Institut für IT-Sicherheitsforschung, FH St. Pölten
ORF/Felix Novak
ORF/Felix Novak
Wirtschaft

Was bei einem Hackerangriff zu tun ist

Cyberangriffe sind für Unternehmen jeder Größe längst zum existenzgefährdenden Problem geworden. Ans Licht der Öffentlichkeit schaffen es die wenigsten. In St. Pölten wird die Abwehr solcher Angriffe trainiert – und dort gibt es auch Tipps für Unternehmer.

Für die Mitarbeiterinnen und Mitarbeiter der Großmarktkette Metro waren es wahrlich keine leichten Monate. Der internationale Konzern, der seine Österreichzentrale in Vösendorf (Bezirk Mödling) hat, ist seit Anfang Oktober von massiven Computerproblemen betroffen. Diese hatten auch Auswirkungen auf die Kundinnen und Kunden – in der Regel andere, kleinere Unternehmer, insbesondere Gastwirte.

Immer wieder fielen Teilbereiche der IT-Systeme aus, darunter interne Datenbanken und auch Kassensysteme. Wiederholt musste das Personal eines Standorts die Kundschaft vertrösten, weil erst nach 30 Minuten Wartezeit wieder kassiert werden konnte. Teils wurden Rechnungen erst im Nachhinein vervollständigt – was nur möglich ist, weil jeder Käufer und jede Käuferin bei Metro sowieso registriert sein muss. In der Zwischenzeit arbeitete die IT-Abteilung fieberhaft an der Behebung der vielen Schäden und an der schrittweisen Wiederherstellung der Systeme.

Institut für IT-Sicherheitsforschung, FH St. Pölten
ORF/Felix Novak
Metro-Standort in St. Pölten

Seit kurzer Zeit funktionieren die Kassensysteme und die weiteren Bereiche, die Kundinnen und Kunden betreffen, wieder tadellos, heißt es aus dem Unternehmen. Im Büro ist das allerdings anders – nach wie vor wird über Videochat kommuniziert, das E-Mail-Programm ist immer noch außer Betrieb.

ISTA für mehrere Tage außer Gefecht

Ein zweiter Fall wurde in Niederösterreich erst Anfang November bekannt. Betroffen war diesmal das Institute of Science and Technology Austria (ISTA) in Klosterneuburg (Bezirk Tulln). Der gesamte E-Mail-Verkehr Hunderter Mitarbeiterinnen und Mitarbeiter wurde damals von den Hackern blockiert. Die Arbeit der Forschenden und Studierenden musste deshalb etwa eine Woche lang stillgelegt werden. Auch die Bewerbungsportale für angehende Studierende des Instituts wurden von den Hackern ausgeschaltet, genauso wie die Website der Forschungseinrichtung – mehr dazu in Cyberangriffe: Hacker legten ISTA tagelang lahm (noe.ORF.at, 7.11.2022).

Screenshot der Internetseite des IST Austria
Screenshot/IST Austria
Das ISTA hat den Angriff auch in einer Presseaussendung bestätigt

Mittlerweile ist klar: Die wertvollen Forschungsdaten der Einrichtung waren von dem Hack nicht betroffen, Datenabflüsse habe es generell nicht gegeben. Nach wochenlanger Arbeit sind am ISTA heute die meisten Funktionen wiederhergestellt, sodass fast alles wieder normal läuft. Lediglich einige Unterseiten der Website seien nach wie vor betroffen, heißt es auf Nachfrage von einer Sprecherin. Wer hinter den Angriffen steckt, wissen weder die Metro- noch die ISTA-Verantwortlichen.

Hohe Dunkelziffer bei Angriffen

In den meisten Fällen kommen Cyberangriffe auf Firmen erst nicht ans mediale Tageslicht. Immerhin wird befürchtet, zusätzlich zum bereits erlittenen Schaden negative Schlagzeilen zu produzieren. Nicht selten wird als geringstes Übel auch schlicht Lösegeld gezahlt, etwa, wenn die Produktion sonst länger stillstehen würde.

