Irgendetwas stimmte mit dem Outlook nicht. An jenem schicksalhaften Wochenende im Oktober bemerkte der diensthabende Mitarbeiter der Hausbesorger-Firma Attensam, dass er nicht wie gewohnt auf die Kontakte seines E-Mail-Programms zugreifen konnte. Auch beim Öffnen von Dateien gab es Probleme. Ein klarer Fall für den hauseigenen EDV-Experten, der ausrücken musste, um den Defekt zu beheben. Nach zwei Stunden war klar: Es handelte sich nicht um einen Fehler. Attensam war soeben gehackt worden. Alle Daten waren verschlüsselt und ein Erpresser hatte auf dem Server eine Lösegeldforderung in Höhe eines mittleren sechsstelligen Eurobetrags hinterlassen.

Cyberkriminalität ist in den vergangenen Jahren bedrohlich angestiegen. 2021 verzeichnete Wien eine Zunahme um mehr als 20 Prozent. Die Zahl ist alarmierend in einer Welt, in der man an sich schon täglich Meldungen über erfolgreiche Hacker-Angriffe vernimmt. Doch für viele ist es ein Thema, das ohnedies nur die anderen betrifft - andere, die unvorsichtiger sind, oder interessanter für Hacker. Das dachte man auch bei der Firma Attensam.

"Wir haben nicht damit gerechnet, dass wir einem Angriff ausgesetzt werden könnten", sagt Peter Schrattenholzer, Geschäftsführer von Attensam Wien. Dabei war es aber nicht so, dass Attensam blauäugig oder ungeschützt unterwegs gewesen wäre. "Wir waren unserer Branche entsprechend angepasst", so Schrattenholzer. Eine eigene EDV-Abteilung, Antivirussoftware, Sicherungskopien - alles vorhanden. Und doch schaffte es ein Krimineller relativ problemlos, die ganze Abwehr auszuhebeln.

"Heute muss man sich nicht mehr fragen, ob, sondern wann man Opfer einer Cyberattacke wird", sagt Martin Heimhilcher, Obmann der Sparte Information und Consulting der Wirtschaftskammer Wien. Fast jedes vierte österreichische Unternehmen hat in den vergangenen fünf Jahren konkrete Angriffe auf Daten entdeckt, besagt eine Studie der Prüfungs- und Beratungsorganisation EY Österreich.

Gerade durch die Corona-Pandemie hat die Welt einen enormen Digitalisierungsschub erhalten. Vom Lebensmitteleinkauf über Homeoffice bis hin zu komplizierten Firmenabläufen: Internet und Computer bestimmen weit größere Gebiete unseres Lebens als noch vor zwei Jahren. Das erweitert gleichzeitig das Betätigungsfeld cyberkrimineller Geister.

Praktisch jeder, der über ein E-Mail-Konto verfügt, war schon einmal mit einem Angriff konfrontiert. E-Mails unbekannter Absender, die dazu auffordern, einen mitgeschickten Anhang zu öffnen, gehören mittlerweile zum Alltag des elektronischen Postempfangs.

Dabei gibt es viele Maßnahmen, die man treffen kann, um sich zu schützen - von Computerprogrammen bis zu Verträgen mit spezialisierten Unternehmen. Doch zu den wichtigsten zählen gesunder Menschenverstand und Zeit, zu überlegen.

"Das ist wie im nicht-virtuellen Leben", erklärt Martin Puaschitz von der gleichnamigen IT-Firma in Hütteldorf. "Sie gehen in Rio de Janeiro auf einer belebten und beleuchteten Straße am Abend spazieren. Plötzlich bittet Sie jemand aus einer dunklen Seitengasse heraus, näherzukommen. Er will Ihnen nämlich etwas zeigen, sagt er. Da werden Sie ja auch nicht hingehen." Ebenso müsse man sich bei E-Mails verhalten.

