Bei einem "Cyber Security Round Table" von A1 diskutierten hochkarätige Expert:innen über die gesellschaftspolitischen und wirtschaftlichen Auswirkungen der exponentiell ansteigenden Cyberattacken auf Wirtschaft, Industrie und öffentliche Institutionen.

Unter dem Titel „Zero Trust – Warum Unternehmen die Stärkung ihrer Cyber Resilience vorantreiben müssen“ sprachen Gastgeber Thomas Arnoldner (CEO A1 Group), Isabell Claus (Managing Director & Co-Founder thinkers.ai), Moderatorin Christine Walmüller-Schiller (Leitung Marketing & Kommunikation AIT), Ronke Babajide (Manager Systems Engineering, Fortinet), Richard Malovic (CEO Whalebone) und Klaus Steinmaurer (Geschäftsführer RTR Fachbereich Telekom & Post) zu aktuellen Herausforderungen (Bild oben).

Die Themen reichten von vielfältigen Bedrohungen im Netz, dem eklatanten Fachkräftemangel, Aufholbedarf beim Bewusstsein für Cyber Security, dem gestiegenen Gefahrenpotenzial durch den Einsatz von künstlicher Intelligenz, regulatorischen Rahmenbedingungen und wie sich Unternehmen in Richtung Business Continuity aufstellen können. Eine robuste Cyber Resilience sichert die langfristige Wertschöpfung und Wettbewerbsfähigkeit von Unternehmen.

Allein von 2018 bis 2021 stiegen die Cybercrime Fälle in Österreich um 135% auf 46.179. 51% davon waren Phishing Attacken. Die durchschnittliche Verweildauer von Hacker:innen beträgt rund 48 Tage, davon werden 62% der Fälle von externen Stellen erkannt.

Die wichtigsten Aussagen

Thomas Arnoldner, A1 Group: „Bei Cyber Security verhält es sich wie bei Compliance: es ist eine Frage der Haltung. Mitarbeiter:innen müssen profund geschult werden, was die technologischen Grundlagen anbelangt und sie müssen hinsichtlich Risikobewusstsein und Mindset sensibilisiert werden. Wir haben die Wichtigkeit des Themas erkannt und Security in der A1 Gruppenstrategie verankert.“

Klaus Steinmaurer, RTR Fachbereich Telekom & Post: „Wo es Licht gibt, da ist auch Schatten. Leider wird es im Internet immer schattiger. Network Security ist daher heute ein "must have" und kein „nice to have“ mehr. Wir müssen dabei auch zwischen unterschiedlichen Akteuren im virtuellen kriminellen Raum unterscheiden. Da gibt es private und staatliche Player, die Sicherheitslücken für ganz unterschiedliche Interessen nutzen. Gerade die Betreiber von Netzinfrastruktur trifft eine besondere Verantwortung in Fragen der Cybersicherheit, bei der es nicht nur um die Sicherheit einzelner Kund:innen geht, sondern Sicherheit und Integrität der Netze gleichzeitig auch von staatlichem Interesse sein muss. Als Telekomregulierer ist es dabei unsere Aufgabe die Einhaltung der vom Gesetzgeber verlangten Sicherheitsmaßnahmen in Netzen zu monitoren und gegebenenfalls auch einzugreifen, wenn es notwendig ist.“

Richard Malovic, Whalebone: „Unsere Vision ist es, 1 Milliarde Kunden und Kundinnen zu schützen und wir glauben fest an unser Markenversprechen ´connected bedeutet protected´. Jeder einzelne vernetzte Nutzer verdient es, bestmöglich geschützt zu werden.“

Isabell Claus, thinkers.ai: „Die rasanten Entwicklungen im Bereich KI müssen von umfassenden Sicherheitslösungen und Sicherheitswissen begleitet werden, die auf allen Ebenen der Wirtschaft, Politik und Gesellschaft etabliert werden müssen.“

Ronke Babajide, Fortinet: „Eine der größten Sicherheitslücken ist gegenwärtig trotz aller Securitytechnik, die wir haben, immer noch der Mensch. 80 bis 90% aller erfolgreichen Angriffe sind dadurch erfolgreich, dass irgendjemand irgendwann einen Fehler gemacht hat. Ein weiteres großes Problem, das ebenfalls kein technisches ist, ist der Fachkräftemangel, der immer größer wird. Es fehlen uns die Menschen, die unsere Systeme betreiben damit wir uns schützen können. Das ist ein gesellschaftliches Thema, das meiner Meinung nach breit diskutiert werden muss.”

Fazit
Durch die zunehmende Vernetzung von Geräten im Internet der Dinge und die rasante technologische Entwicklung steigt das Bedrohungspotenzial und die Anforderung an Unternehmen im Bereich Cyber Security. Flächendeckende Maßnahmen sind teils aufwändig, kostenintensiv und schwer umzusetzen. Umso wichtiger ist es, Mitarbeiter:innen und Kund:innen zu schulen, sensibel auf die Thematik zu machen und entsprechende Maßnahmen wie Services oder Consulting einzusetzen. Cyber Security hat sich von einem IT-Thema auf die Managementebene verlagert und ist strategische Führungsaufgabe. Das geht einher mit entsprechenden Schulungsmaßnahmen und Investitionen, die auch von staatlicher Seite gefördert werden sollten. Die handelnden Akteure sollten sich damit auseinandersetzen, wie das Gefahrenpotenzial minimiert und für ausreichend Resilienz gesorgt werden kann.

Glossar

Malware: Kurz für „malicious (bösartige) Software", daher oftmals auch als Schadsoftware bezeichnet.

Cybercrime-as-a-Service: Online-Abzocke auf Bestellung. Ransomware-Akteure haben mittlerweile einen IT-Betrieb wie ein Unternehmen am Laufen.

FluBot ist ein Spam-Bot, der sich im Zuge einer Smishing Kampagne verbreitet und automatisiert Malware ausspielt. Die Malware soll Login-Daten zum Online-Banking von Smartphones stehlen.

Fraud Call ist die Nutzung von Telekommunikationsprodukten oder -diensten mit der Absicht, illegal Geld von einem Telekommunikationsunternehmen oder dessen Kunden zu erlangen oder nicht zu bezahlen.

Call-Bots: Computerprogramme, um potenzielle Opfer anzurufen und sie mit einer Tonbandaufnahme, meist in Englisch, zu konfrontieren. Die Nummer, die auf dem Display der Angerufenen erscheint, ist mit technischen Mitteln gefälscht („Spoofing“) und daher nicht rückverfolgbar.

Phishing: Versand gefälschter E-Mails. Phishing-Mails zielen häufig darauf, z.B. an Finanzinformationen, Zugangsdaten oder andere sensible Daten zu kommen oder den Nutzer z.B. zur Ausführung einer schädlichen Aktion zu bewegen. 

Social-Engineering: Zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.

Ransomware: Von englisch ransom für „Lösegeld“. Sind Schadprogramme, mit deren Hilfe ein Eindringling den Zugriff auf Daten, deren Nutzung oder auf das ganze Computersystem verhindern kann. Private Daten werden auf fremdem Computer verschlüsselt oder Zugriff auf sie verhindert, um für Entschlüsselung oder Freigabe Lösegeld zu fordern.

Brute-Force-Angriff: Versuch, ein Passwort oder einen Benutzernamen zu knacken oder eine verborgene Webseite oder den Schlüssel zu finden, mit dem eine Nachricht verschlüsselt wurde. Dabei wird mit maschineller Unterstützung nach dem Trial-and-Error-Prinzip vorgegangen, die gewünschten Informationen irgendwann zu erraten.