Lösegeldzahlungen an Hacker bringen Chefs in Gefahr
Cyberangriffe auf Unternehmen häufen sich. Während die Hacker professioneller werden, unterschätzen Betriebe das Risiko immer noch.
Das Risiko von Cyberangriffen wird noch immer zu oft ausgeblendet. Dabei gehört die Bedrohung mittlerweile zum Alltag, wie der aktuelle Fall im deutschen Landkreis Anhalt-Bitterfeld zeigt. Hacker haben das IT-System der Verwaltung angegriffen und sie für zwei Wochen völlig lahmgelegt.
Versäumnisse beim IT-Schutz haben nicht nur massive wirtschaftliche und soziale Folgen, sondern auch rechtliche Konsequenzen. Rechtsanwalt Clemens Völkl, der sich intensiv mit Fragen der Haftpflicht beschäftigt, verweist darauf, dass sich Vorstände auf dünnem Eis bewegten, wenn Lösegeld bezahlt werde, um die Kontrolle über die ITSysteme zurückzuerlangen. Solche Zahlungen seien grundsätzlich verboten, weil man mit kriminellen Organisationen keine Geschäfte machen dürfe, meint der Jurist.
In Österreich sind das Kanzleramt, das Innen-, das Außen- und das Verteidigungsministerium für die Cybersicherheit zuständig. Es steige nicht nur die Zahl der Attacken auf die Verwaltung und Privatunternehmen, sie würden auch immer gefinkelter, heißt es im Kanzleramt. Die Bundesverwaltung, Unternehmen der kritischen Infrastruktur und Betreiber „wesentlicher Dienste“sind seit Anfang 2018 per Gesetz verpflichtet, IT-Schutzvorkehrungen zu treffen. Seither habe sich einiges getan, heißt es. Ein Experte des Innenministeriums drückt es so aus: „Wir werden immer professioneller, die Angreifer auch.“
Auf kommunaler Ebene sei bei der Absicherung von Computernetzwerken immer noch „Luft nach oben“, sagt Johannes Schmid vom Städtebund. Josef Pichlmayr, Chef des Internet-Security-Anbieters Ikarus, kritisiert, dass die Problematik immer noch nicht ausreichend erkannt werde. Die Verletzlichkeit von Netzwerken werde „massiv unterschätzt“. Auf Gemeindeebene herrscht die Hoffnung, dass „es einen nicht erwischt“. Prävention sei oberstes Gebot.
WIEN. Hacker dringen ins IT-System der Großmolkerei SalzburgMilch ein, ändern Passwörter, verschlüsseln Daten und legen den Betrieb tagelang völlig lahm. Eine andere Gruppe, die in Russland verortet wird, hackt sich in die Software des IT-Dienstleisters Kaseya und platziert auf diesem Weg Schadsoftware auf den Computersystemen der Kunden von Kaseya. Um die Daten zu entschlüsseln, wird ein Lösegeld von 70 Millionen Dollar (60 Millionen Euro) gefordert, zu zahlen in der Kryptowährung Bitcoin.
Nur zwei Fälle folgenschwerer Cyberangriffe der jüngsten Zeit, die längst keine Ausnahme sind. Mit Ransomware (Software, mit der Lösegeld erpresst wird) seien anfangs vor allem große Unternehmen attackiert worden, mittlerweile nähmen Hacker auch kleine, lokal tätige Unternehmen ins Visier, sagt Ulrich Kallausch, Geschäftsführer der auf IT-Sicherheit spezialisierten Certitude Consulting GmbH. „Das geht total in die Breite, es gibt kein Muster, es kann jeden treffen.“
Gegen Cyberangriffe gebe es keinen absoluten Schutz, aber man könne sich vorbereiten und das Risiko minimieren. Allerdings wüssten 90 Prozent der Betriebe nicht über die Sicherheit und die möglichen Einfallstore ihrer IT-Systeme Bescheid, sagt Kallausch. Je nach Größe gebe es in Unternehmen zwischen zehn und 500 Software-Applikationen, „dort lauern die Gefahren“. Um das Risiko zu kennen, müssten Unternehmen die Sicherheit
ihrer IT-Systeme überprüfen – mit den Zuständigen im Haus und externen Experten. Am Beginn sollte ein Penetrationstest stehen, bei dem die Lücken in den IT-Systemen sichtbar werden, sagt Kallausch.
