Billiger Angriff, teurer Schutz: Unternehmen ...
 

Billiger Angriff, teurer Schutz: Unternehmen im Visier der Cyberkriminellen

Johannes Brunnbauer
Hilton
Hilton

Um 200 Euro kann man im Darknet bereits eine DDoS-Attacke bestellen; Unternehmen investieren hingegen hohe siebenstellige Beiträge, um sich dagegen zu wehren. Die Panelteilnehmer am Werbeplanung.at-SUMMIT 2018 geben einen Einblick in ihrem Kampf gegen Cyberangriffe.

Eine Bedrohung, die jedes Unternehmen weltweit betrifft, nahm am ersten Tag des Werbeplanung.at-SUMMIT 2018 eine illustre Runde unter die Lupe. „Cyber Security – was tun gegen Cyberattacken aus dem Netz?“ – diese Frage beantworteten Marco Harfmann (A1 Telekom), Ulrike Huemer (Stadt Wien), Nino Tlapak (DORDA Rechtsanwälte) und Alexander Windbichler (Anexia) unter der Moderation von Stefan Mey (HORIZONT).

70.000 Angriffe auf Wien pro Tag

Zwischen 50.000 und 70.000 Angriffe auf wien.gv.at pro Tag, 60 Millionen monatliche Versuche, in das Netzwerk der Stadt Wien einzudringen sowie einige DDoS-Attacken über das Jahr verteilt: Bei der Stadt Wien hat man im Rahmen der Cybersecurity alle Hände voll zu tun. CIO Ulrike Huemer beruhigt: „Bisher war kein Angriff erfolgreich.“ Besonders bei den Offensiven auf wien.gv.at handelt es sich hauptsächlich um automatisierte Massenangriffe: „Das ist unser Vorteil“, sagt sie. Von den gefürchteten DDoS-Attacken – ein Distributed-Denial-of-Service, also eine Überlastung der IT-Infrastruktur, um Lösegelder zu erpressen - sei man laut der CIO bisher nicht wirklich betroffen. Damit die Stadt Wien auch weiterhin gut geschützt ist, wird stark in Infrastruktur investiert: „Wir sind technologisch am neuesten Stand bei Abwehrmaßnahmen, Verschlüsselungssystemen und Firewalls und achten auch organisatorisch darauf, zum Beispiel mit einem Sicherheitsverantwortlichen in jeder Abteilung“, so Huemer. Wichtig sei es auch, die „Schwachstelle Mensch“ nicht zu vergessen: „Wir schulen unsere Mitarbeiter intensiv und sehen auch die Erfolge dieser Schulungen. Vergangenes Jahr haben wir zum Beispiel 25.000 selbst konfigurierte Pishing-Mails hinausgeschickt und nur 4 Prozent haben den Link angeklickt.“

200 Euro für schweren DDoS-Angriff

Beim österreichischen Hostingunternehmen Anexia, das rund 90 Rechnerstandorte auf der ganzen Welt betreibt, verzeichnet man um die 5.000 Angriffe pro Stunde. Geschäftsführer Alexander Windbichler spricht von einem „hohen siebenstelligen Betrag“, der in den Schutz vor Cyberkriminalität geflossen ist: „Das war die größte Investition in der Geschichte unseres Unternehmens.“ Das System sei in erster Linie auf die Abwehr von DDoS-Angriffen spezialisiert und hat im April dieses Jahres erfolgreich die bisher größte Attacke auf das Anexia-Netzwerk verhindert. „Hätten wir dieses System nicht gehabt, hätten unser Kunden das deutlich zu spüren bekommen – wir betreiben doch über 10.000 Webseiten weltweit“, ist Windbichler sichtlich erleichtert. Erschreckend sei, wie viel „totes Kapital“ Anexia als Cloudanbieter in den Schutz vor Cyberkriminalität investieren müsse: „Wir arbeiten mit 90 Prozent Überkapazität im System, nur um einmal im Jahr eine riesige Attacke abzuwehren“, erklärt Windbichler. Die Offensive von außen sei hingegen äußerst billig: „Eine Attacke mit 20.000 infizierten PCs kann man im Darknet um 200 Euro kaufen - mit einem Interface, das jeder bedienen kann.“

Szenarien wie CEO-Fraud bedenken

Auch bei der A1 Telekom Austria ist man täglich mit Angriffen konfrontiert, „auch jetzt, während wir hier sitzen“, sagte der Bereichsleiter für Transformation & Marketing Communications, Marco Harfmann. Kritisch wurde es bei dem Mobilfunker vor rund zwei Jahren im Rahmen einer großen DDoS-Attacke, die alle A1-Dienstleistungen für einen halben Tag lahmlegten. Harfmanns Fazit: „Man muss ständig dazulernen und sich laufend auf neue Szenarien vorbereiten.“ Cyberattacken seien so nicht nur Pishing-Mails oder Bot-Angriffe, auch Social Engineering bzw. CEO-Fraud sind keine seltenen Szenarien. Dabei werden Hierarchien, das Berichtswesen bzw. die Beziehungen der Angestellten untereinander ausspioniert und dann mittels gefälschten E-Mails versucht, Geldüberweisungen zu initiieren. Die täuschend echte Kommunikation gelingt nicht selten, „wir hatten schon einen Versuch und wissen auch von einer großen heimischen Firma, die das massiv betroffen hat. Ein zweistelliger Millionenbeitrag war danach nicht mehr auffindbar“, erzählte Harfmann aus der Praxis.

Datenschutz kein Nischenthema mehr

Gerade KMU rät der A1-Bereichsleiter, die Bedrohung durch Cyberkriminalität nicht hinunterzuspielen und sich bereits im Vorfeld ausreichend abzusichern – am besten unterstützt von einem externen Profi. Windbichler von Anexia warf ein, dass man von Anfang an darauf achten sollte, die Vielfalt von IT-Produkten im Unternehmen – „bis hin zum Wordpress-Plugin“ – zu reduzieren und auf Standardisierung zu setzen. Geschützt werden sollten zudem nicht nur die digitalen Assets eines Unternehmens, auch der „rein physikalische Gebäudeschutz“ wie eine Alarmanlage sei ein wichtiges Thema, fügte Harfmann hinzu. Dem stimmte auch Nino Tlapak von DORDA Rechtsanwälten zu: „Leider wird oft nur in Organisation oder Technik investiert, dabei muss es eigentlich eine Verknüpfung von Recht, Organisation und Technik sein. Die besten Datenschutzhinweise helfen nicht, wenn ich die Daten dann nicht schütze oder meine Mitarbeiter nicht schule.“ Einen großen Vorteil sieht er in diesem Zusammenhang mit dem Inkrafttreten der DSGVO: „Jetzt ist das Ganze kein Nischenthema mehr, sondern ein Compliance-Thema.“

[Veronika Höflehner]

stats