Gut Beraten im Fall des Falles

Die Cybersecurity betrifft uns alle

Jeder sechste Cyberangriff war 2023 erfolgreich. FH Salzburg und KPMG präsentieren Studie und Lehrgang. Studienautor gibt Antworten.

PUCH-URSTEIN, SALZBURG. Derzeit überschwemmt wieder eine Pishing-Welle das Internet. Sowohl Privatpersonen als auch Unternehmen sind das Ziel von Internettätern. Als Phishing wird der Diebstahl von persönlichen Daten mithilfe gefälschter Webseiten, E-Mails oder Kurznachrichten bezeichnet. Dabei werden die erbeuteten Daten oft an andere Betrüger weiterverkauft, die dann die Bankverbindungen oder Kreditkartennummern für Käufe auf Rechnung der Opfer missbrauchen. In einem solchen Fall ist es sinnvoll, sich an Experten zu wenden. An der Fachhochschule Salzburg wurden am 16. Mai die Ergebnisse der neunten Ausgabe der KPMG-Studie präsentiert. Die Studie, für die 1.158 österreichische Unternehmen befragt wurden, entstand in Kooperation mit dem "Sicherheitsforum Digitale Wirtschaft" des Kompetenzzentrums sicheres Österreich (KSÖ).

„Cybersecurity in Österreich“

Dass ein starkes Interesse an Schutzmaßnahmen besteht, bewies bereits die hohe Teilnehmerzahl der Veranstaltung. Das Thema Cybersicherheit ist in der Gesellschaft und den Unternehmen angekommen. Trotz erhöhter Sicherheitsmaßnahmen lag die Trefferquote 2023 bei jedem sechsten Angriff (2022 noch bei jeder zehnten Attacke).

Für Dominik Engel, Geschäftsführer und Rektor der Fachhochschule Salzburg, ist das Thema Cybersecurity ein besonderes Anliegen.

"Mit dem neuen Masterstudium Cybersecurity legt die FH Salzburg ab dem Wintersemester 2024/25 den Schwerpunkt auf operative Sicherheit und somit auf die praxisorientierte Umsetzung von IT- und Netzwerksicherheit. Neben dem Wissen über Prozesse und Strategien zum Schutz kritischer Daten und Infrastruktur konzentriert sich das Studium auf eine breite, fundierte und vor allem praxisnahe Ausbildung. Unsere Absolventen sind damit optimal vorbereitet auf die vielfältigen Herausforderungen, die ihnen in diesem immer wichtiger werdenden Berufsfeld begegnen werden“, so Engel.

Expertenberatung ist gefragt

Das trotz verstärkter Sicherheitsmaßnahmen die Angriffe erfolgreicher werden, erklärt der KPMG-Experte und Ko-Autor

Robert Lamprecht (KPMG Austria) mit deren Anpassungsfähigkeit: "Die Cyberkriminellen haben gelernt, sich ihrem Umfeld anzupassen. Sie rüsten laufend nach und nehmen die gesetzten Maßnahmen der Unternehmen genau ins Visier. Sie agieren also professioneller mit immer effektiveren, technischen Mitteln. Unter diesen neuen Vorzeichen verfehlen bisher etablierte Schutzmechanismen und Sensibilisierungsmaßnahmen schlichtweg ihre Wirkung. Im Wettlauf zwischen Angreifer und Unternehmen sind diese deutlich näher gekommen."

Laut dem Experten Lamprecht ist es heute kein Wettbewerbsvorteil für Unternehmen, Sicherheitsvorkehrungen zu treffen, sondern überlebensnotwendig. Zudem beschleunigt die künstliche Intelligenz (KI) die technischen Möglichkeiten für Angriffe auf Unternehmen und Privatpersonen in Form von Deepfakes mit Sprach- und Videonachrichten gleichermaßen. "Deepfake ist mittlerweile ein gelebter Alltag, sowohl für Unternehmen als auch für Privatpersonen. Die KI hat auch – besonders im Zusammenhang mit Deepfakes – das Potenzial, massiven Schaden anzurichten."

