitsplatz eines Mitarbeiters: Hier wird mit einer Mischung aus technischer Raffinesse und kreativem Social Engineering versucht, eingeschleuste Programmfragmente zur Ausführung zu bringen. Zum anderen sind es Server, die Anfragen aus dem Internet verarbeiten. Im Jahr 2022 waren insbesondere die Unternehmens-Collaboration-Plattform Confluence und das Web­interface von Microsoft Exchange betroffen. Es sind komplexe, weitverbreitete Plattformen, die oft von außen erreichbar sind, falls man diese nicht mittels VPNs oder vorgelagerten Schutzmaßnamen absichert. Wichtig sind schnelles Patchen und eine durchgehende Implementation einer Mehr-Faktoren-Authentifikation.

Auch die Industrie hat in den letzten Jahren ihre Betriebsumgebungen für den Zugriff von außen geöffnet. Wie sind dazu die Unternehmen aufgestellt? 

Lendl: Den Industrieunternehmen ist zu einem guten Teil sehr bewusst, mit welchen Gefahren sie operieren. Eine OMV zum Beispiel weiß seit vielen Jahren, dass sie auf der Liste von Zielen diversester Tätergruppen ganz oben ist – angefangen bei Spionage bis hin zu Ransomware und Sabotage. Entsprechend sind diese Unternehmen dann aber auch bei ihrer IT-Sicherheit aufgestellt. Gerade Wirtschaftsspionage ist ein heißes Thema, ebenso die Abhängigkeit von IT-Prozessen in der Produktion. Vernetzte, auf einzelne Stückzahlen flexibel produzierende Unternehmen benötigen heute die Anbindung an Workflow-Systeme wie etwa SAP. Ein Hack kann hier sehr schnell zu großem Schaden führen – man sichert entsprechend gut seine Umgebungen ab.

Gilt dies auch für das kleine Zuliefer­unternehmen?

Lendl: Je kleiner, desto spannender wird es. Unsere Wirtschaft ist kleinteiliger als in anderen Staaten und damit haben wir viele KMU, denen gebündeltes IT-Security-Know-how vor Ort und die Ressourcen dazu fehlen. Hier stellt sich generell auch die Frage, wie weit der Staat regulierend eingreifen sollte. Mit den Informationssicherheitsgesetzen NIS1 und ab Oktober nächsten Jahres NIS2 werden Betrieben bestimmter Größen und Branchen Maßnahmen vorgeschrieben. Es wird aber praktisch nicht sinnvoll sein, die Prüfprozesse aus NIS1 auf jedes kleine Unternehmen bei NIS2 auszuweiten. Es ist heute noch nicht ganz klar, wie die Behörden die Kontrolle von Auditberichten auf mehrere tausend Unternehmen skalieren werden. Die gesetzlichen Regelungen haben aber auf jeden Fall bewirkt, dass so mancher in den letzten Jahren von der Geschäftsführung belächelte IT-Sicherheitsverantwortliche nun ernst genommen wird. 

Können sich Unternehmen überhaupt auf Dauer gegen Angriffe mit den vorhandenen Möglichkeiten schützen? 

Lendl: Ja. Das ist aber nicht gratis – weder in Bezug auf die aufzuwendenden Ressourcen noch in puncto Komfort: einfach und bequem ist nicht immer sicher. Ein sinnvoller Ansatz dreht sich um die Angriffsfläche, die wir nach außen präsentieren: je weniger hier sichtbar oder angreifbar ist, desto besser. 

Gefährden Falschinformationen die Sicherheit unserer Unternehmen und Gesellschaft? 
Lendl: Die Frage ist sehr wichtig. Russland betreibt aktive »Information Operations« gegen die Unterstützer der Ukraine. Das ist aber außerhalb unseres Zuständigkeitsbereiches.