Cyberkriminalität und -sicherheit ist besonders seit der Corona-Krise ein stets aktuelles Thema. Im Rechnungshofausschuss steht die Prävention und Bekämpfung von Cyberkriminalität zur Debatte, während eine Analyse der KSV1870 Nimbusec GmbH zeigt, dass Cybervorfälle bei jedem dritten Betrieb unbemerkt bleiben.
Seit Beginn der Corona-Pandemie ist eine Verstärkung von Hackerangriffe und die Ausnutzung von technischen Sicherheitslücken deutlich bemerkbar. Cyberkriminalität vorzubeugen und zu bekämpfen sollte für jedes Unternehmen auf der To-Do-Liste vermerkt sein. Laut Innenminister Gerhard Karner seien höhere Strafen und zusätzliche Ermittlungsbefugnisse zwar notwendig, ein vorsichtiger Umgang mit den eigenen persönlichen Daten und Geräten könne den einen oder anderen Fall jedoch vermeiden.
Jeder dritte Betrieb erkennt Cybervorfälle nicht
Laut aktueller CyberRisk-Analyse der KSV1870 Nimbusec GmbH sind drei von zehn heimischen Betrieben weiterhin nicht in der Lage, IT-Sicherheitsvorfälle zuverlässig zu erkennen. Zudem überschätzen 22 Prozent der Firmen ihre eigenen Vorkehrungen gegen Hacking-Angriffe – sie wähnen sich also in falscher Sicherheit. Weiters hat jeder vierte Betrieb kein adäquates Cyber-Notfallkonzept, um im Ernstfall rasch reagieren zu können. Eine Analyse von rund 250.000 Unternehmenswebseiten durch die KSV1870 Nimbusec GmbH zeigt, dass selbst nach einem erfolgreichen Hacking-Angriff 90 Prozent der rund 200 infizierten Webseiten einen Monat später noch immer Schadsoftware an ihre Besucher verteilen.
Reform soll mehr Ermittlungsmöglichkeiten bieten
2019 stieg in Österreich die Zahl der Cyberkriminalitätsdelikte im Vergleich zum Jahr davor um 45 % auf 28.439 angezeigte Fälle. Daher komme geeignetem Personal eine zentrale Rolle bei der Bekämpfung zu. Die Schäden betreffen Bürger gleichermaßen wie die Wirtschaft und staatliche Institutionen. Neben finanziellen Schäden erkannte der Rechnungshof immaterielle Schäden durch “Hass im Netz”.
Der Innenminister Gerhard Karner betont, dass die wesentlichen Säulen der Reform die Stärkung der Kriminalpolizei in den Regionen, der Fokus auf Cybercrime und die Weiterentwicklung der Bekämpfung organisierter Kriminalität, Prävention sowie Aus- und Weiterbildung sind. Durch eine Gesetzesnovelle soll die Polizei mehr Ermittlungsmöglichkeiten in Fällen von Cyberkriminalität bekommen, zudem werden Strafen für Hacker erhöht. Wer künftig einen Computer hackt, soll mit bis zu zwei Jahren Freiheitsstrafe rechnen müssen, für Angriffe auf die kritische Infrastruktur soll die Maximalstrafe auf drei Jahre erhöht werden, sagte Karner zu Agnes Sirkka Prammer (Grüne).
Jedes vierte Unternehmen ohne Cybersicherheits-Konzept
25 Prozent der Betriebe haben kein Konzept vorliegen, um auf IT-Sicherheitsvorfälle reagieren zu können. „In Zeiten der Digitalisierung muss gewährleistet sein, dass sich Kunden und Lieferanten sicher im Netz bewegen können, ohne Angst haben zu müssen, dass hinter jeder Ecke eine virtuelle Gefahr lauert, die das eigene Geschäft schädigen könnte“, erklärt Ricardo-José Vybiral, CEO der KSV1870 Holding AG.
Die KSV1870 Nimbusec GmbH hat sich mehr als 250.000 Webseiten österreichischer Unternehmen genauer angesehen. Das Resultat: 200 davon wurden gehackt und sind damit einem erhöhten Sicherheitsrisiko ausgesetzt. Darunter sind unter anderem betrügerische Inhalte, Programmcodes, die Computerviren installieren oder auch Cryptominer, die auf (Strom-)Kosten der Webseiten-Besucher Cryptowährungen verbreiten.
Cyber Risk Rating
Um der steigenden Cybyerkriminalität entgegenzuwirken hat die KSV1870 Nimbusec GmbH den WebRisk Indicator in seine Unternehmensauskünfte integriert. Das bedeutet, wenn Unternehmen mehr Informationen über IT-Systeme haben möchten, können sie ein detailliertes CyberRisk Rating über den potenziellen Partner beauftragen. Dadurch wird erkennbar, ob gesetzliche Vorgaben erfüllt werden. Darüber hinaus liefert das Rating eine Anleitung, welche Sicherheitsmaßnahmen mit dem geringsten Ressourcenaufwand die größte Verbesserung im Betrieb erreichen.
NIS-2-Richtlinie
Seit 16. Jänner ist die die neue europäische Cybersicherheits-Richtlinie mit der Bezeichnung “NIS 2” in Kraft getreten, die einen Nachweis für IT-Sicherheit und Meldepflicht bei Sicherheitsvorfällen vorsieht. Damit soll Cybersicherheit und Resilienz in der EU zu verbessert werden.
Ist ein solcher Nachweis nicht vorhanden, kann das Eingehen einer Geschäftsbeziehung Haftungen und Strafen für Unternehmen und deren Vorstände bedeuten.
(pi, KSV1870 Nimbusec GmbH )