Sich Gedanken über Cybersecurity zu machen, daran kommt heute so gut wie niemand mehr vorbei. Weltweit nehmen Fälle von Cyberkriminalität zu. Im Jahr 2022 gab es allein in Österreich über 60.000 Anzeigen in diesem Bereich. Betrugsdelikte zählen zu den häufigsten Straftaten, wie etwa Pishing, bei dem die Opfer auf betrügerische Websites gelockt werden. Im Visier der Kriminellen stehen jedoch immer öfter Unternehmen und kritische Infrastrukturen.
Produktionsbetriebe im Visier von Cyberkriminellen
Hacker- und Viren-Angriffe auf Daten- oder Computersysteme können hier unter Umständen katastrophale Folgen haben. In einer Cybersecurity-Studie (KPMG Austria und Kompetenzzentrum Sicheres Österreich) von 2022 gaben 14 Prozent der einheimischen Unternehmen an, von Ransomware-Angriffen betroffen gewesen zu sein. Bei dieser Methode werden Firmendaten quasi in Geiselhaft gehalten und erst gegen Lösegeld wieder freigegeben. Eine Statista-Umfrage bei 350 österreichischen Mittel- und Großunternehmen zeigt ein nicht minder bedenkliches Bild: Allein für den März des Vorjahres gaben elf Prozent der Befragten an, dass (fast) täglich versucht werde, ihr Unternehmen durch Cyberattacken anzugreifen. Bei weiteren zwölf Prozent käme dies mehrmals im Monat vor.
Gerade für Produktionsbetriebe gewinnt das Thema Cybersecurity immer mehr an Brisanz, gleichzeitig wird es auch immer komplexer. Austria Innovativ hat dazu mit dem Cybersecurity-Experten Wolfgang Baumgartner, General Manager der SEC Consult Group, gesprochen. SEC Consult ist im Bereich der Cyber- und Applikationssicherheit weltweit tätig – u. a. für Regierungsbehörden, internationale Organisationen und privatwirtschaftliche Unternehmen sowie kritische Infrastrukturen.
---
Worin liegt die große Herausforderung speziell von produzierenden Betrieben in puncto Cybersicherheit?
Baumgartner: Durch die immer stärkere Vernetzung auch der Produktionstechnologie spielt das Thema eine immer größer werdende Rolle. Insbesondere das Thema OT (Operational Technology) Security stellt eine große Herausforderung dar, denn Industrie 4.0 und das Internet of Things haben neue Angriffspunkte geschaffen. Immer mehr Maschinen und Anlagen sind mit ihrem Netzwerk und weiterer Computertechnik in einer gemeinsamen IT-Umgebung verbunden. Da die häufig seit Jahrzehnten im Einsatz befindlichen OT-Geräte nie für die Anbindung an ein öffentliches Netzwerk vorgesehen waren, muss dies mit einer mehrschichtigen Sicherheitsarchitektur – für das Netzwerk und für die Geräte – berücksichtigt werden.
Die Taktiken der Kriminellen werden immer ausgeklügelter. Mit welchen Strategien können Produktionsbetriebe darauf reagieren?
Die wesentlichen Themen sind Governance und Awareness. Dies bedeutet, eine umfassende Sicherheitsstrategie zu entwickeln, um einen möglichst lückenlosen Schutzwall aufzubauen. Auch der Faktor Mensch muss mitgedacht werden, deshalb sind regelmäßige Schulungen und Trainings essentiell. Gibt es also ein Team mit entsprechender Rollenverteilung, das auf solche Angriffe vorbereitet ist? Werden die Notfallpläne und Abläufe auch regelmäßig geübt?
Die Marschrichtung für Cybersecurity vorzugeben, sollte eigentlich Chefsache sein. Haben Sie den Eindruck, dass das hierzulande in den Köpfen auch angekommen ist?
