Jedes Unternehmen kann Opfer eines Hackerangriffs werden. Doch viele Firmen halten sich immer noch für unverwundbar. Die größte Schwachstelle: der Mensch.
Wien. Auf diese Schlagzeilen hätte der börsenotierte Flugzeugkomponentenhersteller FACC im Jänner dieses Jahres lieber verzichtet: Ein Schaden von 50 Millionen Euro sei dem Unternehmen aufgrund einer Cyber-Attacke entstanden, meldete der Flugzeuglieferant mit Stammsitz in Ried im Inkreis damals kleinlaut.
Die Anleger reagierten auf die Hiobsbotschaft sofort, die Aktie verlor in den darauffolgenden Wochen über ein Viertel ihres Wertes. Erholt hat sie sich bis heute nicht. Und der Finanzvorständin des Unternehmens, Minfen Gu, blieb nichts anderes übrig, als ihren Chefsessel zu räumen.
Der Ablauf des Betrugs wirkt auf den ersten Blick wie ein Sketch der Sendung „Verstehen Sie Spaß?“. Dort brauchen die Gefoppten auch oft erstaunlich lang, bis sie merken, dass ein Scherz auf ihre Kosten im Gange ist. Doch einen Unterschied gibt es zu diesem beliebten Fernsehformat: Es handelte sich um keinen Scherz, als der Mitarbeiter der FACC-Finanzabteilung von seinem Vorgesetzten in scheinbar vertraulichen Mails aufgefordert wurde, Millionen Euro auf asiatische und slowakische Konten zu überweisen, sondern um einen sogenannten Faked President Fraud.
Dabei nehmen Betrüger eine fremde Identität an und geben sich etwa als der eigene Chef, als Rechtsanwalt oder Berater des Unternehmens aus und wenden sich per Mail an einen ausgesuchten Mitarbeiter. Er wird aufgefordert, umgehend eine Zahlungsanweisung zu veranlassen, die aber hochgeheim zu handhaben ist, weil es sich etwa um ein geheimes Forschungsprojekt oder eine geplante Firmenübernahme handelt.
Cyber-Angriffe fallen spät auf
Und nicht nur bei FACC hatten die Kriminellen damit Erfolg. 2015 tappte ein Manager der amerikanischen Agrar-Management-Firma Scoular in die gleiche Falle und überwies 15 Mio. Euro nach China, um nur ein Beispiel zu nennen.
Doch wie kann es sein, dass Betrüger mit dieser relativ simplen Masche Erfolg haben? Keine Frage, viele Unternehmen in Österreich operieren immer noch mit IT-Systemen, die nicht dem Stand der Technik entsprechen, ist der Krisenmanager Martin Zechner überzeugt. Doch die wahre Schwachstelle liegt seiner Ansicht nach woanders: „Die primäre Fehlerquelle ist nach wie vor der Mensch“, sagt er. „Das beste IT-Sicherheitssystem hilft nichts, wenn die Mitarbeiter nicht sensibilisiert sind, dass sie und ihr Unternehmen Ziel einer Cyber-Attacke sein könnten.“
Das zeigt auch eine Analyse von Trustwave, einem international agierenden Sicherheitsunternehmen. Es untersuchte über 500 Sicherheitsvorfälle. Das erschreckende Ergebnis: Im Schnitt vergingen vom ersten Cyber-Angriff bis zur Aufdeckung 188 Tage, also mehr als ein halbes Jahr. „Das wäre leicht vermeidbar, wenn bei Mitarbeitern ein anderes IT-Sicherheitsbewusstsein bestünde“, sagt Zechner. Und eine Angst sollten sie auch nicht haben müssen: „Dass sie mit unangenehmen Konsequenzen rechnen müssen, wenn sie realisieren und zugeben, auf ein gefälschtes Mail bereits geantwortet zu haben. Denn, wenn sie zögern, den Fehler zuzugeben, vergeht wertvolle Zeit.“
Vielmehr müsste jedes Unternehmen Regeln transparent machen, die besagen, wie in so einem Fall vorzugehen sei. „Das heißt, jeder sollte genau wissen, was bei einer Datenpanne zu tun ist, wer zu informieren, welche technischen Maßnahmen zu setzen und welche rechtlichen Schritte einzuleiten sind“, sagt Zechner.
Hacker suchen nach Lücken
Doch nach wie vor glauben in Österreich nur 40 Prozent der Unternehmen, ein attraktives Ziel für Cyberangriffe zu sein, das ergab eine aktuelle KPMG-Studie zum Thema Cyber Security.
„Während sich große Unternehmen tendenziell eher als Zielscheibe sehen, wiegen sich kleine und mittlere in vermeintlicher Sicherheit“, sagt KPMG-Partner Michael Schirmbrand. „Doch Cyber-Kriminelle wählen ihre Opfer nicht immer nach wirtschaftlichen Kriterien aus. Häufig reicht es, eine leicht zu hackende Software zu verwenden – und schon wird man vom User zum Angegriffenen“, so Schirmbrand.
Zechner rät Unternehmen, sich rasch auf die neue Bedrohung einzustellen: „Allen sollte klar sein, dass es sich bei Cybercrime nicht um einzelne Vorkommnisse handelt, sondern um ein professionelles und erfolgreiches Geschäftsmodell, eine Underground Economy, hinter der eine lange Wertschöpfungskette steht.“
("Die Presse", Print-Ausgabe, 17.05.2016)