In einer zunehmend digitalisierten Welt müssen sich große Konzerne genauso wie kleinere und mittlere Unternehmen – sogenannte KMUs – vor einer Vielzahl digitaler Bedrohungen schützen, um ihre Daten, Systeme und in weiterer Folge ihre Geschäftstüchtigkeit zu sichern. Die Folge: Das Thema Informationssicherheit gewinnt zunehmend an Bedeutung. Aber was für große Unternehmen wie die Salzburg AG, die Teil der kritischen Infrastruktur ist, eine Selbstverständlichkeit und vor allem auch eine gesetzliche Notwenigkeit ist, stellt KMUs häufig vor beträchtliche Herausforderungen.
Inhaltsverzeichnis
Kleine Maßnahmen – große Wirkung
Oft fehlt in KMUs das Bewusstsein für digitale Gefahren und Bedrohungen. Darüber hinaus gibt es häufig zu wenig Fachkompetenz im Betrieb. Außerdem wirken (vermeintlich) hohe Kosten für Cybersicherheitslösungen abschreckend. Demgegenüber stehen allerdings auch in kleinen Unternehmen zahlreiche Bedrohungen, die großen Schaden verursachen können. Die gute Nachricht: Schon mit Basic-Maßnahmen können auch in KMUs die meisten Angriffe wirkungsvoll abgewehrt werden.
Doppelt hält besser: Ein Gespräch mit zwei Sicherheits-Experten
Zwei absolute Experten auf dem Gebiet der Cybersicherheit sind Christian Brennsteiner, Leiter der IKT-Sicherheit der Salzburg AG, und Information Security Manager Achim Quehenberger, der als Awareness Officer bei den Mitarbeiter:innen für die nötige Bewusstseinsbildung und Wissensvermittlung in Sachen digitaler Sicherheit sorgt. Die beiden haben uns an ihrem umfassenden Know-how und ihren langjährigen Erfahrungen teilhaben lassen und mit uns über die Vorteile von Zertifizierungen gesprochen und Tipps zur Cybersicherheit in KMUs gegeben.
Kritische Infrastruktur und Sicherheit
lebenswelten: Als Energieversorgerin und Telekommunikationsbereitstellerin ist die Salzburg AG Teil der sogenannten „kritischen Infrastruktur“. Was tut sie, um die IKT- Sicherheit zu gewährleisten?
Christin Brennsteiner: Die Salzburg AG steht vor der besonderen Herausforderung ein sehr kritischer Teil der zivilen Infrastruktur zu sein. Das heißt, dass wir zu einem technischen System gehören, dessen Ausfall den Ausfall eines wesentlich größeren Systems nach sich ziehen könnte. Oder einfach gesagt: Wenn der Strom aus ist, ist er aus. Bei der Abwehr von Angriffen auf ein derart zentrales System gibt es mehrere Ebenen: Eine sehr wichtige davon ist die technische, proaktive Ebene – man setzt aus technischer Sicht alles ein, was leistbar und betreibbar ist, um den IKT-Bereich so sicher zu machen, dass ein:e Angreifer:in gar nicht erst ins System eindringen kann. Eine zweite Ebene ist die defensive Ebene – also die Abwehr. Das umfasst alle Maßnahmen und Tools, die dafür notwendig sind, um jemanden loszuwerden, der bereits ins System eingedrungen ist. Ein weiterer wichtiger Teil unserer Arbeit ist es aber auch, die gesetzmäßigen Vorgaben zu erfüllen. Sprich, zu beweisen und zu dokumentieren, dass alle gesetzlichen Anforderungen an uns als Unternehmen der kritischen Infrastruktur erfüllt werden.
lebenswelten: Das klingt nach einem komplexen Aufgabenbereich mit großer Verantwortung. Wer kümmert sich in der Salzburg AG darum, dass im IKT-Bereich alles „safe“ ist und bleibt?
