Beim einem Publikumsgespräch der Deutschen Handelskammer wurden Motive sowie technische und rechtliche Risiken bei Cyberangriffen beleuchtet.

Ein Cyberangriff kann jedes Unternehmen treffen, egal welcher Größe. Ein Business-Talk der Deutschen Handelskammer in Österreich (DHK) am 19. September in Wien beleuchtete, welche Aspekte hinter einem Hackerangriff stecken können und was die neue Cybersicherheits-Richtlinie NIS 2 der EU für Unternehmen bedeutet. 

Edith Huber, Seniorresearcher für Sicherheitsforschung und Cyberkriminologie, Universität für Weiterbildung in Krems, räumte mit dem Vorurteil des Cyberkriminellen als IT-Nerd in Kapuzenpullover auf. »Die Täter findet man weltweit in fast allen Gruppierungen, angefangen von Kindern bis zu Geschäftsleuten, viele haben auch gar keine IT-Ausbildung.« Oft stünde hinter einer Ransomware-Attacke eine ganze Lieferkette, in der sich nicht jeder strafbar machen würde: Produzent*innen von Verschlüsselungssoftware, Verkäufer*innen und eben Anwender*innen. Die Motive für Cyberkriminalität sind laut Huber ebenfalls vielschichtig und vom jeweiligen Delikt abhängig. Finanzielle Reize seien ebenso ein Grund wie politische Motive oder persönliche Rache, etwa von Mitarbeiter*innen. 

Für Aron Molnar, Security-Tester und Gründer von Syslifters, können Sicherheitsüberprüfungen, sogenannte Penetration-Testings, viele Folgeschäden verhindern. »Ein Ransomware-Angriff kostet viel, wenn das Unternehmen lahmgelegt ist, Umsatz entgeht oder Deals nicht abgeschlossen werden können.«

Laut Molnar sollen Unternehmen ihre Mitarbeiter*innen schulen, man könne diese aber nie zu Expert*innen machen. Jedenfalls seien sie nicht die »Last Line of Defense«. Der Experte: »Dass ein Computer infiziert wird, ist nur eine Frage der Zeit. Wichtiger ist aber die Frage: Was passiert dann? Kann sich der Hacker im ganzen Firmennetzwerk ausbreiten, und Schadsoftware ausrollen oder hindert ihn die Technik daran?«

Yuyun Yao, Leiter IT Betrieb & Infrastruktur bei der Flughafen Wien AG, berichtete über die Cybersicherheit am Wiener Flughafen. »Wir müssen zwei Aspekte beachten: die Aufrechterhaltung der IT-Systeme wie Check-in-Systeme, E-Gates oder Quickboarding-Gates und die Einhaltung von Compliance-Themen.« Überraschend war die Vielfalt an Motiven für Cyberangriffe auf den Flughafen, die Yao anführte. Sie reicht von politischen über finanzielle Motive bis zu Unzufriedenheit bei Passagier*innen. Typischerweise finden die Angriffe zu Randzeiten, etwa am Freitag oder an Wochenenden statt, »weil da weniger Personal da ist, um die Angriffe abzuwehren«, vermutet Yao.

Rechtsanwalt Michael Röhsner hat sich bei Eversheds Sutherland auf IT-Recht, Datenschutz und Cybersicherheit spezialisiert. »Die meisten Betroffenen denken bei einem Cyberangriff sofort an Strafen aufgrund der DSGVO oder an potenzielle Schadenersatzforderungen von Kunden. Das Hauptproblem in vielen Fällen sind aber die indirekten Schäden, wenn Unternehmen etwa ihren Lieferverpflichtungen nicht mehr nachkommen können«, weiß Röhsner.

Um sich rechtlich bestmöglich vor Cyberattacken zu schützen, empfiehlt er ein datenschutzrechtliches Löschkonzept – alles, was gelöscht ist, kann man nicht stehlen – sowie den Abschluss einer Cybersecurity-Versicherung. Und zu NIS 2: »Unternehmen müssen gewisse Cyberhygiene-Maßnahmen treffen, die über eine bloße Checkliste hinausgehen. Darüber hinaus wird Cybersicherheit zur Managementaufgabe, die man nicht mehr vollständig delegieren kann. Und es gibt extrem scharfe Meldepflichten.« Der Rechtsexperte rät Betrieben, zu prüfen, ob sie unter den Anwendungsbereich der Richtlinie fallen, und sich vorzubereiten. Bis Oktober 2024 muss Österreich die Richtlinie in nationales Recht umsetzen.



Bilder: DHK/Günther Peroutka