Auf keinen Fall bezahlen. So lautet der Ratschlag so ziemlich jeden Cybersecurity-Unternehmens. Weil aber sowohl die Anzahl als auch die Qualität von digitalen Angriffen jährlich zunimmt, steigt auch die Zahlungsbereitschaft wieder. Im Vorjahr hat jedes dritte Unternehmen in Österreich zumindest einmal Lösegeldforderungen im Zusammenhang mit einer Ransomware-Attacke bezahlt, geht aus einer aktuellen Studie des Unternehmensberaters KPMG gemeinsam mit dem Kompetenzzentrum Sicheres Österreich (KSÖ) hervor. Das sei gegenüber 2022 ein deutlicher Anstieg.

Bei Ransomware-Angriffen werden Daten gekapert und verschlüsselt, Systemzugänge gesperrt oder ganze Betriebe lahmgelegt – gegen Lösegeld, meist in Form von Kryptowährungen, geben Kriminelle das System wieder frei. "Die absolute Zahl von Ransomware-Angriffen hat zwar abgenommen, dass dennoch mehr Unternehmen zahlen, ist besorgniserregend", sagt KPMG-Partner Robert Lambrecht.

Schnelles Bezahlen

Unternehmen erhoffen sich, durch schnelles Bezahlen das Problem loszuwerden. Doch wer einmal mitspielt, läuft Gefahr, immer wieder Opfer zu werden. Es bleibt in der Szene kein Geheimnis, wer zahlt.

Ransomware- und Phishing-Attacken gelten als altbekannte Klassiker, auf dem Vormarsch sind andere Methoden. Bei der sogenannten Chef-Masche geben sich Kriminelle als leitende Manager aus und veranlassen hohe Überweisungen. Deepfakes haben die Chef-Masche auf ein neues Level gehoben. Dabei handelt es sich um realistisch wirkende Video-, Audio- oder Bildinhalte, die mithilfe Künstlicher Intelligenz (KI) erstellt oder bearbeitet wurden.

Um 23 Millionen geprellt

Im Februar sorgte ein Fall aus Hongkong für weltweites Aufsehen, als ein Konzern um rund 23 Millionen Euro gebracht wurde. Ein Mitarbeiter soll bei einer Videokonferenz überzeugt worden sein, mehrere Überweisungen zu tätigen – doch alle Teilnehmer waren mit KI manipulierte Fälschungen.

Das heißt nicht, dass so etwas nun wöchentlich passiert. Menschen lassen sich auch ohne technisch perfekte Fälschungen manipulieren. Da reicht es, sie mit halbwegs plausiblen Forderungen unter Druck zu setzen oder ihr Vertrauen zu erschleichen. Die künstlich generierte Gefahr wird aber dennoch mehr. Das bestätigt auch KPMG, wonach Social Engineering um fast zehn Prozent zugenommen hat.

Gezielte Ausnahmesituation

Zudem würden Desinformationskampagnen immer häufiger zur Ablenkung eingesetzt: "Unternehmen werden perfekt orchestriert in eine Ausnahmesituation gebracht, die die volle Aufmerksamkeit der Belegschaft und des Krisenmanagements erfordert, während im Hintergrund gänzlich unbemerkt der Cyberangriff stattfinden kann", erklärt Lamprecht.

Für diese Zahlen hat KPMG mehr als 1100 Firmen befragt, daraus lässt sich einiges ableiten. Die Dunkelziffer dürfte sowohl bei angegriffenen als auch bei Unternehmen, die gezahlt haben, noch höher liegen. Dass die Dunkelziffer in Analysen der vergangenen Jahre die große Unbekannte war, hat einen einfachen Grund. Wer nichts sagen muss, wird damit eher nicht an die Öffentlichkeit gehen. Wenn Organisationen wie die Landesregierung in Kärnten oder die GIS gehackt werden, lässt sich das wohl kaum verschweigen. Bei privatwirtschaftlichen Betrieben sieht das anders aus.

Neue Regeln ab Herbst

Wer wissen will, wie viele Menschen in einer Stadt Drogen nehmen, wird mittels Umfrage nicht die ganze Wahrheit erfahren. Dafür braucht es eine Abwasseranalyse. "Abwasser-Monitoring" für Cybersecurity gab es bisher nicht, doch das ändert sich im Herbst.

Ab dann gilt die neue EU-Richtlinie NIS 2, wonach Unternehmen aus gewissen Branchen mit mehr als 50 Mitarbeitern deutlich strengere Cybersecurity-Auflagen erfüllen müssen. Damit einher gehen strenge Berichtspflichten. Übergangsphase gibt es keine – wer voraussichtlich ab Mitte Oktober die Anforderungen nicht erfüllt, dem drohen Strafen von bis zu zehn Millionen Euro. (Andreas Danzer, 29.4.2024)