Christin Brennsteiner: Wir als Stabsstelle fungieren hier als zentrale Stelle, in der jegliche internen und externen Anforderungen an die IKT_Sicherheit zusammenlaufen. Das sind z.B. gesetzliche oder behördliche Vorgaben, interne Vorgaben des Managements, Vorgaben zum Wohle unserer Kund:innen usw. Wir priorisieren nach einem risikobasierten Ansatz welche dieser Anforderungen primär behandelt werden müssen und koordinieren und kooperieren mit allen Fachbereichen und Töchtern der Salzburg AG Gruppe, damit entsprechende Maßnahmen umgesetzt werden, um diese Anforderungen zu erfüllen. Die Zusammenarbeit ist hierbei der entscheidende Punkt. Ohne uns als zentrale Koordinierungsstelle, würde jeder Bereich die Anforderungen lokalisiert bearbeiten und ohne die Fachbereiche könnten die Umsetzungsmaßnahmen nicht durchgeführt werden.
lebenswelten: Welchen Cybercrime-Bedrohungen ist die Salzburg AG ausgesetzt?
Christian Brennsteiner: Ein zentraler Schritt bei der Abwehr von Cyberkriminalität, ist es immer, sich in einem ersten Step zu überlegen, wer denn die Angreifer:innen sein könnten. Welche Interessen sie haben und wie sie angreifen könnten. Aus diesem Grund richten wir uns nach einem mehrstufigen Angriffsprofil. Das beginnt bei sogenannten Script-Kiddies – das sind z.B. Jugendliche die ihre Skills testen oder einfach nur Unruhe stiften möchten – über versierte Angreifer:innen, die ideologische oder monetäre Gründe haben bis hin zu (geo-)politisch motivierten Angreifer: innen.
Tipps für KMUs im Bereich Cybersicherheit
lebenswelten: Und wie schaut das dann bei den Klein- und Mittelbetrieben aus? Sind diese denselben Bedrohungen ausgesetzt wie ein Unternehmen in der Größenordnung der Salzburg AG?
Christian Brennsteiner: Ich würde sagen, das Haupt-Bedrohungsszenario ist, Geld von Unternehmen zu erpressen. Also z.B. Ransomware. Und wir sprechen hier von sehr, sehr viel Geld, das auf diese Weise „verdient“ wird. Das ist ein echtes – und leider sehr erfolgreiches – Business-Modell geworden. Aber selbst, wenn KMUs über eingeschränktere Ressourcen und weniger Know-How in Sachen IKT-Sicherheit verfügen, gibt es doch viele Möglichkeiten, Angriffe abzuwehren und vor allem, diese gar nicht erst zuzulassen.
Achim Quehenberger: Der erste und vielleicht entscheidende Schritt ist, dass ich mir als KMU dessen bewusst bin, dass auch ich jederzeit bedroht und angegriffen werden kann. Und dass ich dann ein klares Commitment im Unternehmen dafür schaffen muss, dass ich mich gegen Cyberangriffe wappnen möchte. Dann kann ich mir als KMU überlegen, von wem eine Bedrohung für mein Unternehmen ausgeht und was die dafür passende Sicherheitsstrategie ist.
lebenswelten: Aber was können KMUs ganz konkret tun, um sich vor Cyberangriffen zu schützen?
Achim Quehenberger: Die Basics sind die gleichen, wie für große Unternehmen, aber auch für Privatpersonen. Nämlich die ganz einfachen Dinge, die einen grundlegenden Schutz bieten. Da ist einmal das Thema Passwortsicherheit: Passwörter sind nach wie vor das Mittel Nummer eins, um Zugänge und Daten zu schützen. Wer also sichere Passwörter verwendet und im Idealfall einen Passwortmanager, kann viele Angriffsversuche bereits im Keim ersticken. Eine weitere wichtige Sache sind Backups – also die Maßnahme, eine Kopie der eigenen Daten an mehr als einem Ort zu speichern. Für den Fall, dass Daten einmal an einem Ort verloren gehen oder gestohlen werden. Nicht weniger wichtig: Regelmäßige Software- und System-Updates. Denn Fehler in Programmen oder ungepatchten Systemen, die nicht durch Updates beseitigt werden, können ebenfalls von Cyberkriminellen als „Eintrittstor“ ins System missbraucht werden. Und dann sind da natürlich noch die Antivirus-Programme (für Privatpersonen) oder die Endpoint Detection and Response (EDR) Systeme (für Unternehmen): Sie verhindern, dass man sich beim Herunterladen von Dateien aus dem Internet, über E-Mails oder über externe Speichermedien wie USB-Sticks Viren einschleppt, die das System mit einer Schadsoftware befallen bzw. aktive Angriffe aufzeigen. Welches Antivirus- oder EDR-Programm zu welchem System bzw. zu welchem Unternehmen passt, ist allerding wieder ein Thema für sich. Nummer fünf im Bunde der Cybersecurity-Basics ist E-Mailbetrugserkennung – also, dass das Erschleichen von sensiblen Informationen wie Benutzernamen, Passwörtern oder Kreditkartendaten – erkannt und verhindert wird.
