In welcher (Cyber-)Welt leben wir und welche Cyber-Risiken gibt es in der heutigen Zeit? Antworten darauf gibt Philipp Reisinger, Experte für Informationssicherheit, in seinem Gastbeitrag. Er sagt: Trotz der umfangreichen Risiken gibt es keinen Grund zur Panik, denn – wir haben vieles selbst in der Hand.

In welcher (Cyber-)Welt leben wir?

Im Jahr 2022 leben wir in einer (Cyber-)Welt, in der aufgrund von fortschreitender Vernetzung und Digitalisierung die Bedeutung von IT und Internet kaum übertrieben werden kann. Egal, ob aus der Sicht von Einzelpersonen (sei es privat oder beruflich), von Unternehmen, Staaten oder der gesamten Gesellschaft: Wir befinden uns in einer umfassenden und tiefgreifenden Abhängigkeit von Informationstechnologien und dem Internet. Aus dieser Abhängigkeit heraus entsteht eine große Verwundbarkeit, die dazu führt, dass Cyber-Risiken uns alle betreffen. Nicht ohne Grund werden Cyberangriffe vom World Economic Forum in der aktuellen siebzehnten Auflage seines Global Risks Reports als eines der wesentlichsten Risiken angesehen.

Womit hatten wir es bisher zu tun?

Die Verwundbarkeit durch Cyber-Risiken kann exemplarisch sehr gut anhand von verschiedensten Beispielen und Vorfällen der vergangenen Jahre dargestellt werden:

• Ransomware-Angriffe, wie WannaCry und (Not)Petya, treffen weltweit nicht nur zehntausende Privatpersonen, sondern legen beispielsweise auch ganze Krankenhäuser und Pipeline Betreiber lahm. Auch Unternehmen sind regelmäßig betroffen – so gab es letztes Jahr auch in Österreich schwere Angriffe bei verschiedenen großen Firmen.
• Gezielte Spear Phishing-Angriffe sind seit langem und bleiben auch 2022 einer der beliebtesten Angriffsvektoren. Seit dem berühmten Angriff auf ein Sicherheitsunternehmen 2011 wurde durch Spear Phishing Mails in vielen weiteren Angriffen die initiale Kompromittierung eines Unternehmensnetzwerkes erreicht. Auch beim Angriff auf das österreichische Außenministerium 2020 sowie beim Hack des Deutschen Bundestages 2015 nutzten die Angreifer gefälschte E-Mails.
• Ein weiterer sehr beliebter und lukrativer Angriffsvektor ist der Fake President Fraud. Im bekanntesten Fall in Österreich konnten Angreifer mittels gefälschter E-Mails knapp 50 Millionen Euro stehlen, indem sie eine Person in der Buchhaltung davon überzeugten, auf Anweisung ihres vorgeblichen Chefs Geld für ein geheimes Projekt auf ein ausländisches Konto zu überweisen. Dies war bei weitem kein Einzelfall und Fake President Fraud führte allein in Österreich zu Schäden in Millionenhöhe.
• Angriffe auf kritische Infrastruktur stellen für unsere Gesellschaft ein erhebliches Risiko dar. So stellen die beiden Cyber-Angriffe auf Stromnetzwerkbetreiber und Kraftwerke in der Ukraine 2015 und 2016 die beiden ersten bekannten Fälle für Stromausfälle, welche durch Hacker herbeigeführte wurden, dar.
• Wie am Beispiel eines Wiener Start-Ups, welches Software für die Corona-Testunternehmen entwickelte, zeigt, können auch vergleichsweise simple und altmodische Schwachstellen in Webapplikationen schwerwiegende Konsequenzen haben.
• Im Rahmen der fortschreitenden Vernetzung und Digitalisierung werden unter dem Begriff Internet of Things immer mehr Geräte über das Internet erreichbar. Wie verschiedenste Angriffe und Vorfälle zeigen, entwickelt sich hier ein sehr großes neues Problemfeld.

Mit wem haben wir es zu tun?

Neben opportunistischen AngreiferInnen und Script Kiddies hat sich der Cyberraum mittlerweile auch zu einem wichtigen Bereich für staatliche Akteure entwickelt. Auch ist rund um das Thema Cybercrime ein eigener – hunderte Milliarden schwerer – Wirtschaftszweig entstanden, in dem es professionelle Angreifergruppen gibt, die sich mitunter auf bestimmte Angriffsarten und Schritte spezialisieren, um wirtschaftlicher zu sein und effektiver vorgehen zu können.

