Wo liegen die größten Gefahren und Bedrohungsszenarien für IT-Systeme in Unternehmen? Welchen Schutz bieten technologische Cybersecurity-Lösungen und welchen Einfluss hat der Faktor Mensch? Und welche neuen Herausforderungen bringen KI und Deepfakes? Fragen, die wir mit Expertinnen und Experten am Roundtable in der Redaktion diskutierten.
„SPIRIT of Styria“ mit Herausgeber Siegmund Birnstingl und CR Wolfgang Schober
TALK AM RING ist ein Diskussionsformat von SPIRIT of Styria. Jeden Monat laden wir Expertinnen und Experten zur Diskussion über ein spannendes Wirtschaftsthema an den Runden Tisch in die Redaktion am Grazer Opernring.
Wo sehen Sie aktuell die größten Gefahren für IT-Systeme?
DOMINIKUS: Die größte Bedrohung ergibt sich aus meiner Sicht durch die enorm steigende Kommerzialisierung der Hacker-Attacken. Es hat sich längst eine regelrechte Industrie gebildet. Internationale Hacker-Gruppen betreiben mit bestens ausgebildeten Leuten ein skrupelloses Geschäftsmodell – daher hat sich die Bedrohung in den vergangenen Jahren massiv erhöht.
GEBESHUBER: Absolut! Früher waren es einzelne Personen, heute sind das professionelle Organisationen, die wie Firmen organisiert sind und arbeitsteilig agieren. Dort gibt es Abteilungen mit klarer Aufgabenverteilung – die einen machen den Initialzugriff, andere kompromittieren das System und die dritten stellen die Lösegeldforderung. Das Hauptproblem: Die Täter agieren völlig anonym und können ihre wahre Identität gut verbergen.
SEME: Im Ranking der aktuell größten Gefahren würde ich Phishing und Ransomware als Erstes nennen – wobei diese oft miteinander verknüpft auftreten. Meist steht Phishing am Anfang, dadurch dringen Täter ins System ein und installieren die Schadsoftware bzw. Ransomware, mit der sie das System lahmlegen und Lösegeld erpressen. Zu befürchten ist, dass diese Methode weiterhin zunimmt, da sie sich – wie genannt – als perfides, aber einträgliches Geschäftsmodell eignet. Einen großen Einfluss auf Cybersecurity erwarte ich zudem durch KI – für beide Seiten, sowohl für die Angreifer als auch für uns Verteidiger.
NEUMANN: Auch wenn es viele nicht gerne hören: Hundertprozentige Sicherheit kann man in der IT nie erreichen. Aber 99 Prozent sind immer möglich, die letzten 99 Promille sind dann natürlich die teuersten. Das Problem ist, dass Angriffsflächen im Lauf der Jahre immer größer wurden. Einen großen Anteil daran hat das vermehrte Homeoffice, in dem Mitarbeiter oft ohne wirksamen Schutz, etwa durch VPN, arbeiten. Auch auf die Sicherheit von Mails wird zu wenig geachtet – unverschlüsselte Emails sind wie Postkarten, bei denen jeder mitlesen kann, der das möchte. Emails gehören digital signiert, erst dann sind sie so sicher wie ein eingeschriebener Brief.
DIE TEILNEHMER
Sandra Dominikus
Siemens AG Österreich,
Teamleiterin für Cybersicherheit in Produkten für die Automatisierungstechnik,
Product Security Expert
Klaus Gebeshuber
FH-Professor für IT-Security an der FH JOANNEUM in Kapfenberg
Markus Kernbichler
Chefinspektor, Leiter des Assistenzbereichs 06-
Informationstechnologie und Beweissicherung im Landeskriminalamt
Steiermark
Dominic Neumann
SkylarSec GmbH, beeideter
Sachverständiger für IT, WKO Fachgruppenobmann UBIT
Markus Seme
Geschäftsführer BearingPoint Austria in Premstätten
Die Frage an den Kriminalisten: Ist Ransomware die Bedrohung Nummer eins für Unternehmen?
