Erstellt am: 5. 6. 2013 - 13:49 Uhr
Eine Roadshow gegen Cyberspionage
Einfaches Passwort-Cracken, Angriffsformen über Soziale Netze, Suche nach Schwachstellen in Firmennetzen - was sich wie der Ablauf einer Hackerkonferenz liest, ist ein Auszug aus dem Programm der neuen Roadshow des Kuratoriums Sicheres Österreich (KSÖ). Die startet am 27. Juni in Linz und richtet sich weniger an Techniker sondern an die Geschäftsführer kleiner bis mittelständischer Unternehmen.
"Unser Ziel ist, dass die Firmenchefs danach wissen, welche Fragen sie zum Thema Datensicherheit an ihren IT-Dienstleister oder die eigene Technik stellen müssen", sagte Christian Kunstmann, Generalsekretär des KSÖ zu ORF.at. Im 21. Jahrhundert gehe es für Unternehmer nicht mehr an, das Thema als Ganzes an die Technik zu delegieren.
Ein solcher Zugang sei allerdings noch immer an der Tagesordnung, wie es immer noch vorkäme, dass Mitarbeiter die Telefonverzeichnisse der Firma aus Unwissenheit auf Facebook hochladen würden.
Das Internet und das wirkliche Leben
"Es braucht klare Sicherheitsvorgaben und wir sind sehr optimistisch, dass wir zur Entscheidungsfindung beitragen können", so Kunstmann weiter, was aber nicht mit Kommunikationsverboten für Soziale Netze oder Überwachung gleichzusetzen sei. "Für zu viele Mitarbeiter aber auch Firmenchefs ist einfach noch nicht klar, dass im Internet dieselben Sorgfaltsregeln gelten müssen, wie im wirklichen Leben", sagte der Generalsekretär des KSÖ.
Die kleinteilig strukturierten österreichischen Unternehmen (KMUs) sehen sich nämlich jetzt mit Problemen konfrontiert, die davor vor allem Großfirmen betroffen hatten. Sie werden gezielt angegriffen, wobei das Spektrum der Angreifer von Kleinkriminellen bis zu Wirtschaftsspionen reicht. "Es wird ihnen einfach zu leicht gemacht, im realen Leben gibt man ja auch nicht sein Firmenadressbuch an der Supermarktkassa ab, oder lässt eine Hintertür ins Firmengebäude absichtlich offen."
Kriminelle und KMUs
Diese rasch akut gewordene Gefährdungslage des österreichischen Firmenmittelstands hat zwei einfache Gründe. Da Angriffe auf Großfirmen - die ertragreichsten Ziele - zunehmend schwieriger werden, richten sich die kriminellen Energien zunehmend auf den KMU-Sektor. Dort gibt es ganz verschiedene Daten, die obendrein unzureichend bis gar nicht abgesichert sind, aber auf den schwarzen Datenhandelsmärkten im Netz an Betrüger verschiedenen Kalibers verkauft werden können.
Die Hürden für diese Art von Angriffen müssten ganz einfacher höher gelegt werden , sagt Kunstmann und das sei nun einmal primär nicht eine Frage der Technik, sondern eine der Methodik. In puncto IT-Sicherheit sei nur eine ganzheitliche Strategie zielführend, da zwischen isoliert eingezogenen Lösungen für IT-Teilbereiche, die Sicherheitslücken quasi vorprogrammiert seien.
Die Firmennetze von Österreichs KMUs seien für professionelle Angreifer gerade aus dem staatlichen Sektor "offen wie ein Scheunentor", sagte Gert-Rene Polli zu ORF.at. Der ehemalige Direktor des Bundesamts für Verfassungsschutz und Terrorbekämpfung im Innenministerium sprach damit nur aus, was für den harten Kern der Sicherheitsbranche längst Common Sense ist.
Von "EDV" zur IT
Warum KMUs diese Probleme, mit denen sich die Industrie seit Jahren herumschlägt, gerade jetzt massiv bekommen, ist auch auf die Kumulierung einer ganzen Reihe von firmeninternen Faktoren zurückzuführen.
Zum einen sind die Entwicklungen in der ehedem "EDV" genannten Informationstechnologie so rasch verlaufen, dass kleinere Unternehmen schon Mühe hatten, da überhaupt mitzuhalten. Für die Sicherheit waren ohnehin Virenscanner, eine Firewall und die Technikdiensleister zuständig.
Ab dem Jahr 2008 war in KMUs dann erst recht wenig Zeit, sich mit einer Anpassung des Sicherheitsniveaus an die aktuellen Gegebenheiten zu beschäftigen. Angesichts der allgemeinen Wirtschaftslage waren Budgets knapp, da galt es eher, schnell eine Präsenz auf Facebook einzurichten, womit sich eine neue Form Bedrohung auftat. Mit der rasanten Entwicklung von Smartphones und Tablets wurden in den Firmennetzen weitere Sicherheitslücken aufgerissen. Viel zu vielen Firmenchefs seien diese Bedrohungen leider einfach unbekannt, sagt Kunstmann.
