Großen Nachholbedarf bei der IT-Sicherheit von Firmen in Kontinentaleuropa ortet Cybersecurity-Experte Walter Bohmayr von der Boston Consulting Group (BCG) Österreich. "In den meisten Cybersecurity-Fällen sind Menschen die Türöffner für die Angreifer, nur bei einem Drittel der Vorfälle hätte eine bessere technische Lösung Abhilfe schaffen können", sagte Bohmayr im Vorfeld des WEF-Forums .

"Unternehmen und Vorstände haben verstanden"

Beim Weltwirtschaftsforum (WEF) im Schweizer Davos vom 22. bis 25. Jänner steht das Thema Cybersecurity auch auf dem Programm. Bohmayr ist bei BCG weltweit für das Thema IT-Sicherheit zuständig und auch dieses Jahr beim WEF vor Ort. In Davos werde man auch über die Sicherheit von größeren Ökosystemen am Beispiel der Elektrizitätsnetze diskutieren. "Unternehmen und Vorstände haben verstanden, was auf dem Spiel steht."

Die Mitarbeiter seien "viel zu wenig geschult", warnte der Experte. "Cybersecurity ist ein gesamtheitliches Problem des Unternehmens und nicht ein IT-Problem. Der Vorstand muss die Gesamtverantwortung tragen", appellierte der Berater an die Unternehmenslenker. Es gebe grundsätzlich drei unterschiedliche Typen von Cybercrime: Angriffe von Nationalstaaten, Cybercrime, um Geld zu generieren und Aktivisten, die ein Statement machen wollen.

Um rund 50 Mio. Euro betrogen

Einen besonders spektakulären Fall von Cybercrime gab es Anfang 2016 in Österreich. Der oberösterreichische Flugzeugteilehersteller FACC war damals von Internetkriminellen um rund 50 Mio. Euro betrogen worden. FACC ist in Österreich das prominenteste Opfer einer Betrugsmasche, die "Fake-President" genannt wird. Außenstehende geben sich dabei in E-Mails als Chef aus und bitten Mitarbeiter, Geld auf Konten im Ausland zu überweisen.

In die Falle tappten auch andere Firmen. Ein halbes Jahr nach FACC meldete der deutsche Autozulieferer Leoni, auf ähnliche Weise wie FACC um 40 Mio. Euro erleichtert worden zu sein. Leoni hat sich bereits damit abgefunden, dass Geld nicht wiederzusehen.

1.7000 Server und 24.000 Firmenlaptops unbrauchbar

Die US-amerikanische Milka-Mutter Mondelez wurde im Jahr 2017 wie auch andere Großkonzerne Opfer einer Cyberattacke mit dem Krypto-Trojaner "NotPetya". Der Schaden belief sich damals für Mondelez auf 100 Mio. Dollar, insgesamt wurden 1.7000 Server und 24.000 Firmenlaptops unbrauchbar. Damals stand aufgrund der Schadsoftware auch die Schokoladenproduktion am Vorarlberger Mondelez-Standort in Bludenz still.

Bohmayr empfiehlt österreichischen Unternehmen deutlich mehr in Cybersecurity zu investieren. "Wenn ein Unternehmen gut im Bereich Cybersecurity aufgestellt ist, dann hat es einen strategischen Wettbewerbsvorteil." Es gehe bei Cybersecurity "vor allem um eine Kulturänderung in den Köpfen der Mitarbeiter". Normalerweise dauere es 18 bis 24 Monate bis man eine erste Cybersecurity-Roadmap umgesetzt hat, inklusive Software-Implementierungen und laufenden Mitarbeiterschulungen sowie Bewusstseinsbildung. "Es gibt keine Wunderkugel", betonte der Experte.

Aktuell gibt es einen sehr großen Mangel an Cybersecurity-Experten in Kontinentaleuropa. "Im angloamerikanischen Raum werden Cybersecurity-Experten aus dem Militär und den Nachrichtendiensten rekrutiert. Da gibt es einen großen Pool", so Bohmayr. Seit kurzem können Studierende an der TU Wien und Graz im Studium zumindest Module für Cybersecurity belegen. (APA, 22.1. 2019)