KERNBICHLER: Ransomware ist sicher das Delikt, das punktuell die größten Schäden zur Folge hat. Im Jahr 2023 entstand dadurch weltweit ein Gesamt-schaden von 1,1 Billiarden US-Dollar. In Summe sind aber auch Cyber-Trading-Frauds, bei denen potenzielle Anleger im Internet zu Geldzahlungen für vermeintlich lukrative Investments verleitet werden, für Cyber-Kriminelle überaus einträglich. Mit Ransomware lässt sich mit einem Schlag am meisten Geld verdienen. Je nach Unternehmen sind das rasch sechs- oder siebenstellige Beträge, die an Lösegeldzahlungen erpresst werden. Zumeist wissen die Täter auch sehr genau über ihr Gegenüber Bescheid – und damit über deren finanzielle Möglich keiten. In der Regel wird ein bestimmter Prozentsatz des Jahresumsatzes als Lösegeld gefordert.
SEME: Betroffene Unternehmen versuchen daher mitunter, auch mit den Tätern zu verhandeln. Ich kenne einen Fall, wo die Unternehmensführung auf die wirtschaftlich schlechte Ertragserlage verwiesen hat, worauf die Tätergruppe antwortete: „Danke. Wir kennen den Geschäftsbericht.“
KERNBICHLER: Das große Problem ist die Professionalisierung und Institutionalisierung der Täter. Diese agieren tatsächlich wie Firmen und nutzen das Darknet sowie Kryptowährungen, um ihre Machenschaften zu verschleiern. Entsprechend schwierig ist die Aufklärung, aber es gelingen auch immer wieder Ermittlungserfolge – erst kürzlich ging die Ausforschung der Hackergruppe Lockbit durch die Medien. Täter in der Ukraine, in Polen und weiteren Ländern wurden verhaftet bzw. sind Haftbefehle ergangen. Die Hacker haben weltweit operiert, auch in Österreich. Ein Erfolg, der beweist, dass wir nicht chancenlos sind: Cyber-Kriminalität ist bekämpfbar. Es dauert in der Regel aber seine Zeit, bis man ausreichend Spuren gesammelt und ausgewertet hat. Jeder Täter macht irgendwann Fehler. Das Um und Auf ist die internationale Kooperation – denn die Täter sitzen praktisch zu 100 % im Ausland. Österreich ist ein klassisches Opferland.
Der Zugriff auf die Täter gestaltet sich in der Praxis wohl als schwierig?
KERNBICHLER: Das ist tatsächlich so, da die meisten Täter von Russland oder asiatischen Ländern aus operieren. Dort sind unsere Zugriffsmöglichkeiten – je nach Land – freilich beschränkt. Was wir hier in Österreich an einem digitalen Tatort machen, ist in erster Linie die Spurensuche bzw. das Sammeln und Auswerten von Spuren. Diese werden dem Cybercrime Competence Center im Bundeskriminalamt übermittelt, und in weiterer Folge an Europol weitergeleitet, die die internationale Strafverfolgung übernimmt. Problematisch ist es immer dann, wenn man in einem Drittstaat landet, der nicht kooperativ ist und von dem man trotz förmlicher Ansuchen keine Auskünfte bekommt.
NEUMANN: Als Sachverständiger vor Gericht bin ich auch immer wieder mit Fällen von Internetbetrügereien konfrontiert. Rasch landet man dabei bei Servern und IP-Adressen auf anderen Kontinenten – und damit enden meist die Möglichkeiten, die Täter auszuforschen.
Wie ist das Procedere, wenn Sie als Ermittler zu einem Fall gerufen werden? Und bleibt den Unternehmen meist eine andere Wahl, als Lösegeld zu bezahlen?
KERNBICHLER: Ich kann nur die Leitlinie des Innenministeriums vertreten. Diese lautet: Bezahlen Sie nicht an Erpresser! Es gibt aber kein Gesetz, das es verbietet, Lösegeld zu zahlen. Wir haben auch keinerlei Informationen darüber, wie oft gezahlt wird bzw. in wie viel Prozent der Fälle wir überhaupt zu Hilfe gerufen werden. Wir müssen davon ausgehen, dass die Mehrheit der Betroffenen die Exekutive erst gar nicht einschaltet – was ich bedaure. Wenn wir zu einem digitalen Tatort gerufen werden, erleben wir die meisten Firmen im Ausnahmezustand, es herrscht verständlicherweise Aufregung – die oberste Priorität der Unternehmen ist, ihre Geschäftsfähigkeit wiederherzustellen. Und dem versuchen wir möglichst nicht im Wege zu stehen. Wir bitten die Firmen nur um jene Informationen, die wir wirklich benötigen, um arbeiten zu können – etwa Protokolle oder Abbilddateien von Servern, aber auch nicht mehr. Sonst halten wir uns so gut wie möglich im Hintergrund. Wir sind kein konzessioniertes Unternehmen und dürfen weder Hand an die Systeme anlegen noch versuchen, die Datenbestände wiederherzustellen. Und wir dürfen auch nicht mit den Erpressern verhandeln. Was wir machen, ist klassische Spurensuche.
