Wenn Unternehmen eine Cyberattacke bemerken, sind die Angreifer meist schon monatelang im System. Gute Vorbereitung ist daher unabdingbar.
Foto: Reuters/Kacper Pempel

Seit Ausbruch der Pandemie ist ein starker Anstieg an Cyberangriffen spürbar. Die aus Datenschutzverletzungen und IT-Ausfällen resultierenden Betriebsunterbrechungen sind laut dem Allianz-Risk-Barometer 2022 weltweit die größte Sorge von Unternehmen. Auch in Österreich sind Cybervorfälle und dabei allen voran Ransomware-Angriffe, bei denen Kriminelle in das System eindringen und sämtliche Daten verschlüsseln, zur am meisten gefürchteten Krisensituation aufgestiegen. Parallel dazu ist ein starker Anstieg von "CEO-Fraud"-Angriffen zu verzeichnen. Hier werden Mitarbeiter unter falscher Vorspiegelung von Autorität zu unberechtigten Überweisungen verleitet.

Hinter all diesen Verbrechen steckt mittlerweile eine stetig wachsende, arbeitsteilig und extrem professionell agierende kriminelle Industrie. Unternehmen müssen auf diese Bedrohungen daher proaktiv mit geeigneten Compliance-Systemen reagieren. Andernfalls können sie im schlimmsten Fall selbst haftbar gemacht werden.

Prävention dringend geboten

Bei Ransomware-Attacken erfolgt der finale Angriff, mit dem die Systeme verschlüsselt werden, regelmäßig zu Randzeiten – etwa über Nacht und am Wochenende. Damit können die Kriminellen möglichst lange unbemerkt vorgehen. Oft führt das dazu, dass sämtliche Systeme bis hin zur Telefonanlage oder Schließanlage komplett außer Gefecht gesetzt werden können. Beim Opfer stehen damit die Produktionslinien, er ist von seinem Unternehmen und Kontakten physisch wie virtuell komplett getrennt. In den meisten Fällen sind die Täter Monate vor dem eigentlichen Krisenfall über Phishing-Attacken in das System eingedrungen. Dafür werden dem Opfer maßgeschneiderte E-Mails oder Nachrichten über Social-Media-Kanäle gesendet. Oft wird in der Nachricht sogar ein physischer Kontakt, der tatsächlich erreichbar ist und mit lokalem Akzent spricht, angegeben. Dieser verleitet dann dazu, die verhängnisvolle Datei zu laden, ohne dass auch nur ein Verdacht entsteht. Die Angreifer arbeiten sich sodann oft monatelang durch das System und sammeln Passwörter sowie Informationen zum Umsatz, Versicherungsdeckung und Krisenmanagement. Das alles mündet dann im gezielten Angriff und der ebenso maßgeschneiderten Lösegeldforderung.

Angesichts des großen Bedrohungsszenarios sind eine proaktive Auseinandersetzung mit dem Thema sowie angemessene Präventionsmaßnahmen dringend geboten. Da abseits von CEO-Fraud-Attacken ein Cyberangriff klassischerweise auch ein Datenleck im Sinne der Datenschutzgrundverordnung (DSGVO) auslöst, sind primär die Vorgaben von Art 32 DSGVO zu beachten. So hat das Unternehmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Kritikalität und Sensibilität der betroffenen Daten angemessene technische und organisatorische Sicherheitsmaßnahmen zu implementieren. Abseits davon sind Betreiber wesentlicher Dienste – also kritischer Infrastruktur wie etwa Finanzdienstleister, Wasser- und Energieversorgung – zu zusätzlichen Präventivmaßnahmen verpflichtet. Für "normale" Unternehmen greifen zu guter Letzt auch die allgemeinen unternehmensrechtlichen Sorgfaltspflichten aus dem GmbH-Gesetz und dem Aktiengesetz.

Compliance verhindert Haftung

All diese Vorgaben sehen jedoch bewusst keine konkret zu implementierenden Maßnahmen vor. Vielmehr hat jedes Unternehmen ein die Umstände und das Gefährdungspotenzial berücksichtigendes Risk-Assessment durchzuführen. Gerade aus technischer Sicht gibt es eine Vielzahl an erprobten Präventivmaßnahmen – von Data-Leak-Prevention über diffizile, meist KI-basierte Fraud-Detection-Anwendungen. Darüber hinaus kommt Mitarbeiter- und Dienstleisterschulungen und regelmäßigen Nachkontrollen eine zentrale Bedeutung zu. Die größte Schwachstelle neben nicht gewarteter Software ist der menschliche Faktor.

Das Präventionskonzept sollte in einen klar strukturierten Krisenplan münden. Dieser dient im Anlassfall – in dem regelmäßig nur wenige Tage oder gar Stunden für wesentliche Entscheidungen bleiben – dem vorab festgelegten Krisenteam aus internen und externen Experten wie IT-Forensikern, Anwälten, PR-Profis als Handlungsanleitung. Die Dokumentation der vorab und im Anlassfall getroffenen Entscheidungen und Maßnahmen ist ein wesentlicher Aspekt zur Haftungsminimierung oder gar Haftungsvermeidung: Sie dient als Basis für eine etwaige Meldung an Behörden und die Kommunikation mit der Versicherung, aber auch mit Mitarbeitern und Kunden. Zudem ist sie Entscheidungsgrundlage für die Frage, ob, unter welchen Bedingungen und in welcher Höhe ein Lösegeld allenfalls bezahlt werden kann und soll. (Axel Anderl, Nino Tlapak, 14.10.2022)