Cybercrime: Hype oder Realität?
Mit dem vermehrten Einsatz digitaler Technologien in der Energiewirtschaft nehmen auch die Angriffsmöglichkeiten im Bereich Cybercrime zu – gerade im Bereich kritischer Infrastrukturen. Im Rahmen von Oesterreichs Energie Kongress 2021 wurde diskutiert wie die E-Wirtschaft mit dieser Entwicklung umgeht.
Michael Marketz, Vorsitzender des Ausschuss Forschung & Innovation bei Oesterreichs Energie, unterstreicht, dass dieses Thema die E-Wirtschaft bereits seit vielen Jahren beschäftige. Die Unternehmen der Branche haben seither umfassende Maßnahmen gesetzt, um Cyberattacken abzuwehren und deren mögliche Auswirkungen rasch zu bewältigen. Heute sind die operativen IT-Systeme bei Energieunternehmen strikt von der Business-IT getrennt und Mitarbeiterinnen und Mitarbeiter werden laufend hinsichtlich Cybersicherheit geschult. Auch im Zusammenhang mit dem flächendeckenden Einsatz digitaler Stromzähler (Smart Meter) entwickelte die Branche umfassende Sicherheitskonzepte. Zudem gelte das Austrian Energy-CERT heute europaweit als Vorbild.
Ali Gülerman, Geschäftsführer Radar Cyber Security, sieht die österreichische E-Wirtschaft in Sachen Cybersecurity als gut aufgestellt. Die Branche habe erkannt, dass es sich um ein strategisches Thema handle. Wesentlich sei heute die „Cyber-Resilience“ – also die Widerstandsfähigkeit gegenüber Attacken aus dem digitalen Raum. Bei professionellen Angriffen vergingen meist Monate zwischen der Infiltration der Systeme und dem Zuschlagen der Kriminellen, so Gülerman. Dieses erfolge zu einem Zeitpunkt, der für das betroffene Unternehmen kritisch ist, etwa knapp vor einer Aufsichtsratssitzung: „Da muss das Unternehmen schnell reagieren und ist dann etwa für eine Erpressung möglicherweise leichter zugänglich.“ Technische Vorkehrungen alleine würden jedoch keinen ausreichenden Schutz bieten. Ebenso wichtig sei die Ausrichtung der Unternehmensprozesse sowie die laufende Schulung der Mitarbeiter gemäß der Devise „Product, Process, People“.
Sita Mazumder, Professorin für Informatik und Wirtschaft an der Hochschule Luzern, schätzt die Gefahr von Cyberangriffen für die E-Wirtschaft grundsätzlich als gleich groß ein wie in anderen Branchen. Der größte Schwachpunkt sei auch hier der Mensch: „Ein unachtsamer Klick, und der Angreifer ist im System.“ Im Zuge der Corona-Pandemie habe sich das Gefahrenpotenzial zudem erheblich erhöht, so Mazumder: „Im Homeoffice sind die private und die berufliche Sphäre nicht streng getrennt. Das ist gefährlich.“ Dazu komme, dass die technische Entwicklung der Risikoabwehr zurückfällt: Die „Legalwirtschaft“ müsse sich an Gesetze und rechtliche sowie regulatorische Vorgaben halten. „Die Kriminellen dagegen schauen einfach, wo es Schwachpunkte gibt, und schlagen zu. Dafür brauchen sie kein Antragsformular“, sagt Mazumder.
Auch nach Ansicht von Cem Karakaya, einem Experten für Internetkriminalität, sind die Menschen die größte Gefahr für die Cybersicherheit von Unternehmen. Die Praxis zeige, dass sich professionelle Kriminelle mittlerweile sehr intensiv auf Angriffe vorbereiten: „Sie haben umfassende Datensätze über ihre Opfer. Diese Täter zählen auf die menschliche Faulheit und auf die Ignoranz gegenüber der Gefahr.“ Im Rahmen von Aktionen zur Bewusstseinsbildung sendet Karakaya immer wieder gezielt Pishingmails an Unternehmen. In den meisten Fällen würden nicht weniger als 75 Prozent davon geöffnet.