SEME: Die Methoden der Erpresser wurden leider raffinierter. Früher wurden die Daten nur verschlüsselt und wenn man ein Backup im Hintergrund hatte, dann konnte man die Daten im besten Fall wiederherstellen und musste nicht zahlen. Heute werden die Daten vielfach erst abgesaugt, dann verschlüsselt, und wenn Unternehmen nicht zahlen, wird gedroht, die gestohlenen Daten online zu stellen bzw. weiterzuverkaufen oder an Kunden, Mitbewerber und Medien zu schicken. Damit baut man einen gewaltigen Druck auf Unternehmen auf.
Das heißt, ein gutes Backup allein schützt auch nicht mehr?
DOMINIKUS: Backups sind natürlich sehr wichtig, aber ein absoluter Schutz ist damit nicht möglich. Ich kenne den Fall eines steirischen Industriebetriebs, wo das Backup von den Hackern einfach ausgehebelt wurde. Auf den Servern wurde über Monate gar nichts mehr als Backup gesichert, ohne dass es jemand im Betrieb bemerkt hätte.
KERNBICHLER: Dennoch hätten es Hacker deutlich schwerer, wenn sich jedes Unternehmen an die alte Regel eines Dreifach-Backups halten würde: eine Tagessicherung, eine Wochensicherung im Safe und eine Monatssicherung außer Haus. Damit wäre schon viel geholfen.
GEBESHUBER: Bei wirklich großen Angriffen sind die Hacker meist schon mindestens ein halbes Jahr in der IT, ehe der echte Angriff losgeht. Bei einer so langen Zeitspanne kann man sich nicht mehr darauf verlassen, dass das Backup noch sauber ist. Es gibt Firmen, die starten nach einem Angriff mit ihrer IT wieder bei Null, weil sie nicht wissen, welchen Systemen sie noch trauen können.
NEUMANN: Ein wichtiger Hinweis: In der Wirtschaftskammer haben wir eine IT-Security-Hotline eingerichtet, bei der im Schadensfall kostenlos angerufen werden kann. Dort können wir dann auch an IT-Security-Experten vermitteln. Seit Corona registrieren wir einen extremen Anstieg bei den Anrufen – und zwar quer durch alle Branchen und Unternehmensgrößen. Die Dunkelziffer bleibt freilich hoch, viele Betroffene melden sich gar nicht – weder bei uns noch bei der Polizei.
KERNBICHLER: Betroffene haben offenbar eine Scheu, die Polizei anzurufen. Vielleicht aus Angst, dass die Öffentlichkeit dann davon erfährt. Völlig zu Unrecht. Von uns geht nichts an die Medien oder sonstige Stellen. Ein anderer Grund könnte sein, dass viele nicht gerne die Polizei im Haus haben oder Sorge haben, ihre Daten der Polizei zu übergeben. Auch das ist völlig unberechtigt. Uns interessieren die Daten, die Nutzerdaten, nicht, sondern nur die Betriebssysteme. Daher kann ich nur an jeden, der durch eine Cyberattacke geschädigt wurde, appellieren: Erstatten Sie Anzeige! Und bitte kooperieren Sie mit uns! Oft ist es so, dass Geschädigte nur Anzeige erstatten, weil sie müssen – etwa aus Versicherungsgründen. Je mehr digitale Spuren wir sichern können, desto größer ist das Spurenbild, desto leichter wird es für uns, die Straftaten aufzuklären und die Täter zu finden – und damit auch künftige Straftaten zu verhindern.
Was sind nun die wichtigsten Maßnahmen, um sich zu schützen?
GEBESHUBER: Zu allererst sind das die technischen Hausaufgaben, die jeder machen muss. Jede Organisation muss seinen IT-Betrieb sauber halten und professionell führen – mit Backups, Firewalls, Softwareupdates und einer Netzwerksegmentierung. Das ist keine Raketenwissenschaft. Man muss es nur tun. Aber viele tun es nicht. Daneben sollte der zweite Fokus auf der Awareness der Mitarbeiter liegen. Mitarbeiterschulung und Bewusstseinsbildung sind das Um und Auf.
