„Viele verkennen die Gefahr“

Interview: Daniel Nutz

Herr Oberst, IKT-Sicherheit ist zu einem Thema der Landesverteidigung geworden. Muss sich Österreich vor einem Cyberwar fürchten?
Die Sorge vor Cyberangriffen ist realistisch, weil unsere Infrastruktur wie Strom, Bahn, Luftfahrtskontrolle oder Abwasserentsorgung computergesteuert ist. Wenn es gelingt, diese Steuerung über längere Zeit zu manipulieren, können erhebliche Schäden entstehen.
 
Sie bestätigen jetzt aber hoffentlich, dass unser Land gut geschützt ist, dass wir uns also keine Sorgen machen müssen?
Das Militär allein kann leider große Infrastrukturen wie die Stromversorgung nicht sicherstellen. So groß ist unsere Cybertruppe nicht. Die Herausforderung ist, dass die verantwortlichen Unternehmen dazu gebracht werden, in die Sicherheit zu investieren.
 
Welche Maßnahmen werden gesetzt?
In manchen Branchen wie der Telekommunikation schreibt ein staatlicher Regulator Maßnahmen vor. In anderen Branchen fehlt das noch. Da ist man derzeit auf Selbstverpflichtungen angewiesen, die aber schwer kontrollierbar sind.
 
Weg vom Cyberwar, hin zur Spionage und Wirtschaftskriminalität: Unter den heimischen KMU gibt es mehr als hundert Weltmarktführer. Bieten diese ein optimales Angriffsziel?
Ja. Leider verkennen aber viele Unternehmen diese Gefahr. Sie meinen, dass sie keine schützenswerten Daten hätten. Was natürlich nicht stimmt. Es ist zu befürchten: Wenn Unternehmen ihre Daten nicht schützen, werden sie nicht lange Weltmarktführer bleiben.
 
Was müssen Unternehmen schützen?
Was früher die Rohstoffe und später die qualifizierten Mitarbeiter waren, sind heute Daten. Besonders Kundendaten und Know-how sind zu extrem kostbaren Gütern geworden.
 
Von welchem Sicherheitsaufwand geht man bei einer mittelständischen Firma aus?
Hundertprozentiger Schutz ist nicht möglich und wäre auch nicht leistbar. Daher braucht es eine gezielte Analyse, die klärt, was wirklich schützenswert ist. Nach einer konkreten Risikoanalyse kann man sich dann auf den Schutz jener Daten konzentrieren, die wirklich wichtig
sind.
 
Mit einem reinen IKT-Schutz ist es aber nicht getan. Bei einer Kärntner Firma hat unlängst ein Mitarbeiter den Quellcode einer Software auf einen Datenstick kopiert und dem chinesischen Hauptlizenznehmer verkauft.
Klarerweise müssen diese Daten auch offline geschützt werden. Sprich, die Computer müssen auch vor unbefugtem Zutritt geschützt sein. Man sollte zudem nur vertrauenswürdigen Mitarbeitern den Zugang zu den Daten erlauben. Über derartige Maßnahmen reduziert man schon einmal das Risiko. Dadurch wird auch die konkrete Cybersicherheit leistbar.
 
Viele Schadprogramme – wie Trojaner, die Daten ausspionieren – werden ganz unbemerkt von den Computerbenutzern selbst installiert. Wie passiert das denn?
Ganz einfach. Ich könnte Ihnen nach diesem Interview eine E-Mail schicken mit einem angeblich weiterführenden Link, hinter dem sich aber automatisch ein Schadprogramm installiert. Vielen ist das nicht bewusst. Auch nicht, dass sie Software und Antivirenprogramme immer mit Updates versorgen müssen. Auch die bestens geschützte Firmen-IT ist sinnlos, wenn Chefs oder Mitarbeiter über ungeschützte Smart­phones den E-Mail-Exchange-Server verwenden.
 
Wer programmiert diese Schadprogramme?
Dahinter steckt eine eigene Schattenindustrie, die mit Spam oder gestohlenen Daten Geld verdient. Die Anleitungen für Schadprogramme werden im Internet gehandelt. Cyberkriminalität ist mittlerweile der lukrativste Kriminalitätszweig geworden. Europol spricht hier von 700 Milliarden Euro Umsatz weltweit.
 
Woher kommen die Angreifer, und wieso ist es so schwierig, sie dingfest zu machen?
Es ist nicht nur technisch extrem schwierig zu erforschen, wo sie herkommen. Die Verfolgung ist auch rechtlich ein Riesenproblem. Denn hier fehlen oftmals die internationalen Abkommen. Gegenüber Cyberkriminellen aus Hongkong ist es beispielsweise derzeit noch schwierig, rechtlich vorzugehen.