Die Polizei wird vor allem dann hinzugezogen, wenn dies für die Abwicklung einer Versicherungsleistung nötig ist, heißt es aus der Branche gegenüber noe.ORF.at. Die offiziellen Kriminalitätsstatistiken weisen zwar ebenfalls regelmäßig Anstiege im Bereich der Cyberkriminalität aus, die Höhe des Anstiegs ist aufgrund der hohen Dunkelziffer aber nur bedingt aussagekräftig.

IT-Sicherheit auf akademischem Niveau

An derartigen Szenarien geforscht wird seit Jahren an der Fachhochschule (FH) St. Pölten. Dort gibt es ein eigenes Institut für IT-Sicherheitsforschung und eigene Bachelor- und Master-Studiengänge zum Thema „IT Security“. In einem neuen Kommandozentrum können FH-Forschende und -Studierende solche Angriffe erforschen und deren Abwehr üben. Hierfür wird nicht selten mit Unternehmen zusammengearbeitet.

Institut für IT-Sicherheitsforschung, FH St. Pölten
ORF/Felix Novak
Das „Cyber Defense Command Center“ der FH St. Pölten

Institutsleiter Peter Kieseberg bestätigt, dass es einen großen Anstieg bei Hackerangriffen auf Unternehmen und Institutionen gibt. „Es wird oft nicht publik gemacht“, sagt auch er – zum einen aus unternehmensinternen taktischen Gründen, zum anderen auf persönlicher Ebene auch aus Scham. „Dabei kann jeder und jede Opfer eines Trickbetrügers werden“, ist er überzeugt. Hier sei es auch durchaus wichtig, zur Polizei zu gehen.

Der Sicherheitsforscher empfiehlt Informationsmaterial der Wirtschaftskammer und eine dazugehörige Hotline unter der Nummer 0800 888 133, die im Angriffsfall rund um die Uhr gewählt werden kann. Auch das Finanzministerium sowie die Direktion Staatschutz und Nachrichtendienst (DSN) biete auf deren Websites hilfreiche Informationen.

Die Bedeutung des „Florianiprinzips“

Wenn es bereits zum Angriff kommt, ist der Schaden allerdings in den meisten Fällen trotzdem angerichtet – „dann gibt es vor allem den Lerneffekt“, so Kieseberg. Wichtig sei deshalb, sich schon vor einer Attacke auf deren Möglichkeit vorzubereiten. Zwar sei eine solche nie ganz auszuschließen, doch oft seien einfache Maßnahmen entscheidend, „und sei es nur aus dem Florianiprinzip“. Heißt im Klartext: Wer besser vorbereitet ist als andere Unternehmen, wird seltener zum Ziel.

Man müsse seine Mitarbeiter jedenfalls für die Bedrohung sensibilisieren, betont Kieseberg: „Gerade in Bereichen der kritischen Infrastruktur muss man den Leuten gewissermaßen die Freundlichkeit abtrainieren.“ Er selbst habe etwa in der realen Welt lernen müssen, Fremden in Büroräumlichkeiten nicht die Türen aufzuhalten – dasselbe gelte für die digitale Welt.

Chef muss richtig handeln

„Doch das Wichtigste ist die Vorbildwirkung. Wenn sich die Chefin oder der Chef nicht daran hält, dann kann nicht verlangt werden, dass das unten mitgetragen wird.“ Auf Firmenlaptops, die auch verloren gehen könnten, dürften etwa nicht alle Firmengeheimnisse gespeichert werden. Alles, was gespeichert ist, müsse verschlüsselt sein – und zumindest die wichtigsten Elemente des IT-Systems sollten offline gespeicherte Sicherungskopien haben.

Dazu kämen klassische Tipps, darunter nicht nur die Wahl der richtigen Passwörter. „Man sollte ein modernes Betriebssystem haben, Updates einspielen und Virenscanner sowie eine Firewall haben“, betont der IT-Forscher, „das ist auch gegenüber der Versicherung nicht schlecht, falls wirklich etwas passiert“.