DOMINIKUS: Auch wenn ein grundlegender technischer Schutz keine Raketenwissenschaft ist, braucht man trotzdem die Mitarbeiter, die das auch können. Und derzeit haben wir einfach das Problem des Fachkräftemangels. Es fehlen an vielen Stellen die Spezialistinnen und Spezialisten.
KERNBICHLER: Und diese sollten sich dann auch an Standards halten und nicht einknicken, wenn der CEO kommt und sagt: „Das will ich aber anders haben, weil es bequemer ist.“
NEUMANN: Leider ein klassischer Fall: Security geht oft zu Lasten von Convenience – da geht dann meist eine Schere auf.
SEME: Dazu passt die in vielen Unternehmen ewig währende Diskussion um das ideale Passwort: Soll es möglichst lang und kompliziert sein? Ist es dann auch wirklich sicher? Denn es kann auch dazu führen, dass es die Mitarbeiter stört, wenn sie es dauernd ändern müssen – und sie fangen dann an, es irgendwo aufzuschreiben.
NEUMANN: Genau, das Posting am Monitor ist dann der Klassiker! Da können sich viele an der Nase nehmen.
GEBESHUBER: Wir machen auch Penetration-Tests und Sicherheitsüberprüfungen. Unsere Erfahrung: Die schwächsten Passwörter hat oft das Management. Wobei es auch bei langen Passwörtern schlechte gibt.
NEUMANN: Generell sprechen wir in der IT-Sicherheit von technisch-organisatorischen Maßnahmen, abgekürzt TOMs. Dabei geht es um acht W-Fragen im Bereich der Cybersecurity, die sich jedes Unternehmen stellen sollte. Wer ist für das Thema im Unternehmen verantwortlich? Was bzw. welche Datenkategorien werden erfasst? Wo werden die Daten gespeichert? Warum bzw. was ist der Rechtsgrund, der zur Anwendung kommt? Wozu – also was ist der Zweck der jeweiligen Datenverarbeitung. Wohin werden die Daten übergeben? Wie lange werden die Daten gespeichert bzw. wann muss man sie löschen? Und wie sicher werden die Datensicherheitsmaßnahmen ergriffen? Ich denke, diese Fragen sind auch für Menschen verständlich, die mit IT sonst nicht viel zu tun haben. Von der DSGVO mag man halten, was man will, aber sie hat mit sich gebracht, dass Unternehmen begonnen haben, sich mit ihren Daten zu beschäftigen. Gerade auch KMU.
DOMINIKUS: Im Endeffekt sind drei Faktoren entscheidend, um sichere Systeme zu betreiben: die Technologie, die Prozesse und die Menschen. Das eine geht nicht ohne das andere. Denn du kannst die beste Technik haben, wenn die Menschen sie nicht bedienen können oder wenn die Prozesse nicht gelebt werden, weil Mitarbeiter sie umgehen und dadurch Sicherheitslücken entstehen. Man sieht es ja deutlich an den Ransomware-Angriffen, die meist mit Phishing starten – irgendwer klickt irgendwo auf einen Link, auf den man tunlichst nicht klicken sollte. Das ist nach wie vor der Klassiker. Künftig werden es immer mehr Deepfake-Nachrichten sein, etwa eine Anweisung von einem vermeintlichen Finanzvorstand, einen Geldbetrag zu überweisen. Das wird eine riesen Herausforderung.
SEME: Dennoch geht aber vieles in die richtige Richtung – auch dank neuer Regelungen, allen voran NIS2, der Cybersicherheit-Richtlinie für wichtige und kritische Einrichtungen der EU. Sie verpflichtet Unternehmen ausgewählter Branchen, angemessene Cybersecurity-Maßnahmen zu ergreifen und Vorfälle zu melden. Die Regelungen schließen auch Haftungen mit ein, es drohen hohe Strafen. Dadurch werden sich Unternehmensverantwortliche der Risiken künftig sicher bewusster.
NEUMANN: Die beste Vorbereitung auf NIS2 für Unternehmen ist die ISO-Norm 27001-Zertifizierung. Daher kann man jedem Unternehmen, das betroffen ist, nur empfehlen, sich zertifizieren zu lassen.
