Das wurde in einer gemeinsamen Veranstaltung des Seebrunner Kreises, der Industriellenvereinigung Salzburg und des Münchner Unternehmens Blu Systems deutlich. Der Rat der Experten: Vorbereiten ist eindeutig besser als die Existenz des Unternehmens zu riskieren.
„Es kann alle treffen!“
IT-Sicherheit – das ist, wie der Datenschutz, kein Thema, das in den Unternehmen wirklich gerne angegangen wird. Die Annahme, „uns trifft es eh nicht“, ist jedoch trügerisch. Denn die Zahl der Fälle nimmt auch in Österreich rasant zu. Betroffen sind große wie kleine Unternehmen. Daran ließen die Experten in der Cyber-Security-Veranstaltung des Seebrunner Kreises, der IV Salzburg und der IT-Security-Firma Blu Systems keinen Zweifel.
„Uns ist passiert, was andere hoffen, dass ihnen nie passiert!“, berichtete Albert Wallner, Prokurist der SalzburgMilch. Das Unternehmen wurde im Juni 2021 gehackt: Alle IT-Systeme wurden im drittgrößten Milchverarbeitungsbetrieb Österreichs lahmgelegt. Zwar konnte noch produziert werden, doch alle anderen Systeme, inklusive Lagerlogistik, waren kompromittiert. „Das war ein Wahnsinn“, schilderte Wallner die Situation. Gleichzeitig sah sich das Unternehmen mit einer Lösegeldforderung in Höhe von 3 Millionen Euro konfrontiert.
In dieser existenzbedrohenden Lage entschloss sich die Geschäftsführung jedoch, nicht zu zahlen, sondern in Rekordzeit alle Systeme neu aufzusetzen. Man holte sich externe IT-Unterstützung, alle Mitarbeiterinnen und Mitarbeiter legten Sonderschichten ein, und man freute sich über Hilfe und Solidarität der Mitbewerber und Handelspartner, die Lagerflächen und logistische Unterstützung zur Verfügung stellten. Albert Wallner: „In drei Tagen haben wir sämtliche Systeme wieder zum Laufen gebracht.“ Eine Leistung der Sonderklasse, denn im Schnitt dauert es 14 Tage, bis ein Angriff überwunden ist, wie Florian Hansemann von Hanse Secure erklärte.
Schwachstelle: Der menschliche Faktor
Beim Hackerangriff auf die SalzburgMilch waren, wie sich herausgestellt hat, gleichzeitig 60 weitere Firmen betroffen. Denn die Angreifer agieren mittlerweile hocheffizient, automatisiert und oft bereits mit KI-Unterstützung. Sie nehmen auch ganz kleine Unternehmen nicht aus: „Es kann alle in der Lieferkette treffen, vom Einmann-Unternehmen bis zu großen Unternehmen mit 250.000 Mitarbeitern“, versicherte Hansemann, der zu den Top-20-IT-Security-Spezialisten weltweit zählt. Er wird von Unternehmen beauftragt, ihre Schwachstellen in den IT-Systemen zu finden. Diese sind nach wie vor oft die Menschen im Unternehmen. „Millionen werden ausgegeben, aber die Hausaufgaben nicht gemacht“, so Hansemann. Die Awareness in den Unternehmen, dass Hackerangriffe oft über das „Einfallstor Mensch“ eindringen, müsse noch wachsen. Hansemann: „Unser Credo: Wir schützen die IT vor ihren Nutzern!“
Cyber-Resilienz stärken
Für den Fall der Fälle hilft jedoch eine gute Vorbereitung – es geht um Prozesse der ständigen Risiko-Evaluierung im Unternehmen, wie Thorsten Enk von der Blu Guard GmbH (aus der Firmengruppe Blu Systems) erklärte. Ebenso sollte man Prozesse für das Notfallmanagement implementiert haben. Doch auch das sei laut Enk von Vorteil: „Wenn man den Datenschutz im Unternehmen gut aufgestellt hat, hat man auch schon etwas für die IT-Sicherheit getan.“
Und wenn alles nichts hilft, dann zahlen? Rechtsanwalt Wolfgang Schmid, Fachanwalt für Informationstechnologierecht mit Sitz in München, vermutet eine hohe Dunkelziffer von Unternehmen, die der Lösegelderpressung nachkommen, darunter auch viele kleine Unternehmen, die oft nicht über die IT-Ressourcen verfügen, um den Angriff abwehren zu können. Dennoch ortet Schmid eine Veränderung: „Es werden mehr, die nicht mehr zahlen, weil sie besser aufgestellt sind.“
Dazu trägt nicht zuletzt die EU-Regulierung bei, die beim Thema IT-Security Fahrt aufgenommen hat, etwa durch die NIS-2-Richtlinie, welche die Cyber-Resilienz von Betrieben in der kritischen Infrastruktur stärken soll. Weitere Regularien für den Finanzsektor stehen vor der Umsetzung. Wolfgang Schmid: „Mehr und mehr Unternehmen müssen sich bereits jetzt mit IT-Security befassen.“ Das umfasst etwa Meldepflichten, Meldefristen und Notfallpläne. Nicht zuletzt empfiehlt sich die Auseinandersetzung mit der IT-Compliance, da ein Hackangriff einen Wust an Ärger durch Schadenersatzansprüche und Forderungen nach sich ziehen kann.
Lernen, wie man angreift und verteidigt
Für den Schutz vor IT-Kriminalität braucht es genügend Expertinnen und Experten. Hier bietet die Fachhochschule Salzburg seit September 2024 einen neuen Masterstudiengang für Cyber-Security an, der erfreulicherweise stark nachgefragt ist, wie FH-Prof. Andreas Unterweger, Head of Academic Area Networking & Cyber Security, berichtet: „Das Thema ist topaktuell. Wir haben weit mehr Bewerber als erwartet!“
Der Fokus des Studiums liegt auf der operativen Umsetzung von Cyber-Sicherheit. „Wir üben realistische Szenarien, sowohl wie man angreift als auch verteidigt. Denn die Studierenden müssen auch die Denkweise der Hacker verstehen, um effektiv Gegenmaßnahmen ergreifen zu können.“ Ein eigenes Forschungszentrum für Cyber-Security wird folgen.