Es ist eine unsichtbare und doch allgegenwärtige Gefahr, die das Land Kärnten Anfang Mai mit voller Wucht zu spüren bekam. Ein großangelegter Hackerangriff legte damals die Systeme der Landesverwaltung lahm, verzögerte die Auszahlung der Grundversorgung und brachte sowohl Corona-Contact-Tracing als auch die Ausstellung von Reisedokumenten zum Stillstand. Bis heute kämpft die Regierung mit den Folgen der Erpressungssoftware, mit der die russische Tätergruppe Black Cat die Computernetzwerke erst infiltrierte und verschlüsselte, um dann ein Lösegeld in Millionenhöhe einzufordern.

Ein schwerwiegender Fall von Cyberkriminalität also, dessen Relevanz aus österreichischer Perspektive nicht zu bestreiten ist – und die Frage aufwirft, wie gut hiesige Unternehmen und öffentliche Institutionen auf den Ernstfall vorbereitet sind. Betrachtet man das Gesamtbild international, zeigt sich: Kärnten ist ein kleiner Fisch, der gemeinsam mit Millionen Opfern in einem uferlosen Teich zu schwimmen scheint.

Allein in den USA verursachten Verbrechen im digitalen Raum vergangenes Jahr Kosten in Höhe von 6,8 Milliarden Euro, belegt ein Bericht des FBI. Weltweit sollen es, gerechnet anhand bekannter Fälle, sogar mehr als 300 Milliarden Euro sein. Doch das Limit scheint noch lange nicht erreicht.

Rasanter Anstieg

So warnten die Vereinten Nationen bereits kurz nach Ausbruch der Corona-Pandemie im Jahr 2020 vor einem rasanten Anstieg der Cyberkriminalität. Die Zahl der verschickten Phishing-Mails soll damals kurzerhand um stolze 600 Prozent angestiegen sein. Der einfache Grund dafür: Unzählige Unternehmen mussten ihre Mitarbeiterinnen und Mitarbeitern von einem Tag auf den anderen ins Homeoffice schicken, waren also zur Digitalisierung im Schnelldurchlauf gezwungen.

Sehr deutlich wurde dadurch auch der Opportunismus vieler Hackergruppen, die zunehmend öffentliche Institutionen wie Krankenhäuser ins Visier nahmen, wohl wissend, dass ein ungestörter Betrieb wegen steigender Fallzahlen unverzichtbar ist – was wiederum die Wahrscheinlichkeit einer Lösegeldzahlung steigerte.

Prozess der Professionalisierung

Ähnliches ist im Kontext des Ukraine-Kriegs zu beobachten. Der Angriff Russlands wurde begleitet von einer Welle an Cyberangriffen auf die Ukraine, aber auch auf verbündete Nationen. Abseits von Kriegen könne auch eine überdurchschnittliche Zunahme von Attacken auf den Energieversorgungsbereich beobachtet werden, sagt Maximilian Scherr im STANDARD-Gespräch. Als Partner bei Arthur D. Little berät er auch die OMV in Sachen Cybersicherheit.

Will man die beschriebene Entwicklung nachvollziehen, muss man einen genaueren Blick auf die Szene, also die Hacker selbst, werfen. Im Lauf der letzten fünf bis zehn Jahre haben diese einen beachtlichen Prozess der Professionalisierung durchlaufen, erklärt Marc Nimmerrichter, Geschäftsführer der auf Cybersicherheit spezialisierten Beratungsfirma Certitude.

Die Gruppierungen würden mittlerweile agieren wie herkömmliche Unternehmen mit einer Arbeitsteilung. Eine Person sucht nach Schwachstellen, eine weitere koordiniert den Angriff, der wiederum mithilfe von zugekaufter Schadsoftware Dritter durchgeführt wird.

Spuren leicht verwischbar

Möglich macht das unter anderem die zunehmende Verbreitung von Kryptowährungen, also digitalem Geld wie zum Beispiel Bitcoin. Zu sehen war dies auch in der Causa Kärnten. Nach Bekanntwerden des Angriffs verlangte Black Cat fünf Millionen Euro in Form des digitalen Assets. Im Gegensatz zu einer Banküberweisung oder gar einer händischen Übergabe der geforderten Summe ist der Geldfluss nämlich schwierig nachzuvollziehen. Täter können ihre Spuren also einfacher verwischen und sich ohne Sorge vor Ermittlern rasch vom Online-Acker machen.