SEME: Große Unternehmen haben meistens ohnehin eine eigenen Fachabteilung, sind üblicherweise zertifiziert und grundsätzlich in dem Bereich gut aufgestellt. Aber wie vorhin gesagt: Die letzten Meter sind sicher die teuersten. Künftig ist aber jedes Unternehmen gut beraten, sich dafür wirklich Spezialisten zu suchen – auch wenn es der Fachkräftemangel nicht leicht macht. Es gibt auch Services, die man sich zukaufen kann – etwa Incident Response Services, an die man sich im Falle einer Attacke rund um die Uhr wenden kann.
GEBESHUBER: Es ist auch ratsam, die Abläufe im Falle eines Angriffs zu trainieren. Quasi wie ein Feueralarm. Man simuliert die Situation eines erfolgten Hackerangriffs und spielt das Szenario einmal durch. Dann sieht man rasch, wo es Schwachstellen in den Prozessen gibt.
DOMINIKUS: Wie bereits gesagt wurde: Hundertprozentige Sicherheit gibt es nicht. Jeder kann angegriffen werden, wenn man Pech hat, findet der Angreifer genau zum richtigen bzw. falschen Zeitpunkt eine Lücke. Selbst wenn man sich intensiv damit beschäftigt, kann man nicht ausschließen, dass man irgendwann einmal gehackt wird. Deswegen braucht es immer Notfall-Szenarien.
Wie können sich im Zeitalter von Smart Production und vernetzter Systeme heimische Produktionsbetriebe besser schützen?
SEME: Produktionsbetriebe sind längst das Angriffsziel Nummer eins. Wir haben uns mit unseren Lösungen auch auf Industrie- und Produktionsunternehmen spezialisiert, weil hier viele noch Aufholbedarf haben. Das hat mehrere Gründe. Noch vor wenigen Jahren war die Produktion eine von außen abgeschottete Insel. Heute haben wir ganze andere Anforderungen – Fernwartungszugänge, Daten in der Cloud, Daten auf dem Handy des Managements, ein ERP-System, das auf die Produktionsumgebung zugreift etc. Damit hat man sich viel Technologie reingeholt und viele Lücken aufgemacht. Je digitaler Produktionen werden, desto verwundbarer werden sie. Daher müssen die Firmen vermehrt in Cyber-Security-Maßnahmen investieren. Produktionssysteme haben ganz andere Laufzeiten als ein IT-System. Ein IT-System kann man alle fünf Jahre austauschen, ein Produktionssystem läuft 10 bis 20 Jahre. Daher braucht es Lösungen, um solche Systeme, die nicht gleich ausgetauscht werden, trotzdem gut schützen zu können. Dafür existieren vielfältige Methoden und Möglichkeiten.
DOMINIKUS: Automatisierte Produktionsbetriebe sicherer zu machen, ist einer der Schwerpunkte unserer Siemens-Niederlassung in Graz. Denn IT und OT, also „Operational Technology“, wachsen immer mehr zusammen. In einer digitalen Fabrik schafft man eine Brücke zwischen der IT und der OT – dank der Digitalisierung können immer mehr Daten aus der Produktion verwendet werden. Die große Herausforderung dabei sind Legacy-Systeme, also Altsysteme, die historisch gewachsen sind. In der OT hängen Geräte, die teilweise 20 oder 30 Jahre alt sind. Und vor 30 Jahren hat sich noch niemand Gedanken darüber gemacht, ob bei dieser Hardware Updates oder Authentifizierungen möglich sind. Für aktuelle Geräte entwickeln wir solche Lösungen. Es gilt, die Komponenten zu befähigen, alle notwendigen Sicherheitsmechanismen zu unterstützen. Das ist auch dringend geboten – denn der größte GAU in der Produktion ist der Stillstand.
SEME: Ich denke, auch hier wird eine weitere gesetzlichen Regelung der EU, der Cyber Resilience Act, etwas bewegen. Dieses Gesetz verpflichtet Hersteller digitaler Produkte und Services dazu, diese möglichst cybersicher zu machen – über den gesamten Lebenszyklus hinweg.
In wie viel Prozent der Fälle ist der Faktor Mensch die Ursache für einen Schadensfall?
KERNBICHLER: Ich würde schätzen, in rund 90 Prozent der Fälle war der Faktor Mensch der Auslöser.
