Die Gefahr selbst Opfer von einer Cyber-Attacke zu werden, ist allgegenwärtig. In Österreich sind die Cybercrime Fälle zwischen 2012 und 2022 um 600 Prozent gestiegen. Der Schaden geht dabei oft in die Millionenhöhe. LEADERSNET traf den IT-Sicherheits-Experten Matthias Kranister am Rande einer Veranstaltung der Französisch-Österreichischen-Handelskammer – das Thema: Megatrend Cybersecurity – "Wie sicher sind wir".
LEADERSNET: Sehr geehrter Herr Kranister, wie sicher sind wir denn? Die Zahl der Cyberattacken auf Österreichs Firmen haben sich verdreifacht - welche Unternehmen, welche Branchen sind davon besonders betroffen? Trifft es nur große Unternehmen oder auch KMU?
Matthias Kranister: Grundsätzlich muss man unterscheiden zwischen zielgerichteten und nicht zielgerichteten Angriffen. Bei den nicht zielgerichteten Angriffen wird eine große Zahl an Phishing Mails verschickt oder automatisiert nach Sicherheitslücken gesucht. Reagiert man falsch, indem zum Beispiel der schadhafte Link oder die Datei geöffnet wird, werden automatisiert diese Lücken ausgenutzt. Somit kann jede Firma, aber auch Privatpersonen, Opfer einer Cyberattacke werden.
LEADERSNET: Was wäre denn ein wirksamer Schutz für kleinere Unternehmen, die es sich nicht leisten können, viel Geld in Security-Maßnahmen zu investieren?
Kranister: Oft ist es gar nicht nötig hohe Beträge zu investieren. Ein guter Grundschutz ist schon gegeben, wenn Updates regelmäßig eingespielt, Backups kontrolliert und seine Mitarbeiter:innen laufend geschult werden.
Insbesondere die letzten beiden Punkte können auch ohne großes Budget gut umgesetzt werden, indem man zum Beispiel seinen IT Dienstleister bittet, die Protokolle der erfolgreichen Datensicherung zu übermitteln. Zur Schulung der Mitarbeiter:innen gibt es einige gute Anbieter, die vielfach auch Simulationen von Phishing Angriffen durchführen.
LEADERSNET: Wieviel von seinem Umsatz sollte man in Cybersecurity investieren? Kann man das überhaupt pauschal sagen?
Kranister: Das lässt sich pauschal nicht sagen, wir empfehlen als Basis immer eine Risikoanalyse durchzuführen. Welche Bereiche meines Unternehmens sind besonders gefährdet? Wieviel kostet der Ausfall des IT Systems pro Stunde? Habe ich abgesehen vom finanziellen Aspekt auch noch besondere datenschutzrechtliche Verpflichtungen? Besteht das Risiko einer negativen Publicity und damit eines Reputationsschadens? Wichtig ist das betriebswirtschaftliche Optimum zu finden zwischen "Ich schütze mein Unternehmen gar nicht" und dem "100-Prozent-Schutz", der in der Praxis ohnehin nicht realisierbar ist.
LEADERSNET: Wo sehen Sie die Schwachstellen bei vielen Unternehmen?
Kranister: Sehr oft sehen wir, dass Unternehmen das Thema "Cybersecurity" nur punktuell und ohne strategische Überlegungen angehen. Die Basis sollten immer Vorgaben des Managements sein (akzeptierte Ausfallszeiten etc.). Darauf aufbauend sollte eine Risikoanalyse und ein geeignetes Schutzkonzept erarbeitet werden. Sobald die Cybersecurity Maßnahmen umgesetzt sind, gilt es, diese auch regelmäßig zu überprüfen. Dafür eignen sich beispielsweise Penetration Tests (Simulation eines Hackerangriffs) oder Phishing Tests (Simulation von Verschlüsselungstrojanern etc.). Basierend auf diesen Ergebnissen sollten die Cybersecurity Maßnahmen angepasst und weiter optimiert werden. Das Management sollte immer über das bestehende Restrisiko informiert sein, um mitigierende Maßnahmen treffen zu können, beispielsweise eine Versicherung.
LEADERSNET: Angenommen man wurde gehackt - was ist zu tun, wenn das System bzw. Netzwerk verschlüsselt ist?
Kranister: Im besten Fall hat man dafür schon einen Plan erstellt und diesen auch geübt. Sollte dies nicht der Fall sein und man merkt, dass die eigene IT-Abteilung überfordert ist, würde ich Hilfe von einer darauf spezialisierten Firma in Anspruch nehmen.
LEADERSNET: Sollte man Lösegeld bezahlen?
Kranister: Nein, keinesfalls. Man hat leider keine Garantie, dass durch die Zahlung auch die Daten wieder freigegeben werden. Ferner werden dadurch kriminelle Organisationen finanziert.
LEADERSNET: Immer mehr Trojaner haben es auf Banking- und Krypto-Apps abgesehen. Es werden Bankdaten geklaut, die Zwei-Faktor-Authentifizierung überlistet und Überweisungen getätigt. Wie kann man sich davor schützen?
Kranister: Zugänge mit einem zweiten Faktor zu schützen, ist eine sehr gute Idee und sollte auch wo immer es möglich ist, Verwendung finden. Leider bietet auch das Login mit zwei Faktoren keinen 100-prozentigen Schutz, es reduziert aber das Risiko.
Ein guter Schutz bieten aktuelle Verfahren wie FIDO2. Der beste Schutz ist aber immer noch: Wachsam sein, um Cyber-Attacken frühzeitig zu erkennen und damit Angreifer:innen wenig Angriffsfläche zu bieten.
www.mazars.at
Kommentar schreiben