Ich finde, es ist in den letzten zehn Jahren besser geworden. Immer mehr Unternehmen werden sich dessen bewusst, dass die strategische Vorbereitung auf mögliche Angriffe Hand in Hand mit robusten Secu-rity-Maßnahmen gehen sollte. Solch einer Stärkung der Cyberresilienz kommt große Bedeutung zu, denn absolute Sicherheit gibt es auch in der Cybersecurity nicht. Für viele Unternehmen bleibt noch viel zu tun, um sich auf strategischer Ebene so aufzustellen, dass im Falle eines Angriffs kritische Datenverluste und Betriebsausfälle minimiert werden und die rasche Wiederherstellung des Geschäftsgangs gewährleistet ist.
Für ein verbindliches gemeinsames Cyber-Security-Level in den EU-Ländern wurde im Vorjahr die NIS-2-Richtline eingeführt, mit 18. Oktober 2024 soll diese wirksam sein. Sind die heimischen Unternehmen dafür schon gut gerüstet?
Durch NIS 2 sind wesentlich mehr Unternehmen betroffen, und ich sehe, dass auch hier noch eine Menge zu tun ist! Wichtig ist eine strategische und koordinierte Vorgangsweise, um für Oktober richtig gewappnet zu sein: Was es ganz zu Beginn benötigt, ist ein Readiness Assessment, das aufzeigt, in welchem Bereich welche Aktivitäten zu setzen sind. Danach kann mit dem Umsetzungsplan bzw. einer Umsetzungsbegleitung zur Schließung der Sicherheitslücken gestartet werden. Jedes Unternehmen, das unter die NIS-2-Richtlinie fällt, sollte sich bereits längst mit dem Thema Readiness beschäftigen.
Es gibt inzwischen auch Versicherungen für den Fall eines Cyberangriffs. Wie sinnvoll ist das in Ihren Augen?
Eine Versicherung ist in jedem Fall sinnvoll, schützt aber natürlich nicht vor Angriffen. Man wird also nicht darum herumkommen, das steigende Cyberrisiko durch passende Maßnahmen zu reduzieren.
Es hat den Eindruck, dass Cybersecurity stets ein Wettlauf gegen die Zeit ist. Wie wird nach Ihrer Einschätzung die künftige Entwicklung sein, auch im Hinblick auf die Künstliche Intelligenz?
Es war auch in den letzten 20 Jahren ein Wettlauf mit neuen Technologien. Aber Generative Artificial Intelligence (GenAI) bringt noch einmal einen ordentlichen Boost ins Spiel. Die weit verbreitete Akzeptanz von KI in verschiedenen Aspekten des Geschäftsbetriebs verspricht zahlreiche Vorteile für die Produktivität, doch sie verändert auch die Lage bezüglich zukünftiger Bedrohungsszenarien. Mit einem entsprechenden Prompt kann KI Ransomware und Malware in einer Geschwindigkeit und Menge erzeugen, von der menschliche Kriminelle nur träumen können.
Im Gegenzug hat die Künstliche Intelligenz jedoch auch großes Potenzial, um vor Cyberbedrohungen zu schützen. Sie kann große Mengen von Daten, die sich auf einen Sicherheitsvorfall beziehen, besonders gut analysieren und ermöglicht es den Sicherheitsteams, die Bedrohung schnell einzudämmen. Beispielsweise kann sie verdächtige E-Mails und Nachrichten, die häufig in Phishing-Kampagnen verwendet werden, besonders schnell identifizieren und kennzeichnen. Hier wird das kommende Jahr gewiss spannende Entwicklungen bieten.
Wie sicher ist Österreich im internationalen Vergleich?
Ich würde sagen, wir sind im obersten Drittel, aber man muss immer auch einzelne Industrien und auch die Größe der Unternehmen bei der Einschätzung berücksichtigen. Daher ist NIS 2 eine sehr gute Initiative der EU, das Sicherheitslevel generell zu erhöhen.
Danke für das Gespräch!
Lesen Sie diesen Artikel ab Seite 48 der aktuellen Ausgabe 2-24 oder am Austria Kiosk!
