- © Stanislav Jenis
© Stanislav Jenis

"Wiener Zeitung": Der Cybercrime Report 2014 weist aus, dass das Sicherheitsbewusstsein der Österreicher, was den Schutz ihrer Daten betrifft, im Vergleich zum EU-Durchschnitt besser ausgeprägt ist. Ist das auch in Unternehmen der Fall?

Leopold Löschl: Uns fällt auf, dass die österreichischen Unternehmen eigentlich ganz gut informiert sind, die Thematik ist aber so breit, so umfassend und so schnelllebig, dass hier nie genug Information stattfinden kann. Durch die Medienberichte über große Fälle und sehr umfangreiche Schäden in der letzten Zeit ist das Interesse der Unternehmen gestiegen, allerdings sind das Sicherheitsbewusstsein und der Bedarf an Know-how in diesem Bereich noch sehr verbesserungswürdig.

Laut einer Erhebung von Kaspersky mussten im Jahr 2015 weltweit 58 Prozent der Rechner in Unternehmensnetzwerken mindestens eine Malware-Attacke überstehen. Wie verhält es sich in Österreich?

Das findet sich nicht in der Polizeistatistik. Aber Malware ist im Regelfall nicht auf Unternehmen zugeschnitten, sondern wird in die Breite gestreut. Eine auf ein Unternehmen maßgeschneiderte Malware kommt sehr selten vor, man kann sich aber auch nur schwer dagegen schützen. Diese Attacken sind meist über Monate vorbereitet, es wird gezielt nach Schwächen im System gesucht. Selbst wenn Unternehmen einen hohen Sicherheitslevel haben, erwischt sie so etwas oft unvorbereitet, dann kann man nur sehr schwer etwas dagegen machen.

Viele werden es auch einfach probieren und gehen dann dort hinein, wo es leicht geht.

Ja, vor einigen Jahren ist ein 14-Jähriger innerhalb von drei Monaten in mehr als 250 Firmen eingebrochen, darunter auch in sehr große Unternehmen in Österreich und international. Er war kein Cybergenie, er war ein Videospieler, dem die Oma zu Weihnachten einen Laptop geschenkt hat. Das war für ihn ein Spiel, er hat auch nichts in den Firmennetzwerken gemacht. Aber er war auf einer Plattform mit über 1000 Hackern, wo er es unter die Top 30 geschafft hat. Daran sieht man aber, dass es mit dem Schutzniveau international und national nicht so gut bestellt ist. Er hat immer denselben Fehler ausgenutzt - die Anleitung und die Software dazu hat er im Internet gefunden.

Mit welchen wirtschaftlichen Folgen über den finanziellen Verlust hinaus müssen Unternehmen rechnen, die Opfer werden?

Man geht davon aus, dass die Folgeschäden den eigentlichen finanziellen Schaden bei weitem überwiegen. Die Schäden können verschiedenster Natur sein, es kann sein, dass Daten verschlüsselt werden und man nicht mehr darauf zugreifen kann. Zum Beispiel hatten wir eine Medienagentur, die plötzlich auf sehr wertvolle Fotos nicht mehr zugreifen konnte. Aber es kann sich auch um Finanzdaten handeln, die man für die Steuer braucht, es können Auftragsdaten sein oder Ähnliches. Je nach Größe des Unternehmens kann das sehr schnell existenzbedrohend werden. Ein wesentlicher Schaden ist auch der Ausfall des Systems: Wenn ich Pech habe, muss ich mein System herunterfahren und bin über das Internet vielleicht tagelang nicht erreichbar, dazu muss ich noch eine Firma kommen lassen, die das System bereinigen und im Extremfall vielleicht sogar Komponenten austauschen muss. Auch die Reputation spielt eine Rolle. Die Schadenssummen an sich bewegen sich zwischen 5000 und 100.000 Euro, zuletzt gab es aber auch Ausreißer bis in die Millionen.

Raten Sie dazu, Lösegelder zu zahlen, wenn Unternehmensdaten gesperrt werden?

Wir können dem Bürger eine gewisse Eigenverantwortung nicht abnehmen. Gerade bei Erpressungen über das Internet wiegen sich viele in einer falschen Sicherheit. Sie glauben geschützt zu sein, weil sie ein Backup haben, aber im Prinzip können alle Laufwerke von einer Verschlüsselung betroffen sein. Dann gibt es eine Information, dass man 24 Stunden Zeit hat, eine gewisse Summe zu zahlen, danach vervier- oder verfünffacht sich die Summe. Wenn man dann immer noch nicht zahlt, ist es ganz aus. Die Problematik dabei: Es kann niemand versprechen, dass man tatsächlich wieder auf die Daten zugreifen kann. Es werden hochprofessionelle Verschlüsselungsprogramme eingesetzt, die auch spezialisierte Firmen im Regelfall nicht entschlüsseln können.

Es gibt gefühlt immer mehr Fälle von Business E-Mail Compromise, also Betrug mit Hilfe von täuschend echten beruflichen E-Mails. Nehmen Sie das auch so wahr?

Ja, definitiv, vor allem im Zusammenhang mit Unternehmen. Früher gab es solche Sachen bei Phishing-Mails. Da bekam man so etwas von einer Bank, konnte es aber schnell erkennen. Jetzt geht es aber in den Unternehmensbereich hinein. Die Täter sind besser geworden und suchen sich lukrativere Ziele aus, die Modi Operandi sind besser geworden. Der kriminelle Dienstleistungsbereich ist mittlerweile schon sehr professionell, man kann daher auch überhaupt nicht sagen, woher die Täter kommen. Es könnte sein, dass sie in Russland sitzen, es könnte aber auch sein, dass die Spur nach Amerika und Asien führt und sie sitzen in Österreich. Asien boomt aber momentan aus Sicht der Cyberkriminellen, da ist viel Technik vorhanden und es gibt viele Gebildete, die sich auskennen.