Von Online-Geschäften, über eHealth bis zur Verkehrssteuerung – die Informations- und Kommunikationstechnologie (IKT) ist aus unserem Alltag längst nicht mehr wegzudenken. Was passiert aber, wenn Cyberangriffe das fragile System gefährden und welche Auswirkungen hätten sie auf unser Wirtschaftssystem? Report sprach mit Helmut Leopold, Leiter der Abteilung für Digitale Sicherheit im Forschungsinstitut AIT, über Gefahrenpotenziale und Lösungen.

1. Unsere Wirtschaft ist auf unternehmensübergreifender Ebene auf eine reibungslos funktionierende IKT-Struktur angewiesen. Man spricht gar vom Internet als Rückgrat der Gesellschaft. 2012 drohten Aktivisten des Hackernetzwerkes „Anonymous“ das gesamte Internet auszuschalten. Was halten Sie von solchen Drohungen? Ist das Panikmache oder sind diese ernst zu nehmen?

Helmut Leopold: Informations- und Kommunikationstechnologien haben sich zur zentralen Lebensader für alle unsere Lebensbereiche entwickelt. Und nachdem Bereiche wie Industrie 4.0 oder M2M-Kommunikation auf der Verfügbarkeit und auf das Funktionieren der IKT Infrastruktur aufbauen, müssen wir sie als grundlegend kritisch betrachten – gleichbedeutend mit der Verfügbarkeit der Stromversorgung! Damit steigt die Attraktivität, um Cyberattacken auszuführen und die negativen Konsequenzen für einzelne Unternehmen, aber auch ganze Staaten, können beträchtliche Dimensionen ausmachen.

2. Was wären konkrete Cyberbedrohungsbilder bzw. welche Risiken müssen Unternehmer fürchten?

Leopold: Essentielle Bedrohungen sind Betriebsspionage, Betriebssabotage, Erpressung, Kriminalität, aber auch Terrorismus und Cyber-Krieg. Dies führt zu einer grundlegenden Problemstellung in unserer Gesellschaft: Viele Unternehmen bzw. ganze Industriebereiche sind nicht ausreichend auf diese Entwicklung vorbereitet. Mit Wissen und Werkzeugen aus der Vergangenheit können wir Bedrohungen von Morgen nicht abwehren!

3. Inwiefern lassen sich Gefahren kalkulieren, vorhersagen und welche Lösungen hat man bisher gefunden?

Leopold: Eine ganz wesentliche Funktion wird das sogenannte Risikomanagement einnehmen. Unternehmen müssen ihre Systeme und ihr Unternehmen analysieren um festzustellen, welche Abhängigkeiten für ihr Geschäft und ihren Betrieb bestehen und welches Risiko durch mögliche Attacken entsteht. Dadurch kann man dann notwendige Investitionen und geeignete Gegenmaßnahmen fokussiert und zielgerichtet planen und einsetzen. Das ist auch ein spezieller Forschungsschwerpunkt im AIT.

4. Die Gefahrenpotenziale verdeutlichen, wie wichtig ein professionelles IT-Team für Unternehmen ist. Allerdings wollen oder können sich KMUs und vor allem auch kleinere Unternehmen aus Kostengründen kein eigenes IT-Team leisten. Wie sieht es mit Outsourcing aus?

Leopold: Der Trend IT-Funktionen virtuell aus der Cloud zu beziehen hat ökonomische, als auch innovationsbedingte Gründe. Es wird weniger notwendig in teure IT-Infrastrukturen zu investieren und man kommt mit weniger Spezial-IT-Wissen aus. Wichtig ist aber nun die Datenhoheit und Kontrolle der eigenen Daten durch die Kunden nachhaltig zu gewährleisten. Die Industrie arbeitet an Lösungen, um dies auch sicherzustellen: von speziellen IT-Architekturen, wie Private Cloud Systemen bis hin zu neuen Verschlüsselungstechniken.

5. Wie sieht es mit der Sensibilisierung der Bevölkerung bzw. der Unternehmer für diese Gefahren aus? Haben wir als Laien ein realistisches Bild von den Ausmaßen oder sind wir noch leichte Opfer?

Leopold: Die ganze Digitalisierung und Vernetzung auf unserem Planeten hat in einer sehr kurzen Zeit der letzten 15 Jahre den ganzen Globus erreicht. Wir wurden als Gesellschaft dadurch überrascht und haben noch nicht ausreichende Regeln oder auch ein ausreichendes Bewusstsein im Umgang mit der neuen Technik entwickelt. Hier besteht noch ein wesentlicher Aufholbedarf. Eine grundsätzlich wichtige Funktion, um IT-Sicherheit zu erhöhen, liegt im Verhalten der Benutzer der technischen Systeme. Einerseits hat Sicherheit immer mit etwas mehr Aufwand zu tun, zum Beispiel mit unbequemerer Bedienung oder höheren Kosten. Andererseits sind die Bedrohungspotentiale vielen Personen nicht klar. Dafür müssen alle Stakeholder – Unternehmen, Wissenschaft, Forschung, aber auch Schule und Ausbildung eng zusammenarbeiten, damit der gemeinsame Erkenntnisgewinn und die Lernkurve aller Internetanwender wesentlich verbessert werden kann.