Experten fordern breite Debatte über Bedrohung und Schutzmaßnahmen.
Wien. Wie von Geisterhand füllt sich das Kommandozeile mit Befehlen. Etliche Nummern rattern über den Bildschirm. Nach einigen Fehlversuchen gelingt schließlich das "Login": Der Hacker hat sich erfolgreich Zugang zu seinem Zielcomputer verschafft – und kann mit diesem nun anstellen, was ihm beliebt. Das Szenario, mit dem das IT-Beratungsunternehmen CSC Austria einen Hacking-Angriff gegen einen Unternehmensrechner simulierte, ist bewusst einfach gehalten. Und zugleich doch realitätsnah. Denn weil in Österreich die Bedrohung durch Cybercrime immer noch unterschätzt wird, sind heimische Betriebe vielfach willkommene Ziele für Datendiebe, Cyber-Vandalen und Industriespione.
"Jede Organisation, die wir kennen, ist in irgendeiner Form schon kompromittiert oder gehackt worden", bringt Philipp Müller, Cybersecurity-Experte bei CSC, die Dramatik der Situation auf den Punkt. Laut der neuesten Hewlett Packard-Studie "Cost of Cyber Crime" werden deutsche Unternehmen und Behörden im Schnitt einmal pro Woche erfolgreich attackiert. Eine Kennziffer, die auch auf Österreich umzulegen ist, wie Müller betont.
Unternehmen jeder Größenordnung betroffen
Im Fadenkreuz sind dabei keineswegs nur jene Unternehmen, die im globalen Wettbewerb stehen und damit hinsichtlich Betriebsspionage und Patente besondere Begehrlichkeiten wecken, sondern auch der kleinere Mittelstand. So können selbst Kleinstunternehmen, die etwa über Kundenlisten mit Bankdaten verfügen, die Aufmerksamkeit von Hackern auf sich ziehen. Als typisches Angriffsszenario gilt auch hierzulande ferner, dass ein Unternehmen einzelne Mitbewerber schädigen will – und dafür im inzwischen professionalisierten Hackinggewerbe Sabotageakte oder Spionage in Auftrag gibt.
Letzteres sei auch in Österreich längst Realität, wie Wieland Alge, Manager beim Security-Spezialisten Barracuda Networks, im Gespräch mit der "Wiener Zeitung" bestätigt. Zum einen richtet sich die gegen jene mittelständischen und größeren High-Tech-Unternehmen, die am Weltmarkt präsent sind. "Da bedeutet Cyber-Spionage ganz konkret das Aufspüren und den Raub von geistigem Eigentum und Patenten" sagt Alge und fügt kritisch hinzu: "Es gibt Staaten wie China und den Iran, die derartige Dinge als Kernbestandteil ihrer Wirtschaftspolitik sehen." Doch auch kleinere Unternehmen sind im Visier: In Österreich gibt es auch die ’kleinere‘ Industriespionage: Bei Bauunternehmen kam es etwa zu Versuchen, bei Mitbewerbern die Angebote für Ausschreibungen in Erfahrung zu bringen, um daraus Nutzen zu schlagen."
Auf dem Spiel steht dabei deutlich mehr als lediglich die Integrität der IT-Abteilung: "Unsere Wirtschaft ist in großen Teilen von der IT abhängig", erinnert Müller. Von Kundeninformationen über Betriebsgeheimnisse bis hin zur Aufrechterhaltung der eigentlichen Produktionsprozesse schafft die Digitalisierung aller Unternehmensbereiche auch eine Angreifbarkeit auf vielen Ebenen. Sich dagegen zu wappnen, fällt freilich schwer. So können Firewall und ein aktuelles Antiviren-Programm alleine einer professionell ausgeführten Attacke kaum standhalten. "Keine Software ist fehlerfrei", gibt Andreas Schaupp, bei CSC zuständig für Cybersecurity in Österreich und Osteuropa, zu bedenken und berichtet:. "Pro Tag werden durch neue Produkte oder Geräte etwa 20 neue Schwachstellen eröffnet – und viele davon erst dann bekannt, wenn sie schon für Angriffe ausgenutzt werden".
Tatsächlich sehen viele Experten bei der Bewältigung der Cyberbedrohung daher nicht nur die Unternehmen, sondern auch die Gesellschaft in der Pflicht. "Eine einfache Verteidigung reicht nicht mehr aus", sagt Müller. "Wir brauchen ein System und eine breite Diskussion auf strategischer Ebene", fordert der Sicherheitsexperte. Die Fälle erfolgreicher Hacking-Angriffe, die betroffene Unternehmen an die Öffentlichkeit dringen lassen, wären "nur die Spitze des Eisbergs", ist Schaupp überzeugt: Aus Angst vor dem drohenden Imageverlust würden viele gehackte Betriebe nur ungern öffentlich über ihre Sicherheitsversäumnisse reden. Es gelte daher, die gemeinsamen Erfahrungen auch zu teilen. Das passiere zwar, wie Schaupp berichtet, in einzelnen Bereichen wie der Finanzbranche bereits jetzt, müsse aber noch ausgebaut werden.
Von politischer Seite wurden diese Missstände übrigens bereits registriert. Mit einzelnen Sicherheitsstrategie-Initiativen versuchen inzwischen Innenministerium, Bundesheer und Bundeskanzerlamt der Problematik Herr zu werden. Von jeder Verantwortung lossagen können sich einzelne Betriebe freilich aber nicht. "Das Unternehmen muss sich schon selber bestmöglich schützen", sagt Alge. Und fügt hinzu: "Das Verschließen der eigenen Haustür ja auch nicht die Polizei übernommen."