Gefahr nicht bewusst

Doch das Problem ist, dass sich viele der Gefahr nicht bewusst sind, sobald es ins Internet geht, beziehungsweise den Cyberspace. Da gibt es etwa den inzwischen weit verbreiteten Identitätsdiebstahl. Dabei gelingt es dem Hacker Daten zu erlangen, die es ihm erlauben, sich als das Opfer auszugeben. Das schafft er beispielsweise dadurch, dass er sich in einem E-Mail als Unternehmen - etwa eine Bank oder ein Onlinehändler - ausgibt. Er fordert das Opfer auf, über einen angezeigten Link sein Passwort zu ändern. Dabei handelt es sich aber natürlich nur um eine Scheinseite, über die das Opfer brühwarm sein Passwort aushändigt. Danach können in dessen Namen Nachrichten verschickt, Bestellungen aufgegeben und Transaktionen durchgeführt werden. Bei Unternehmen besonders beliebt sind Ransomware-Angriffe wie im Fall der Firma Attensam. Dabei werden Daten verschlüsselt und Lösegeld gefordert, um diese wieder freizugeben.

Vielen ist die Dimension gar nicht bewusst, die Cyberangriffe annehmen können. Denn Kriminellen ist nichts heilig. Das hat erst am Mittwoch die Attacke auf den Stephansdom gezeigt. Dass Hacker um zwei Uhr Früh die Festtagsglocken läuten ließen und die Nachbarschaft damit aufscheuchten, wird manch einem vielleicht noch ein Schmunzeln entlocken. Doch spätestens bei Leib und Leben hört sich der Spaß auf. Im Jänner hackten sich beispielsweise Unbekannte in das Netzwerk des Medizin Campus Bodensee, zu dem die Klinik Friedrichshafen gehört. Das Universitätsklinikum Düsseldorf wiederum konnte nach einem Ransomware-Angriff 13 Tage lang keine Notfallpatienten aufnehmen. Ermittlungen wegen fahrlässiger Tötung wurden aufgenommen. Fallengelassen wurden sie nur deshalb, weil man zum Schluss kam, dass eine Patientin, die wegen des Cyberangriffs zu einem anderen Krankenhaus umgeleitet werden musste, auch so gestorben wäre.

Der Untersuchungsbericht im Fall Düsseldorf verweist auf die von den Tätern benutzte Schadsoftware "DoppelPaymer". Diese soll von einer Hacker-Gruppe eingesetzt worden sein, die nach Einschätzung privater Sicherheitsunternehmen in der Russischen Föderation beheimatet ist. Vor dem Hintergrund des Krieges und der Sanktionen gegen Russland warnen derzeit europäische Regierungen vor der wachsenden Gefahr von Cyberangriffen. Branchenintern hört man, dass im Februar die Zahl der Cyberattacken abgenommen hat, ebenso wie Aktivitäten im Darknet (einem von offiziellen Stellen schwer kontrollierbaren Teil des Internets, der auch von Cyberkriminellen als Marktplatz genutzt wird). Manch einer vermutet, dass das auf russische Hacker zurückgehen soll, die sich bereits auf den Krieg mit der Ukraine vorbereitet haben. Umso wichtiger ist es, auf die zunehmende Problematik von Cyberangriffen aufmerksam zu machen. "Das Delikt muss wahrnehmbar werden", erklärt Martin Heimhilcher.

17.068 angezeigte Straftaten von Cyberkriminalität gab es 2021 in Wien offiziell; österreichweit waren es 410.957. Doch die Dunkelziffer ist sehr viel höher. Denn oft wird ein Fall nicht zur Anzeige gebracht, weil sich der Betroffene schämt, oder glaubt, dass es ohnedies nichts bringt. Dabei sollte jeder, der Opfer eines Cyberangriffs wird, das auch anzeigen. Geschieht das nicht, wird auch die Polizei keinen Fokus darauf legen.

"Wir kämpfen um den Stellenwert in der Exekutive, damit hier entsprechende Ressourcen zugewiesen werden, das strafrechtlich zu verfolgen", sagt Heimhilcher. Dass hier Luft nach oben ist, zeigt auch der Fall Attensam. "Die Polizei kommt in erster Linie, um sich das anzuschauen", sagt Schrattenholzer. Unmittelbare Hilfe ist hingegen nicht zu erwarten. Anzeigen helfen auch, Täterstrukturen zu erkennen. Beispielsweise, wenn bei Bestellungen auf fremden Namen ein bestimmtes Paketabholzentrum im Fokus ist. Dann kann die Polizei entsprechende Ermittlungen aufnehmen. Gibt es keine Anzeigen, tappt die Exekutive im Dunkeln.