Für den Studienautor Lamprecht müssen drei Punkte zur Cybersicherheit beachtet werden: "1. Bewusstsein schaffen, 2. kritische Haltung entwickeln und 3. Quellen checken."

REGIONALMEDIEN SALZBURG: Welche Maßnahmen sollen Unternehmen ihrer Meinung nach für einen besseren Schutz unternehmen?
Robert LAMPRECHT: Cybersecurity ist längst kein Wettbewerbsvorteil, sondern überlebensnotwendig für Unternehmen. Das heißt, Unternehmen müssen in Cybersicherheitsmaßnahmen investieren – und zwar nicht nach dem Angriff, sondern vorher.

Auch die technische Infrastruktur muss laufend überprüft und aktualisiert werden – wir kommen an den Themen, die wir schon seit Jahren machen sollten, nicht vorbei: Backup & Restore, sichere Passwörter, Multifaktor-Authentifizierung, Netzwerksegmentierung – in Kombination mit Zero-Trust-Ansätzen sind das alles keine Neuigkeiten, aber bei der Menge der Geräte, die heute mit dem Internet verbunden sind (z. B. Smart Home, Internet-of-Things-Geräte) und dem niederschwelligen Zugang zu Cloud-Lösungen ist es essenziell, nicht den Überblick zu verlieren.

Wenn es um die Prävention und Erkennung von Vorfällen geht, ist letztlich aber auch der Mensch einer der wirksamsten Sicherheitsfaktoren. Es braucht eine gelebte Cybersecurity-Kultur in den Unternehmen.

Wie groß sind die Gefahren für Deepfakeangriffe auf Unternehmen bzw. Privatpersonen?

LAMPRECHT: Künstliche Intelligenz beschleunigt neue Angriffsarten wie Deepfakes in Form von Sprach- und Videonachrichten rasant. Deepfake ist mittlerweile also gelebter Alltag, sowohl für Unternehmen als auch für Privatpersonen.

Aktuell spielen viele mit dem Thema KI und den Möglichkeiten, die uns diese neue Technologie bietet, herum, Hauptsache es ist bunt und macht Geräusche. Aber KI hat auch – besonders im Zusammenhang mit Deepfakes – das Potenzial, massiven Schaden anzurichten.

Im persönlichen Umgang miteinander haben wir ein durchaus verlässliches Sensorium dafür, Unwahrheiten zu erkennen. Wir erkennen es, wenn jemand, der uns im Gespräch gegenübersteht, zum Beispiel schwitzt. Aber im digitalen Raum fehlt uns dieses Gespür – wir sehen also die digitalen Schweißperlen auf der Stirn der lügenden Angreifer:innen nicht.

Mit der Perfektionierung der Deepfake-Technologie wird ein neues Kapitel zur Verbreitung von Desinformation aufgeschlagen. Wir werden verwundbarer gegenüber derartigen Kampagnen – das beeinflusst nicht nur die Cybersicherheit, sondern unsere gesellschaftliche Resilienz.

Wie kann sich die Gesellschaft gegen Deepfakes oder gezielte Desinformation besser schützen?

LAMPRECHT: Da Deepfakes und Desinformation so weit verbreitet und – das liegt in der Natur der Sache – oftmals schwer als solche zu erkennen sind, ist es schwierig, dieses Cybersicherheitsrisiko zu bekämpfen. Permanent stellt sich die Frage: Fakt oder Fiktion? Können wir den Informationen, die wir bekommen, noch trauen? Die Integrität steht am Scheidepunkt.

Wichtig sind drei Punkte: Erstens Awareness und Bewusstsein für das Thema zu schaffen. Nur mit einer offenen und transparenten Sensibilisierung können wir das Wissen verbreiten. Zweitens eine kritische Haltung entwickeln und Inhalte hinterfragen (zu schön/gut/aufgeregt, um wahr zu sein). Und drittens die Beurteilung der Quellen, also vermeintliche Fakten gegebenenfalls zu prüfen und auf mehreren vertrauenswürdigen Quellen gegenzuchecken.

Wir werden Online-Desinformationen nicht eliminieren können, doch vor allem Unternehmen sind dazu angehalten, Erwähnungen über sie zu überwachen und im Vorfeld einen Krisen- und Reaktionsplan zu erstellen, sollten tatsächlich Desinformationskampagnen auftauchen.

