Zunehmende Ökonomisierung der Cyberattacken - EU-Richtlinie für eine höhere Netz- und Informationssicherheit wird verabschiedet.
Wien. So viel vorweg: Ein hundertprozentiger Schutz ist nie möglich. Die Zahl der Untersuchungen im Bereich der Cyberkriminalität steigt aber rasant an. Dem aktuellen Internet-Sicherheitsbericht 2015 des Computer Emergency Response Teams (Cert.at) und GovCert Austria zufolge gab es im Vorjahr 95.029 Untersuchungen zu konkreten Verdachtsfällen. Im Jahr 2010 waren es 5702. Gleichzeitig nehmen aber auch die Cyberattacken zu. Laut Virenschutzhersteller Kaspersky hatte 2015 mehr als die Hälfte der weltweiten Rechner in Unternehmensnetzwerken, nämlich 58 Prozent, mindestens eine Malwareattacke.
In Österreich sei vor allem ein Trend zur Ökonomisierung der Cyberattacken zu erkennen, sagte Sonja Steßl (SPÖ), Staatssekretärin für Digitales, am Montag im Zuge der Präsentation des Berichts. Gestohlene Daten würden verkauft, der Untergrundmarkt floriere.
Um die Muster, wie die Täter vorgehen, besser studieren zu können, wird laut Steßl spätestens im März die sogenannte NIS-Richtlinie auf EU-Ebene verabschiedet, die in das nationale Recht einfließen wird. Die Länder haben dann 21 Monate für die Umsetzung Zeit. Dabei geht es um Maßnahmen, die eine hohe gemeinsame Netz- und Informationssicherheit gewährleisten. Ein wesentlicher Punkt dabei: Private und öffentliche Stellen sind künftig zur Meldung größerer Störfälle an das Bundeskanzleramt verpflichtet. Im Moment sind gemäß dem Datenschutzgesetz nur die Betroffenen selbst zu informieren, wenn diesen Schaden droht. Eine Meldung an das Bundeskanzleramt passiert noch auf freiwilliger Basis - und dadurch häufig nicht. "Einige Unternehmen melden nicht, weil das rufschädigend wäre", sagte Steßl.
Umsatzeinbruch und Sinken des Aktienkurses befürchtet
Unternehmen fürchten freilich eine solche Meldepflicht. Günther Ofner etwa, Vorstandsdirektor des Flughafens Wien, sieht einen Umsatzeinbruch sowie das Sinken des Aktienkurses als mögliche Konsequenzen. Er spricht sich daher dafür aus, "die Meldepflicht nur in einem notwendigen gesetzlichen Maß zu regeln", um eine effektive Bedrohung sichtbar zu machen.
Die Pflicht, Hackerangriffe zu melden und präventiv Sicherheitsmaßnahmen zu setzen, rückt aber unweigerlich näher. Gleichzeitig wird nämlich laut Steßl an der Erstellung eines Cyber Sicherheitsgesetzes gearbeitet, das die österreichische Strategie mit der NIS-Richtlinie zusammenführen soll. Bereits jetzt gibt es eine Cyber Sicherheit Plattform im Bundeskanzleramt, um die Kooperation zwischen den Ministerien unter Einbindung von Wissenschaft und Forschung voranzutreiben.
Die Zeit drängt. Denn den Tätern geht es immer mehr ums Geld. Um viel Geld. 2015 gab es in Österreich etwa sechs Angriffe auf Unternehmen, wo finanzielle Schäden im sechs- und siebenstelligen Euro-Bereich verursacht wurden, sagte Cert.at-Leiter Robert Schischka. Davor wurden die Unternehmensabläufe gezielt mittels Schadsoftware ausspioniert.
Weiter im Trend seien die DDoS-Attacken, bei denen Server diverser Firmen lahmgelegt werden, um diese danach erpressen zu können. Im Privatbereich sind laut Schischka die per E-Mail zugestellten gefälschten Rechnungen ein beständiges Problem. Erschreckend viele würden noch immer auf die beigefügten schädlichen Attachements klicken.