Christian Brennsteiner: Kleiner Tipp am Rande: Wenn man überprüfen möchte, ob seine E-Mail-Adresse in der Vergangenheit schon einmal von einer „Datenpanne“ betroffen war: E-Mail-Adresse ganz einfach auf Seiten wie www.haveibeenpwned.com eingeben – nach wenigen Sekunden weiß man, ob es höchste Zeit ist, sein Passwort, das damals verloren wurde zu ändern …
Quehenberger: Neben diesen Basis-Maßnahmen, die wir mit unseren Kund:innen und Partner:innen teilen, gibt es natürlich vor allem für Unternehmen weitere To-dos und Guidelines, die über diese fünf Basics hinausgehen. Zum Beispiel unterstützen Interessenvertretungen wie die österreichische Wirtschaftskammer Unternehmer:innen mit der „Baseline Security“ . Dabei handelt es sich um Mindestmaßnahmen und Tools, die auch mit einfachen Schritten implementiert werden können.
Ein Unternehmen, das die Basissicherheitsmaßnahmen erfüllt,
- hat sich mit Informationssicherheit beschäftigt und eine Richtlinie für das eigene Unternehmen erlassen.
- schult seine Mitarbeiter regelmäßig in Informationssicherheit (Muster: MA-Schulung| Tools für Mitarbeitertraining)
- hat einen oder mehrere zuständige Ansprechpartner für Informationssicherheit (Liste Ausbildungen/Personenzertifizierungen).
- hat ein aktuelles Verzeichnis seiner Geräte und Anwendungen.
- hat Zugriffe auf Dateien und Programme auf das erforderliche Ausmaß reduziert(Muster: Zugriffe Daten).
- fordert die Verwendung sicherer Passwörterein (Hinweise des BSI zu sicheren Passwörtern).
- hat eine sichere Konfiguration der eingesetzten Geräte.
- schützt den eigenen Internetauftritt(Muster: Schutz Internetauftritt).
- führt Updates zeitnah durch (Hinweise des BSI zu Updates).
- schützt sich und sein Netzwerk gegen unberechtigte Zugriffe von außen.
- setzt Schutzprogramme gegen bösartige Software ein.
- macht regelmäßige Backups seiner Systeme und kontrolliert diese.
- hat einen Notfallplan für einen IT-Sicherheitsvorfall (Muster: Notfallplan).
Zertifikate und Audits
lebenswelten: Bei der Salzburg AG geht das Thema IKT-Sicherheit ja noch einige Schritte weiter – zum Beispiel mit Sicherheits-Zertifikaten …
Christian Brennsteiner: Ja, genau. Eine Möglichkeit, um zu beweisen, dass man sowohl Kund:innen und Partner:innen als Unternehmen die größtmögliche Sicherheit bieten kann, sind Zertifizierungen. Eine Zertifizierung, die wir freiwillig vorgenommen haben, ist das Cyber Trust Austria® Label. Dieses Gütesiegel wurde vom Kuratorium Sicheres Österreich in Zusammenarbeit mit dem Cyber Risk Advisory Board und dem KSV1870 ins Leben gerufen. Mithilfe dieses Labels können Unternehmen transparent nach außen zeigen, welchen Stellenwert Cybersicherheit und die Erfüllung hochwertiger Sicherheitsmaßnahmen für sie haben. Wir erfüllen in dieser Zertifizierung wie viele andere Unternehmen in Österreich einen hohen Sicherheitsstandard.