Welche Maßnahmen sollen Unternehmen bei einem "erfolgreich" durchgeführten Angriff ergreifen?

LAMPRECHT: Zunächst gilt: Luft holen und durchatmen – denn überlegtes Handeln steht vor schnellem Handeln. Um nicht überhastet zu agieren, sondern kontrolliert den Cybersicherheitsvorfall bearbeiten zu können, braucht es ein geordnetes Krisenmanagement.

Und dieses Krisenmanagement regelmäßig zu üben, ist unerlässlich. Nur durch laufendes und wiederkehrendes Durchspielen der Handgriffe und Fertigkeiten kann man in Extremsituationen entsprechend kontrolliert handeln und behält einen (fast) kühlen Kopf. Dabei sollte man immer daran denken: Ein Cybersicherheitsvorfall ist kein Sprint, sondern ein Marathon, der einen langen Atem erfordert.

Zudem ist es hilfreich, sich Unterstützung durch einen professionellen Partner zu holen, der einen durch die Krise begleitet – sowohl bei der Wiederherstellung der technischen Systeme als auch bei der Koordinierung des Vorfalls.

Wie beurteilen sie die geplanten EU-Vorgaben (EU-NIS2-Richtlinien) für Zulieferer der kritischen Infrastruktur ab Oktober 2024 Nachweis über bestehende Cybersecurity-Maßnahmen liefern müssen? Erhöht das die Sicherheit der Folgen von Angriffen?

LAMPRECHT: Digitalisierungsambitionen der Unternehmen nehmen zu, diesem Umstand müssen wir Rechnung tragen – die EU-Vorgabe ist die logische Konsequenz daraus. Mit NIS2 wird die Digitalisierung erwachsen, da sie immer im Zusammenhang mit Cybersecurity gedacht werden muss.

Unsere Studie zeigt, die Lieferkette gerät als Eintrittstor für Cyberangriffe verstärkt in den Fokus der Angreifer:innen. Angriffe auf die Lieferkette haben in den letzten 12 Monaten um 18 Prozent zugenommen. Man verlagert das eigentliche Ziel, nämlich das Unternehmen, auf ein oftmals schwächeres Glied in der Kette, den Lieferanten oder Dienstleister.

Aber Fakt ist: Risiken, die andere – in diesem Beispiel Zulieferer – für mich eingehen, sind als Unternehmen auch meine Risiken. Cybersicherheit liegt somit nicht in der Verantwortung des einzelnen Unternehmens, sondern kann nur im Kollektiv geschehen.

Versicherungen bieten Cyberversicherungen an. Wie sinnvoll sind diese?

LAMPRECHT: sind eine gute Ergänzung, dürfen aber nicht darüber hinwegtäuschen, dass zuerst die notwendigen technischen und organisatorischen Schutzmaßnahmen auf Unternehmensseite getroffen werden müssen. Im Zusammenspiel mit diesen Maßnahmen können Cyberversicherungen eine mögliche Ergänzung für die Bewältigung von Sicherheitsvorfällen sein.

Zur Sache

Deepfake-Technologie
Deepfakes (englisch.  Kofferwort aus den Begriffen „Deep Learning“ und „Fake“) sind realistisch wirkende Medieninhalte (Foto, Audio, Video usw.), die durch Techniken der künstlichen Intelligenz (KI bzw. AI, artificial intelligence) abgeändert, erzeugt bzw. verfälscht worden sind. Medienmanipulation ist kein neues Phänomen, allerdings nutzen Deepfakes maschinelles Lernen, genauer künstliche neuronale Netzwerke, um Fälschungen weitgehend autonom und damit in bislang ungeahnter und nicht möglicher Dimension zu erzeugen. Bei den durch Deepfakes manipulierten Daten (Filme, Bilder, Stimmen etc.) werd es zunehmend schwierigere, gefälschte von echten Inhalten zu unterscheiden.
Quelle: Wiktionary: Deepfake – Bedeutungserklärungen

Weitere Themen

Weitere Beiträge von Martin Schöndorfer HIER