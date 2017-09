Wien. Dass Cyberkriminalität auch in Österreich längst an der Tagesordnung steht, zeigte erst im August die publik gewordene Affäre rund um das oberösterreichische Gleisbauunternehmen Plasser und Theurer. So ermittelt die Staatsanwaltschaft derzeit ja in mehreren Fällen, weil der Verdacht im Raum steht, dass Konkurrenten ausspioniert und dabei auch Daten gestohlen worden sind.

Meist bleibt das Thema Datenklau jedoch unbemerkt von der Öffentlichkeit – auch wenn fast jedes zweite Unternehmen hierzulande bereits einmal ein Opfer war. Denn 44 Prozent aller Unternehmen waren laut einer Studie des Beratungsunternehmens EY schon einmal von Cyberkriminalität betroffen. Das ergab eine Umfrage unter 100 Führungskräften aller relevanter Branchen. Und selbst diese Zahl dürfte wohl noch zu kurz gegriffen sein, meint Drazen Lukac von EY. „Viele Firmen kommen erst viel später drauf, dass Daten entwendet worden sind.“ Die wahre Zahl jener, die noch nie ins Visier von Datendieben geraten sind, sei daher wahrscheinlich deutlich geringer als 56 Prozent.

Alle Daten sind wertvoll

Das Problem sei dabei oft, dass Firmen, die glaubten, gar keine wertvollen Daten zu haben, sich nicht so gut absichern. Das mache sie erst recht zu einem beliebten Ziel. Doch Daten seien grundsätzlich wertvoll, meint Lukac. „Handelsunternehmen haben beispielsweise sehr viele Daten von ihren Endkunden, die auch geschützt werden müssen.“ Eine Nachlässigkeit könnte hier schon bald sogar finanzielle Konsequenzen für die Unternehmen haben. „Ab Mai 2018 gilt die neue Datenschutzgrundverordnung. Hier setzt es sehr hohe Strafen, wenn Daten nicht ordnungsgemäß geschützt werden.“ Laut dem Gesetz können die Strafen bis zu vier Prozent des globalen Konzernumsatzes oder 20 Mio. Euro ausmachen.

Das kann mitunter existenzbedrohend für eine Firma sein“, sagt Lukac.

Manchmal geht es aber auch gar nicht darum, sensible Daten zu erbeuten, sagt Benjamin Weissmann, Leiter der Cyber-Forensik bei EY. „Oft ist das Ziel einfach die Löschung beziehungsweise Verschlüsselung der Daten eines Unternehmens, um eine wirtschaftliche Schädigung zu erwirken.“ Mit einer Lösegeldforderung für verschlüsselte Daten wurden bereits 17 Prozent aller Unternehmen konfrontiert. Dass sie bezahlt haben, wollen nur zwei Prozent offen zugeben, 62 Prozent der Befragten wollen hier lieber keine Angabe machen. Es dürfte aber nahe liegen, dass der Großteil den Forderungen der Kriminellen nachgekommen ist. Die Schadenshöhe beträgt in den meisten Fällen, in denen sie beziffert werden kann, unter 50.000 Euro.

Doch wie und wo sollten sich die Unternehmen besser schützen?

Lukac ortet eine gewisse Zwiespältigkeit: „Einerseits sagen die Unternehmen, dass sie ausreichend vorbereitet sind. Andererseits aber auch, dass es zu wenig Budget bzw. Ressourcen für die Prävention gibt.“

Seiner Ansicht nach könnte man die schnellsten Verbesserungen wohl erzielen, wenn die Mitarbeiter ausführlich auf das Thema geschult werden. „Die teuerste technische Abschirmung hilft nichts, wenn die Mitarbeiter nicht ebenfalls sich des Risikos bewusst sind.“ Denn in 86 Prozent aller Hackerangriffe geht dem Angriff ein simples Phishing voraus, dass durch Aufmerksamkeit der Mitarbeiter erfolglos bleibt.

Energieversorger im Visier

Aber auch die wirklich professionelle Industriespionage durch Konkurrenten werde nach wie vor unterschätzt. „Werden Forschungs- und Entwicklungsdaten gestohlen, dann haben oft Konkurrenten ihre Hände im Spiel“, sagt Weissmann. Beschäftigt sich eine Firma wiederum mit kritischer Infrastruktur – etwa Energieversorger – dann müsse auch mit Attacken von ausländischen Geheimdiensten gerechnet werden. So sorgten 2015 Hacker etwa in der Ukraine für einen großflächigen Stromausfall.

("Die Presse", Print-Ausgabe, 26.09.2017)