Achim Quehenberger: Und wir gehen hier noch einen Schritt weiter und versuchen, das Cyber Trust Austria® Label auch unseren Lieferant:innen ans Herz zu legen. Warum? Ganz einfach, weil die Sicherheit unserer Partner:innen letztendlich auch unsere eigene Sicherheit stärkt. Darüber hinaus sind wir auch dazu verpflichtet nachzuweisen, dass wir sichere Lieferant:innen haben. Und das geht natürlich leichter, wenn man als KMU schon ein Zertifikat nachweisen kann.
lebenswelten: Was einigen Leser:innen in diesem Zusammenhang vielleicht nicht bewusst ist: Es gibt für Unternehmen wie die Salzburg AG gesetzliche Vorgaben, die im Bereich IKT-Sicherheit erfüllt werden müssen.
Christian Brennsteiner: Als Betreiberin kritischer Infrastrukturen sind wir nach dem österreichischen Netz- und Informationssystemsicherheitsgesetz – kurz: NISG – dazu verpflichtet, bestimmte Maßnahmen zu erfüllen. Die Behörde kontrolliert das regelmäßig in sogenannten NIS-Prüfungen. Dafür kommen Mitarbeiter:innen der Behörde oder von Behördenvertretern zu Audits zu uns ins Haus oder wir stellen Informationen zur Verfügung anhand derer kontrolliert wird, ob wir die gesetzlichen Anforderungen erfüllen. Die Planung, Koordinierung und Durchführung dieser Audits bedeutet zwar für uns einen großen Zeit- und Personalaufwand aber dafür können wir uns, unseren Partner:innen, aber auch allen anderen nachweisen, dass alles, was nötig und möglich ist, getan wird, um unsere kritische Infrastruktur zu schützen und die Versorgungssicherheit zu gewährleisten.
lebenswelten: Die Salzburg AG tut aber in Sachen Sicherheits-Zertifizierung noch mehr…
Christian Brennsteiner: Ja, darüber hinaus unterziehen wir uns zusätzlich freiwillig einer ISO/IEC 27001 Zertifizierung. Dabei stehen der Schutz vertraulicher Informationen sowie die Integrität und Verfügbarkeit von Informationen in Organisationen und Unternehmen im Vordergrund.
Blick in die Zukunft
lebenswelten: Wie wir wissen, entwickelt sich die Internetkriminalität rasant weiter und findet immer neue Wege, Unternehmen und Menschen anzugreifen. Schlagworte wie KI oder Deep Fake sind in aller Munde. Welche Herausforderungen erwarten uns in Zukunft? Und wie können wir uns vor neuen Bedrohungen schützen?
Achim Quehenberger: Künstliche Intelligenz spielt schon jetzt eine große Rolle in der Internetkriminalität: Ein aktuell gängige Vorgangsweise ist ein Angriff über Dritte – eine sogenannte Supply-Chain-Attacke. Dabei nistet sich ein:e Angreifer:in beispielsweise in die E-Mailbox eines Lieferanten ein, liest wahrscheinlich mit Hilfe künstlicher Intelligenz alle E-Mails mit und schickt dann scheinbar im Namen des E-Mail-Besitzers Nachrichten an ein großes Partnerunternehmen. Dieses meint, den Lieferanten zu kennen, verlässt sich auf dessen Vertrauenswürdigkeit – und tappt in die Falle. Auf diese Weise gelangen Angreifer:innen quasi „über die Hintertüre“ ins System von Unternehmen. Eine weitere aktuelle Methode ist auch, dass mit der täuschend echt KI-generierten Stimme des Chefs Mitabreiter:innen via WhatsApp-Sprachnachricht über plausible Umwege zum Überweisen einer bestimmten Summe aufgefordert werden.
lebenswelten: Aber was kann man tun, wenn die Chef-Stimme täuschend echt ist? Oder wenn das Mail von der Partner-Firma exakt im Stil des Absenders formuliert ist? Wie erkennt man die Fakes?