Der kriminelle Untergrund
Im selben Zeitraum hatte sich auf der Gegenseite eine Entwicklung abgespielt, die dem technischen Fortschritt nur wenig an Geschwindigkeit nachstand. Der kriminelle Untergrund des Internets war nicht zuletzt wegen der vielen Angriffschancen, zu denen laufend neue hinzukommen, ebenfalls rasant gewachsen.
Anfang Juli startet das Qualifying für die zweite Ausgabe der Cyber Security Challenge 2013, ein Hackerwettbewerb für Schüler und Studenten. Veranstalter sind die hier bereits des öfteren zitierten Experten des Vereins Cyber Security Austria, Unterstützer sind unter anderen KSÖ, BMI und das Bundesheer.
Der steigende Grad der Quervernetzung mit Mobilgeräten wiederum vervielfacht die Einstiegsmöglichkeiten für digitale Einbrecher, Soziale Netze sind zudem wie gemacht dafür, ahnungslose Zielpersonen auszuspionieren.
Wie eingebrochen wird
Angreifer kommen in der Regel eben nicht über die Firewall ins Firmennetz, sondern zum Beispiel über die offene Schnittstelle eines Druckers. Den hatte man absichtlich nicht hinter die Firewall gehängt, weil es für einige Mitarbeiter da Probleme gab, darauf zuzugreifen.
Ebensogut können die Einbrecher auch über eine praktische, neue App auf dem Smartphone des Vertriebsleiters einsteigen, oder sie kommen über das Web-Interface zur Steuerung der neuen Heizanlage ins Firmennetz.
Dreifache Gefährdung
"Die Folgen können für kleine Unternehmen absolut dramatisch sein", sagt Kunstmann, "einmal nicht Aufpassen bedeutet dreifache Gefährdung des Unternehmens". Firmen mit speziellem Knowhow auf ihrem Fachgebiet verlieren diesen Vorsprung vor der Konkurrenz auf einen Schlag. Dazu komme die Haftung für die gestohlenen Daten von Kunden bzw. Firmenpartnern, da alle Unternehmen Daten von Dritten verarbeiten müssen. Dazu komme noch ein Imageverlust, wenn der Datendiebstahl ruchbar werde.
Das Kuratorium Sicheres Österreich wird bei der Roadshow vor allem von der Wirtschaftskammer und dem Innenministerium unterstützt. Wie auch die Security Challenge gehen diese Veranstaltungen auf einen 2011 erstellten überinstitutionellen Masterplan zurück.
Halbwegs verlässliche Schätzungen über das aktuelle Ausmaß dieser Angriffe auf Firmen gibt es nicht, von Statistiken ganz zu schweigen. Das liege schon einmal daran, dass viele der so Bestohlenen überhaupt nicht wüssten, dass ein Einbruch stattgefunden habe, sagt Kunstmann.
Das sagt die Industrie
"Zu quantifizieren ist das kaum, da wir keine verlässlichen Daten dazu haben", sagte Raphael Draschtak von der Industriellenvereinigung auf Anfrage von ORF.at. Firmen, die mit solchen Vorfällen konfrontiert seien, hätten naturgemäß wenig Interesse, dies an die Öffentlichkeit zu bringen.
Mit den Problemen, die auf die kleineren Firmen zukommen, hat die Industrie schon länger zu kämpfen. "Sicherung kritischer Infrastruktur, Cybersecurity und Abwehr von Industriespionage werden bei uns deshalb als ein zusammengehöriger Problemkomplex gesehen" so Draschtak weiter "dagegen können nur ganzheitliche Ansätze funktionieren."
Erst in der vergangenen Woche war die Gründung des Cyber Security Forums Österreich bekannt gegeben worden. Diese Initiative zielt auf die Informationsbedürfnisse großer Unternehmen ab. Unterstützer sind KSÖ, WKÖ und BMI.
Regelung auf EU-Ebene
Mit dem Problem, dass die Sicherheitsstrukturen während der letzten Jahre gegenüber dem rasant anwachsenden Datenvolumen und der ebenso schnellen technischen Entwicklung zurückgefallen sind, ist Österreich nicht allein. Die Problemlage ist quer durch Europa sehr ähnlich.
Auf EU-Ebene wird jetzt erst in der Novelle zum Datenschutzpaket geregelt, welche Meldepflichten es für Datendiebstähle in Firmen gibt. Auch in Brüssel gibt es kein irgendwie verlässliches Zahlenmaterial. Die Ergebnisse aller Schätzungen für die EU-weit entstandenen Schäden durch Cyberkriminalität bis Wirtschaftsspionage liegen irgendwo im dreistelligen Milliardenbereich.
Die weiteren Stationen der Roadshow des Kuratoriums Sicheres Österreich in den Bundesländern werden gerade erst fixiert. Angesichts der schnellen Veränderungen in der Bedrohungslage, sei ab 2014 ein jährlicher Event geplant, so Kunstmann abschließend.