DOMINIKUS: Daher sollte sich jeder bzw. jeder Einzelne im Unternehmen bewusst sein, dass sie bzw. er Verantwortung trägt. Und dass auch jeder etwas beitragen kann. Security sollte nicht als notwendiges Übel betrachtet werden, sondern als Chance, selbst tätig zu werden. Ich würde mir wünschen, dass die Menschen künftig selbst Freude daran haben, etwas zu entdecken, das das Unternehmen schützt und sicherer macht.
SEME: Awareness-Schulungen gehen oft mit Phishing-Kampagnen einher. Dabei wird z.B. eine Email ausgeschickt – „Wer auf den Link klickt, gewinnt das neueste iPhone.“ Darauf erhält man üblicherweise hohe Antwortzahlen – selbst in IT-Unternehmen. Das machen wir regelmäßig. Oder wir bringen im Auftrag des Kunden manipulierte USB-Sticks in Umlauf. Wird dieser am Firmenrechner angesteckt, dann wird uns das reportet. So sehen wir, wer gegen Sicherheitsregeln verstößt. Solche Schritte gehen dann mit einem Training einher – und mit der Bildung von Awareness: „Achtung! Wenn du so etwas ansteckst oder auf einen Link klickst, dann hat das Folgen!“ Die Quote der Leute, die draufklicken, ist teils erschreckend hoch – ja nach Unternehmen kommt man durchaus auf über 20 Prozent.
GEBESHUBER: Wir machen auch Phishing-Kampagnen dieser Art. Unsere Erfahrungen: Schon auf ein schlechtes Phishing-Mail voller Rechtschreibfehler klicken rund 6 bis 10 Prozent der Empfänger. Wenn es gut gemacht ist und man eine gute Story hat, sind es bis zu 90 Prozent. All-time-high war ein Test-Mail von der Personalabteilung – der Inhalt: „Die Gehaltsverhandlungen sind abgeschlossen. Hier ist das Ergebnis.“ Da klickte wirklich fast jeder drauf. Wenn jemand raffiniert vorgeht und sich in die Firmenstruktur hineindenkt, ist leider vieles möglich. Mit KI wird das künftig noch problematischer.
DOMINIKUS: Deswegen sage ich: Security ist ein permanenter Prozess und Teamarbeit. Mit einem einmaligen Awareness-Training ist es nicht getan – man muss es immer wieder tun und die Menschen alle paar Monate darauf aufmerksam machen, dass es diese Bedrohungen gibt und dass man etwas dagegen tun muss.
SEME: Auch wenn die genannten Zahlen dramatisch klingen, muss man schon auch relativieren. In der Realität würden die meisten dieser Test-Mails aus den Phishing-Kampagnen das Ziel aufgrund technologischer Sicherheitsmechanismen im Betrieb gar nicht erreichen. E-Mails mit verdächtigen Links oder Anhängen landen zum Großteil schon vorab im Spamfilter. Daher müssen vorab, um solche Phishing-Tests überhaupt erst zu ermöglichen, technische Sicherheitsmaßnahmen punktuell für den Testzeitraum gelockert werden.
NEUMANN: Wenn ein Unternehmen zu mir kommt und sagt, sie wollen ihre IT sicherer machen, dann sage ich immer: Awareness. Awareness. Awareness. Das heißt ich empfehle Mitarbeiter-Schulungsprogramme, so viele wie möglich. Für viele CFO ist IT-Security aber oft nur eine Kostenstelle, die aus ihrer Sicht nicht viel bringt. Aber wenn ein Schaden eintritt, dann sehen sie es rasch anders. Denn dann kann es zu einer richtige Kostenstelle werden.
Befeuern die geopolitischen Unsicherheiten den Cyberwar?
NEUMANN: Eines können hier wohl alle bestätigen: Es gibt heute mit Sicherheit nicht weniger russische Hacker als vor dem Krieg in der Ukraine.
SEME: Solang man als Hacker in Russland keine russischen Unternehmen angreift, darf man sich dort sicher fühlen.
GEBESHUBER: Auch wenn es in erster Linie Wirtschaftsinteressen sind, die die Hacker antreiben, passieren auch immer wieder Kollateralschäden. Die Ransomware NotPetya im Jahr 2017 in der Ukraine hat auch einige Firmen im Ausland getroffen.