Schaden in Milliardenhöhe

Der Gesamtschaden durch Cyber-Kriminalität lag 2020/2021 laut Branchen-Verband Bitkom alleine für die deutsche Wirtschaft bei 223 Milliarden Euro pro Jahr. Aktuelle Daten für Österreich liegen zwar nicht vor. Im Regelfall kann man jedoch von einem Faktor 10 ausgehen, sagt Puaschitz. Würde also mehr als 20 Milliarden Euro für Österreich bedeuten. Dabei zählt Deutschland noch zu den Ländern, in denen man am sichersten vor Cyberattacken ist. Laut dem Seon-Cybercrime-Report rangieren die nördlichen Nachbarn auf Platz 2 des Cybersicherheitsindices. Österreich rangiert hingegen auf Platz 17.

Sieht man sich mit kriminellen Geldforderungen aus dem Cyberspace konfrontiert, rät Puaschitz dringend davon ab, zu zahlen. "Dass man zahlt und seine Daten wieder erhält, ist sehr unwahrscheinlich." Viel wahrscheinlicher sei, dass man zahlt und nichts geschieht, weil der Angreifer das Entschlüsseln gar nicht vorgesehen hat, oder gar nicht kann. Oder man erhält - weil die Erpressung schon beim ersten Mal so gut funktioniert hat - gleich die nächste Geldforderung nachgeschickt. Außerdem kann man sich sicher sein, dass die gefundene Sicherheitslücke umgehend im Darknet angeboten werden wird. Was in kürzester Zeit Nachahmungstäter auf den Plan ruft.

Attensam hat auch nicht gezahlt. Das geforderte Lösegeld hat das Unternehmen stattdessen in die Aufrüstung seiner Sicherheitsinfrastruktur investiert und eine spezialisierte IT-Firma engagiert. Diese kümmert sich seither um den Schutz vor Cyberattacken. 7.000 Stunden wurden investiert, bis 85 Prozent der verschlüsselten Daten entschlüsselt werden konnten. Gleichzeitig ließ Attensam ein neues, sichereres System aufbauen. Auch in die Schulung des Personals wurde investiert: Erstellung sicherer Passwörter, keine offenen USB-Sticks von außen an die Firmen-EDV anschließen, sind inzwischen eine Selbstverständlichkeit bei Attensam. Doch zahlt sich dieser Aufwand überhaupt aus?

"Es geht schon auch um die Frage, wie dick der Riegel ist, den man vorschiebt", sagt Schrattenholzer. Eine Kerbe, in die auch Heimhilcher schlägt: "Sie lassen ja auch nicht einfach die Türe ihres Hauses offen." Er empfiehlt grundsätzlich jedem Betrieb, für einen professionellen IT-Schutz zu sorgen. "Natürlich können Sie die Bremsscheiben ihres Autos auch selbst wechseln. In der Regel werden Sie damit aber einen Fachmann betrauen."

Eine weitere Lehre hat Attensam aus dem Geschehenen gezogen: Das Unternehmen hat seither die wichtigsten Unterlagen auch in analoger Form gesichert. Denn Schrattenholzer weiß: "Auch heute gibt es keinen 100-prozentigen Schutz davor, dass das nicht wieder passiert."

Phishing: Versuch, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen.

Identitätsbetrug: Persönliche Daten werden gestohlen und missbraucht.

Schadprogramm (Malware): Computerprogramm, das aus Sicht des Opfers, unerwünschte und gegebenenfalls schädliche Funktionen ausführt.

Ransomware: Schadprogramm durch das der Zugriff auf Daten oder das ganze Computersystem verhindert wird. Dabei werden Daten auf dem fremden Computer verschlüsselt.

Cybererpressung: Hacker verlangen Geld, um erfolgreiche Angriffe durch Ransomware rückgängig zu machen.

Cryptojacking: Hacker verwenden die Ressourcen eines fremden Computers, um Kryptowährung zu generieren.

Denial of Services: Eine Webseite wird mit Anfragen bombardiert, bis sie abstürzt.

Hilfe bei Cyberkriminalität: Bundeskriminalamt - against-cybercrime@bmi.gv.at

Anzeigen können in jeder Polizeidienststelle erstattet werden.

Unternehmer können sich auch an die Cybersecurity-Hotline der Wirtschaftskammer wenden: 0800 888 133. Für Mitglieder ist der Service kostenlos.