Ob eine Attacke schlussendlich die Kärntner Landesregierung, die Medizinische Universität Innsbruck oder den US-amerikanischen Mobilfunkbetreiber T-Mobile trifft, wie es im August letzten Jahres der Fall war, folgt dabei meist dem Zufallsprinzip. Viele Gruppierungen verschicken wahllos eine Unmenge an Phishing-E-Mails, in der Hoffnung, dass irgendwer den Köder schluckt, sagt Scherr. Am Ende des Tages gehe es den meisten Angreifern vor allem darum, möglichst viel Profit zu machen.

Falsche Selbstwahrnehmung

Während es an Fachwissen eigentlich nicht mangelt, kämpft Österreich bis heute mit einer falschen Selbstwahrnehmung. Gerade der eigentümergeführte Mittelstand folge noch immer dem Motto "zu klein, zu uninteressant", sagt Nimmerrichter. Unternehmen wägen sich oft in Sicherheit, bis es zu spät ist. Erst seit kurzem setze sich hier etwas in Bewegung, auch wegen der immer häufigeren Medienberichterstattung.

Georg Beham, Cybersecurity und Privacy Leader bei PwC Österreich, sieht das ähnlich. Ein großes Problem sei, dass in vielen Unternehmen kein ausreichendes Bewusstsein dafür herrscht, wie stark man tatsächlich von Technologie abhängig ist. Hinzu komme, dass gerade kleinere Firmen ihre IT-Systeme lieber selbst aufsetzen, anstatt sich auf Lösungen etablierter IT-Dienstleister zu verlassen. "Eigentümergeführte Unternehmen sehen Cloud-Computing als böses Hexenwerk", erklärt Beham. Dabei sei das Risiko bei Servern Marke Eigenbau viel größer.

Um einen effektiven Schutz zu garantieren, muss Cybersicherheit jedenfalls zur Chefsache werden, ist sich der Experte sicher. Das Thema dürfe nicht an die IT-Abteilung delegiert werden, auch deshalb, weil im Ernstfall der Geschäftsführer entscheiden muss, ob Lösegeld gezahlt wird oder nicht. Jedoch gaben bei einer PwC-Befragung 2021 nur 25 Prozent der österreichischen CEOs an, dass Hackerangriffe für sie als größte Bedrohung zählen. Zum Vergleich: Weltweit sind 49 Prozent der CEOs dieser Ansicht.

Millionenschäden

Aber es ist Besserung in Sicht. Öffentlicher Druck und die Tatsache, dass Ransomware-Attacken wegen weitreichender Folgen nicht mehr verheimlicht werden können, habe im letzten Jahr die Chefetagen wachgerüttelt.

Das war bitter nötig. Dass die erfolgreiche Verschlüsselung eines ganzen Computersystems nicht innerhalb weniger Tage überstanden ist, sieht man in Kärnten. Mit Stand Ende Juli warten 16 von 136 IT-Systemen noch immer darauf, wieder in Betrieb genommen zu werden. Immerhin muss mit Sicherheit gesagt werden können, dass sich die Hacker nicht in irgendeiner dunklen Ecke eingenistet haben, um beim Hochfahren des Servers erneut zum Angriff zu blasen.

"Cyberattacken sind vergleichbar mit einem Wasserschaden. Man weiß nicht wirklich, wo es überall hingekommen sein könnte", erklärt Nimmerrichter das Problem. "Die wahren Kosten erkennt man deshalb meistens erst dann, wenn es zu spät ist und Millionenschäden entstehen."

Wappnen für Katastrophenfall

Häufig würde dennoch erst dann in verbesserte Sicherheit investiert, wenn es einen Zwang gibt, sagt das Innenministerium auf STANDARD-Anfrage. "Das können rechtliche Vorgaben, aber auch Richtlinien von Versicherungen, Interessenverbänden, Kunden oder Ähnliches sein." In anderen Staaten dürfte das ähnlich sein. Zum Beispiel sorgte ein Hackerangriff auf den deutschen Landkreis Anhalt-Bitterfeld letztes Jahr für mehrwöchigen Stillstand. Ähnlich wie in Kärnten konnten unter anderem keine Sozialleistungen mehr ausgezahlt werden. Der Katastrophenfall wurde ausgerufen.

Österreich scheint demnach auch im internationalen Vergleich nicht schlechter abzuschneiden. Dass selbst öffentliche Einrichtungen nicht immer für den Ernstfall gewappnet sind, zeigt dennoch: Es muss an der Selbstwahrnehmung der Verantwortlichen gefeilt werden, sind sich die Experten sicher. Geschäftsführer müssen sich im Klaren sein, dass Sparmaßnahmen bei der Einrichtung von Sicherheitsmaßnahmen verheerende Folgen haben – und bei erfolgreichen Angriffen sogar im Bankrott enden können. (Mickey Manakas, 30.7.2022)