SEME: Beim Angriff auf die Ukraine sind in den ersten Tagen die Kommunikationsnetze in der Ukraine lahmgelegt worden – das waren zufälligerweise dieselben, die auch von deutschen Windkraftwerken verwendet werden. Damit waren diese dann auch beeinträchtigt. Unsere größte Sorge bei BearingPoint gilt momentan aber Israel. Das Land ist im Cyber Security Bereich führend. Auch viele unserer Produkte kommen aus Israel. Wir kennen die Leute dort persönlich und sind regelmäßig vor Ort. Das sind Spezialisten, die nun zum Teil zum Militäreinsatz eingezogen werden und daher selbst betroffen sind. Daher machen wir uns wirklich Sorgen. Wenn man Betroffene persönlich kennt, bekommt ein internationaler Konflikt noch einmal eine ganz andere Ebene und man sieht, dass eine vermeintlich einfache Schwarz-Weiß-Einteilung selten möglich ist. Es gibt auf beiden Seiten sehr viele Menschen, die sich ein baldiges Ende der Auseinandersetzung und eine dauerhafte Versöhnung wünschen.
Wird Cybersecurity ein ewiger Hase-Igel-Wettlauf bleiben?
NEUMANN: Das war immer so und wird immer so bleiben. Wir müssen schauen, dass wir die Nase vorne haben. Denn das Internet ist wie der Wilde Westen. Es geht nicht darum, wer schneller zieht, sondern wer besser hackt – die Akteure machen das Web zum rechtsfreien Raum.
KERNBICHLER: Das Gegenüber hat einen Startvorteil. Denn wer sich an keine Konventionen hält und keine Regeln befolgt, der ist immer im Vorteil.
Wird KI Cyberattacken weiter beschleunigen? Und wie schützen wir uns in Zukunft vor Deepfakes?
SEME: KI nützt beiden Seiten. KI ermöglicht der Security-Software eine frühere Erkennung von Unregelmäßigkeiten im System und damit von Cyberangriffen. Gleichzeitig steigen die Möglichkeiten der Hacker durch Deepfakes, ob Fake-Videos oder fingierte Anrufe, exorbitant. Es wird in Zukunft immer schwieriger werden, reale Bilder oder Stimmen von Fake zu unterscheiden.
GEBESHUBER: Dialekt reden hilft noch. (lacht) Klingt lustig, da ist aber was Wahres dran.
DOMINIKUS: Ich glaube, dass wir künftig einen zweiten Kanal benötigen, wie man verifiziert, ob das Gegenüber jetzt tatsächlich derjenige ist, der er vorgibt zu sein. Zum Beispiel über einen Rückruf. Es wird künftig wohl mehr Interaktion geben müssen.
KERNBICHLER: Im Angesicht dessen, was Künstliche Intelligenz künftig alles simulieren und nachstellen kann, ist es sicher erforderlich, dass die Menschen grundlegend skeptischer werden. Was mich stört, ist die Leichtgläubigkeit vieler Menschen. Wir sehen es ja auch bei den Delikten mit den falschen Polizisten, auf die so viele Leute reinfallen. Daher wünsche ich mir dringend ein höheres Maß an Kritik, das die Bürgerinnen und Bürger aufbringen sollten, wenn sie mit bestimmten Situationen konfrontiert sind. Eine gewisses Grundskepsis sollte den Menschen anerzogen werden – oder man sollte sie in diese Richtung wieder bilden. Wenn man jedes Mail, das daherkommt, anklickt und jeden Anruf, der einen erreicht, für bare Münze nimmt, dann wird es halt schwierig.
SEME: Wenn Sie es nicht ohnehin im Elternhaus vermittelt bekommen, müssen unsere Kinder bereits in der Schule lernen, mit solchen Dingen umzugehen. Je früher sich ein kritisches Bewusstsein bildet, desto besser. Mein Sohn hat im Herbst mit der Schule begonnen. Für uns als Gesellschaft kann man sich nur wünschen – und das geht über Cyberkriminalität hinaus –, dass wir uns frühzeitig, d.h. in der Grundschule, damit beschäftigen, wie sehr wir durch das Internet bzw. über KI manipulierbar sind, und wie wir bewusster mit sozialen Medien umgehen und hier eine gewisse Sensibilisierung erreichen – das beginnt bereits bei unseren Kleinsten!
Fotos: Oliver Wolf, iStock