Christian Brennsteiner: Die Fakes erkennt man als Laie wahrscheinlich nicht mehr. Aber man kann aufmerksam sein und überlegen: Hat mir der Chef schon jemals eine Sprachnachricht geschickt? Würde der mir bekannte Absender eines Mails mich normalerweise dazu auffordern, irgendwelche Links anzuklicken? Sobald man sich unsicher ist, sollte man im Idealfall den Kanal wechseln und nachfragen. Sprich: Wenn eine WhatsApp-Sprachnachricht vom Chef kommt, ihn auf der bekannten gespeicherten Telefonnummer anrufen. Oder den vermeintlichen Mailabsender ebenfalls nur unter der bekannten Nummer anrufen und nachfragen. Eine weitere Herausforderung für die IKT-Security zeigt sich im Zusammenspiel von KI und Automatisierung: Hat früher ein Mensch eine Mail oder einer Sprachnachricht versendet, passiert das jetzt automatisiert in einem vorher nicht dagewesenen Ausmaß. Was natürlich die „Erfolgschancen“ auf Seiten der Cyberkriminellen massiv steigert.
Achim Quehenberger: Aber: Schlüsseltechnologien wie künstliche Intelligenz und maschinelles Lernen können nicht nur eine Bedrohung darstellen, sondern können auch dabei helfen, Bedrohungen in Echtzeit zu erkennen und abzuwehren. Das bedeutet für uns und alle anderen Unternehmen, immer up to date zu bleiben, sich ständig anzupassen und sich weiterzuentwickeln. Nur so können wir der wachsenden Bedrohung durch Cyberkriminalität vielleicht einen Schritt voraus sein.
lebenswelten: Danke für das interessante Gespräch!
Kleines Cyber-Lexikon
Auch wenn uns Begriffe wie Cybercrime, Phising oder Trojaner beinahe tagtäglich in den Schlagzeilen begegnen, stellt sich doch die Frage nach der konkreten Bedeutung der Begrifflichkeiten.
- Brute-Force-Angriff: Eine Methode, um Passwörter oder Verschlüsselungsschlüssel durch systematisches Ausprobieren aller möglichen Kombinationen zu knacken.
- Cybercrime: Das österreichische Bundeskriminalamt definiert Cybercrime im engeren Sinne als Straftaten, bei denen Angriffe auf Daten oder Computersysteme unter Ausnutzung der IKT begangen werden – z.B. Hacking, DDoS u.ä. Im weiteren Sinne werden darunter aber auch Straftaten verstanden, bei denen die IKT zur Planung, Vorbereitung und Ausführung von herkömmlichen Kriminaldelikten eingesetzt wird. Zum Beispiel für Betrugsdelikte, Kinderpornografie, Cyber-Grooming oder Cyber-Mobbing.
- Cybersecurity: Sämtliche Technologien, Dienste, Strategien, Praktiken und Richtlinien, die Menschen, Daten und Infrastruktur vor den verschiedensten Cyberangriffen schützen. Dazu zählen Hardware, Software und Dienstleistungen, die der Sicherung von Unternehmen, Mitarbeiter:innen, Kund:innen und anderen Einrichtungen dienen.
- DDoS (Distributed Denial of Service): Ein Angriff, bei dem mehrere kompromittierte Systeme verwendet werden, um ein Zielsystem mit einer Überlast an Anfragen zu fluten, um es unzugänglich zu machen.
- Malware: Schädliche Software, die entwickelt wurde, um Schaden anzurichten oder unbefugten Zugriff auf Computersysteme zu ermöglichen. Beispiele sind Viren, Würmer, Trojaner und Ransomware.
- Multi-Faktor-Authentifizierung (MFA): Ein Sicherheitsverfahren, das mehr als eine Methode der Authentifizierung verwendet, um die Identität eines Benutzers zu verifizieren.
- Phishing: Eine betrügerische Methode, um sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten zu erhalten, indem man sich als vertrauenswürdig ausgibt.
- Ransomware: Eine Art von Malware, die Daten auf einem Computersystem verschlüsselt und Lösegeld verlangt, um den Zugang zu den Daten wiederherzustellen.
- Social Engineering: Eine Manipulationstechnik, bei der Angreifer Menschen dazu bringen, vertrauliche Informationen preiszugeben oder sicherheitsrelevante Aktionen durchzuführen.
- Trojaner: Eine Art von Malware, die sich als nützliches Programm tarnt, um unbemerkt Schaden anzurichten oder unbefugten Zugriff zu ermöglichen.
Du willst regelmäßig Neuigkeiten aus unseren vielseitigen Themenbereichen erhalten? Dann abonniere unseren Green Tech Insights Newsletter auf LinkedIn.