Es ist schwer, die Größe des weltweiten Schadens durch Cybercrime genau zu beziffern, aber Schätzungen gehen davon aus, dass der Wert des gesamten illegalen Drogenhandels übertroffen wird. Es gibt eine Untersuchung, dass alleine in den USA im ersten Halbjahr 2021 knapp 590 Millionen Euro Lösegeld an Ransomware-Gruppen bezahlt wurden. Wie andere Märkte weißt auch der Cybercrime Markt eine hierarchische Marktstruktur auf, folgt dem Gesetz von Angebot und Nachfrage und ist insbesondere auch für seinen hohen Return on Investment und seine (relative) Anonymität bekannt. Selbst technisch unbedarfte Personen können vergleichsweise einfach an ihm teilhaben und von ihm profitieren (Stichwort Cybercrime as a Service).

Aber: Wir haben vieles selbst in der Hand

Wie die obigen Beispiele zeigen, sind Cyber-Risiken und Vorfälle eine überaus reale und ernst zu nehmende Gefahr. Trotzdem gibt es keinen Grund für kopflose Panik und Verzweiflung.

Darstellung vs. Realität

Wie bei vielen Dingen gilt zunächst: Die öffentliche Wahrnehmung von Cyber-Risiken ist nicht unbedingt deckungsgleich mit der Realität. Vielmehr prägen einzelne negative Beispiele und Vorfälle stark unsere Vorstellung dieser Gefahrenquelle [1]. Mitunter weisen auch präsentierte Statistiken methodische Schwächen auf und sind nicht aussagekräftig. Zunächst gilt es also immer, sich bewusst zu machen, wer der Absender der Botschaft ist und präsentiertes Datenmaterial zu hinterfragen.

Es besteht Hoffnung

Ein weiterer Grund, warum die Lage bei weitem nicht so hoffnungslos ist, wie oft kommuniziert wird, ist der folgende: Das Wissen, was zu tun ist und wie die Sicherheit erhöht werden kann, ist vorhanden und sehr oft auch frei verfügbar – es muss „nur“ umgesetzt werden. Außerdem kann ein Großteil aller typischen Cyberangriffe durch grundlegende Sicherheitsmaßnahmen und entsprechendes Sicherheitsbewusstsein verhindert bzw. abgewehrt werden.

Die CIS Critical Security Controls for Effective Cyber Defense

Ein Werk, das sich mit solchen Sicherheitsmaßnahmen auseinandersetzt, sind die frei verfügbaren CIS Critical Security Controls for Effective Cyber Defense. Diese wurden von ExpertInnen des Center for Internet Security und diverser weiterer Organisationen ausgehend von tatsächlichen Angriffen und Bedrohungen entwickelt. Von diesen ausgehend, erfolgte eine Priorisierung und Auswahl der fundamentalsten Sicherheitsmaßnahmen mit dem größten Nutzen. Das Werk enthält effektive und spezifische Sicherheitsmaßnahmen, deren Ziel das Verhindern, Vorbeugen, Erkennen, Reagieren und Mildern von Angriffen und möglichen Schäden ist. Die CIS Critical Security Controls sind in 18 Bereiche untergliedert und decken darin umfassend essentielle Informationssicherheitsthemen und -maßnahmen ab.

In Österreich gibt es weiters ein IT-Sicherheitshandbuch von der WKÖ, welches Sicherheitstipps für KMU anführt.

Ausblick

In Zukunft wird das Thema Cybersicherheit auch weiterhin von exponentiell wachsender Bedeutung sein. Durch die Transformation zum „Digital Business“ und durch den Trend, der immer weiter in Richtung Digitalisierung, Automatisierung bzw. die Übergabe von Kontrolle an die IT bzw. Algorithmen geht, wird die gesamtgesellschaftliche Bedeutung der Cybersicherheit weiter zunehmen – und ebenso die Verwundbarkeit, sofern nicht entsprechend gegengesteuert wird. Auch die Cybercrime-Märkte werden sich weiterentwickeln und trotz der raschen technologischen Entwicklung wird der Mensch weiterhin ein wichtiges Angriffsziel bleiben.

Cyber-Risiken und Vorfälle sind also eine überaus reale Gefahr. Doch trotzdem gibt es keinen Grund für Verzweiflung und Pessimismus. Das Wissen, was zu tun ist und wie die Sicherheit erhöht werden kann, ist vorhanden und oft sogar frei verfügbar. Es liegt nun an uns, dieses Wissen umzusetzen. Eine sehr gute Ausgangsbasis bieten etwa die erwähnte CIS Critical Security Controls for Effective Cyber Defense oder das IT-Sicherheitshandbuch der WKÖ.