Auf dieser Basis könne man darangehen, Schwachstellen zu beseitigen. Technisch gehe es dabei um das Segmentieren des Netzwerks, um im Fall des Angriffs an einer Stelle die Schotten zu anderen Bereichen dichtmachen zu können.
Ein Risiko sei stets auch der Mensch. Hier gehe es um Zugangsberechtigungen zu Systemen, die müssten lückenlos erfasst und nach dem „Zero-Trust-Prinzip“vergeben und kontrolliert werden. Dass all das oft noch immer nicht gemacht werde, sei unverständlich, sagt Kallausch. Unternehmen seien darauf getrimmt, mit Risiken aller Art umzugehen, wie Währungsschwankungen, Lieferstopps und Zahlungsausfällen. Das Risiko von Cyberangriffen werde aber ausgeblendet, dabei könne es existenzbedrohend sein. Das sei bei vielen noch nicht angekommen, „der Mittelstand ist gar nicht vorbereitet“.
Diese Versäumnisse könnten allerdings massive rechtliche Konsequenzen haben, sagt Rechtsanwalt Clemens Völkl, der sich intensiv mit Fragen der Haftpflicht beschäftigt. Wenn ein Cyberangriff ein Unternehmen treffe, das darauf schlecht oder gar nicht vorbereitet war, stelle sich schnell die Frage nach einer Verletzung der Sorgfaltspflicht der Geschäftsführung, sagt Völkl.
Auf dünnem Eis wandle ein Vorstand auch, wenn Lösegeld bezahlt werde, um die Kontrolle über die ITSysteme zurückzuerlangen. Solche Zahlungen seien grundsätzlich verboten, weil man mit kriminellen Organisationen keine Geschäfte machen dürfe, sagt Völkl. Es gebe einen Entschuldigungsgrund, der dann gegeben sei, wenn die Existenz des Unternehmens gefährdet sei. Allerdings müsse nachgewiesen werden, ob es nicht andere Lösungen als das Zahlen von Lösegeld gebe und ob das überhaupt helfe, um sich zu befreien, sagt Völkl. Dabei könne man auch das Reputationsrisiko fürs Unternehmen ins Treffen führen, gerade in diesem Punkt gebe es aber sehr viel Interpretationsspielraum.
Ein Vorstand sei zwar gut beraten, sich Rückendeckung vom Aufsichtsrat zu holen und diesen sofort zu informieren. Selbst wenn der dafür eintritt, Lösegeld zu zahlen, sei der Vorstand damit aber noch nicht auf der sicheren Seite. Denn er dürfe keine gesetzwidrigen Weisungen entgegennehmen, sagt Völkl. Manager
müssten selbst entscheiden, auf Basis einer informierten Grundlage. Jedenfalls müssten sie aufpassen, dass ihnen ihr Handeln nicht als Untreue ausgelegt werden kann.
Auch Versicherungen böten nur bedingt Schutz. In vielen ManagerHaftpflichtversicherungen seien Cyberrisiken ausgenommen. Und selbst bei speziellen Cyber-Security-Polizzen, die auch Lösegeld abdecken, komme es auf die genauen Klauseln im Kleingedruckten an.
Je mehr sich die Hackerbranche professionalisiere – betroffene Unternehmen würden mittlerweile an ein Callcenter verwiesen, wo man freundlich über die Bedingungen zur Freigabe der Passwörter informiert werde –, umso größer werde der Druck auf die Unternehmen, sich zu wappnen. Die IT-Sicherheit sollte integraler Bestandteil des Prüfplans der Internen Revision sein und auch in die Wirtschaftsprüfung einfließen. Unternehmensleiter müssten damit rechnen, dass etwas passieren kann, sagt Kallausch, „alles andere ist fahrlässig“.