Cyberangriffe verursachen hohe Schadenssummen, weil Unternehmen stillstehen. Probleme mit verschlüsselten, nicht mehr zugänglichen, Daten und immense Lösegeldforderungen bereiten Unternehmer:innen und Führungskräften schlaflose Nächte. Zurecht, denn die Anzahl der angezeigten Straftaten im Bereich Internetkriminalität hat sich von 19.627 (2018) auf 60.195 (2022) verdreifacht. Nur jede dritte Straftat konnte aufgeklärt werden. Die EU-Richtlinie zur Cybersicherheit NIS2 soll deshalb ab Oktober 2024 Mindeststandards setzen.
Nach wie vor zielen Cyberattacken von Internetkriminellen auf Unternehmen direkt sowie indirekt auf die Mitarbeiter und zum Teil auch deren Kunden ab. Mitarbeiter stellen in diesem Zusammenhang das „größte Cyberrisiko“ dar. Keine:r ist gefeit: DDoS-Angriffe, Malware, die verschlüsselte Daten und Erpressung nach sich ziehen, Phishing-Attacken, gefälschte Websites, gefakte Zahlungs- oder Überweisungsaufträge nehmen immer ausgefeiltere Formen an. Mit einem Klick wird man zum Opfer.
„Kleine Unternehmen sind angesichts fehlender Ressourcen und Fachkenntnisse bei der IT-Sicherheit ein leichtes Ziel für Hacker“, erklärt Peter Stelzhammer, Sprecher der IT-Security Experts Group Tirol. So war z. B. auch die SoWi-Holding betroffen, die Messen wie die Bildungsmesse BeSt organisiert. Eine Woche vor der BeSt in Klagenfurt forderten Hacker 5.000 Euro in Bitcoins als Lösegeld, ansonsten würden die im Backend der Website befindlichen Daten online gehen. SoWi-Holding GF Matthias Penz informierte sofort das Ministerium und erhielt dort detaillierte Tipps im Umgang mit Cyberkriminalität. Wichtig war vor allem die Warnung der Sicherheitsexpert:innen, kein Lösegeld zu bezahlen, da dies nur weitere Forderungen nach sich ziehe.
Präventive Maßnahmen setzen
IT-Sicherheitssysteme wie Datensicherungen, IP-Monitoring, Firewall & Virenschutz, interne Zugriffs- und Zugangsbeschränkungen und kontrollierte Abläufe wie Clean Desk, die Verwendung externer Datenträger oder das Prüfen und Verifizieren von E-Mails sind wichtige präventive Maßnahmen. Daneben sind sichere Passwörter sowie Schulungen und eine Sensibilisierung der Mitarbeiter:innen mit einer durchdachten internen Informationspolitik grundlegender Standard. „Jedes Unternehmen sollte sich zudem gegen Cyber-Risiken versichern, da die Schäden im Falle einer Cyber-Attacke existenzbedrohend sein können“, rät die Fachgruppenobfrau Sybille Regensberger. Die Fachgruppe UBIT hat hier für ihre Mitglieder eine spezielle Cyberversicherungslösung zu vergünstigten Konditionen ausverhandelt.
Mindeststandards durch EU-Richtlinie
Seit Jänner 2023 ist die neue Cybersicherheits-EU-Richtlinie NIS2 (Netz- und Informationssystem Sicherheit 2) für Betreiber Kritischer Infrastrukturen in Kraft. Bis 17. Oktober 2024 muss auch Österreich als EU-Mitgliedsstaat die Richtlinie NIS2 gesetzlich verankern. Das bedeutet: Ab diesem Zeitpunkt gelten für weit mehr Unternehmen als bisher in bestimmten Sektoren - z.B. Energie, Transport, Abfallwirtschaft, etc. -konkrete Mindeststandards für Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen. Bei Nichtumsetzung der EU-Richtlinie drohen Sanktionen zwischen 1,4 und 2 % des weltweiten Jahresumsatzes des Unternehmens.
Welche Unternehmen „trifft“ die EU-Richtlinie NIS2
Vorwiegend betroffen sind mittlere und große Unternehmen ab 50 Beschäftigten bzw. mit einer Jahresbilanz über 43 Mio. Kleine Unternehmen bis 49 Beschäftigten bzw. einer Jahresbilanz bis 10 Mio. sind nur dann betroffen, wenn sie im Bereich Digitale Infrastruktur oder als Lieferanten tätig sind, oder wenn sie kritische gesellschaftliche oder wirtschaftliche Aktivitäten aufrechterhalten.
Diese Unternehmen sind ab dem 17. Oktober 2024 mit einer Vielzahl an Risikomanagementmaßnahmen konfrontiert, wie dem Erstellen von Konzepten zur
Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Business Continuity und zum Krisenmanagement
Lieferkettensicherheit
Kryptografie und ggf Verschlüsselung
Sicherheit des Personals
Zugriffskontrolle
Multi-Faktor-Authentifizierung
Im konkreten Fall einer Cyberattacke müssen Sie innerhalb vorgegebener Fristen Meldung machen. Von der Frühwarnung über die 1. Meldung innerhalb 24 Stunden bis zur Meldung und Berichterstattung innerhalb eines Monats.
Gut informiert
Wer unsicher ist, ob sein Unternehmen von der NIS2-Richtlinie betroffen ist, eine Risikoanalyse für eine Cyberversicherung machen will oder sich einfach beraten lassen will, findet im WKO Online Ratgeber, in Webinaren und in Online-Workshops der UBIT-Akademie Unterstützung von Expert:innen auf dem Gebiet Cybersicherheit & KI. Für Unternehmen in Tirol hat die Fachgruppe zudem für Mitglieder eine kostenlose Cybersecurity-Hotline eingerichtet. Unter der Nummer 0800-888 133 erhalten Betroffene 24/7 eine Erstinformation bzw. Notfallhilfe im Falle einer möglichen Cyberattacke.