Immer mehr Firmen werden gehackt. Ein neues Gesetz dazu ist in Arbeit.
Wien. Zwei von drei Unternehmen wurden im vergangenen Jahr Opfer einer Cyber-Attacke, Tendenz steigend. Das zeigt eine aktuelle Umfrage unter 270 heimischen Betrieben des Unternehmensberaters KPMG. Viele Firmen ziehen es jedoch vor, die Schadensfälle nicht zu melden, und bleiben auf den Kosten sitzen. Zu groß ist die Angst vor einem Image- und Vertrauensverlust in der Öffentlichkeit.
"Die Schadenshöhe beginnt bei 30.000, 40.000 Euro. In einem konkreten Fall wurde sogar ein Schaden von 400.000 Euro verursacht", sagt Andreas Tomek, Partner bei KPMG. Und: Die Angriffe würden technisch immer anspruchsvoller. Im Fokus der Angreifer sind meist große Konzerne und mittelständische Betriebe. Aber jedes zweite kleine Unternehmen wurde im Vorjahr zumindest ein Mal angegriffen.
Laut dem US-Versicherungskonzern "American International Group" wurden im Jahr 2017 weltweit so viele Stör- und Cyberattacken verzeichnet wie in den vier Jahren davor gemeinsam. Bei den Angriffen handelt sich laut dem Computer Emergency Response Team (cert.at) meist um Ransomware; das sind Verschlüsselungstrojaner, die den Datenzugriff oder den gesamten Computer bis zur Lösegeldzahlung lahmlegen. Zuletzt habe auch das Abschöpfen von Kryptowährungen von einzelnen Servern oder Computern zugenommen, erklärt Otmar Lendl von cert.at.
Mehr Cyber-Versicherungen
Zwischen dem, was an Schaden verursacht wird, und den tatsächlich gemeldeten Störfällen klafft allerdings eine große Lücke. "In vielen Fällen werden Cyber-Attacken gar nicht gemeldet", sagt Lendl von cert.at. Die registrierten Störfälle würden seit Jahren steigen. Aber jene, die proaktiv von den Betrieben an den IT-Dienstleister herangetragen werden, seien konstant niedrig, meint Lendl.
Das könnte sich bald ändern. Dem Vernehmen nach soll die Bundesregierung in den kommenden Wochen ein neues Cybersicherheitsgesetz vorstellen. Details daraus werden noch nicht genannt. Damit soll aber die EU-Richtlinie zur Sicherheit bei Netz- und Informationssystemen, kurz NIS-Richtlinie, umgesetzt werden. Diese ist Teil der Europäischen Sicherheitsstrategie. Betreiber von kritischer Infrastruktur - das sind zum Beispiel Stromanbieter, Mobilfunker und Banken - sollen Cyberattacken und Störfälle künftig verpflichtend melden.
Die Firmen selbst sind wenig erfreut über eine mögliche Meldepflicht, weil damit auch ein Imageschaden einhergeht. Eigentlich hätte die Richtlinie bis Mai dieses Jahres in allen EU-Ländern umgesetzt werden sollen. Der Großteil der Mitgliedsstaaten, wie eben auch Österreich, ist aber säumig.
Versicherungen verzeichnen jedenfalls heuer eine höhere Nachfrage nach Cyber-Versicherungen. Versichert werden also nicht mehr nur die physischen, sondern auch die digitalen Assets von Firmen. Das Inkrafttreten der Datenschutzgrundverordnung habe hier maßgeblich dazu beigetragen, erklärt Andres Wimmer von der Uniqa-Versicherung.
"Wir diskutieren mit den Kunden Sicherheitsvorkehrungen. Wenn trotzdem was passiert, ist der Deckungsschutz gewährleistet", so Wimmer. Etwas komplexer gestaltet sich hier aber die Frage, wann eine Versicherung für den entstandenen Schaden einspringen muss, und wann der Kunde die Kosten selbst tragen muss, weil etwa ein Mitarbeiter fahrlässig gehandelt hat.
Wirtschaftsspionage
Ein Bereich, der in Österreich noch unter der Wahrnehmungsgrenze ist, ist das Thema Wirtschaftsspionage. "Wir haben in Österreich viele kleine Hidden Champions, die aber oft nicht gut genug geschützt sind", meint Lendl von cert.at. Zahlreiche heimische Firmen, die Weltmarktführer in bestimmten Technologiesegmenten sind, seien interessante Ziele für Wirtschaftsspionage. "Gleichzeitig rentieren sich umfassende Cybersicherheit-Maßnahmen erst ab einer bestimmten Größe", so Lendl. Außerdem beklagen Firmen auch einen akuten Mangel an entsprechenden Fachkräften.