Das Videointerview mit Jürgen Weiss, CEO des Cybersecurity-Unternehmens Ares, beginnt mit einer Schelte, nachdem der Gründer erfahren hat, dass der Interviewer per Gäste-WLAN eines Hotels online ist. „Mit einem Gäste-WLAN würde ich mich generell nicht verbinden, egal wo. Dazu sind zu viele sensible Daten auf meinem Notebook, als dass ich mich mit einer unvertrauenswürdigen Quelle connecte“, sagt Weiss und beginnt, die Risiken zu erklären. „Es gibt Tools und Software, die aus den Browsern gespeicherte Passwörter und Daten herausziehen können, die kosten im Darknet nicht einmal zehn Dollar“, sagt der IT-Experte. Außerdem: Wer garantiert, dass man sich nicht über ein gefaktes Netzwerk eines oder einer Kriminellen einloggt, das nur vorgibt, zum Hotel zu gehören? Die erbeuteten Daten können dann bequem an andere Kriminelle verkauft werden. Wie unkompliziert das geht, zeigt Weiss gleich vor, aktiviert ein Verschlüsselungstool und verbindet sich mit einem Onlinemarktplatz. Dort im Angebot: Kreditkarteninformationen oder Zugangsdaten, mit denen Computer ferngesteuert werden können – darunter auch viele IP-Adressen aus Oberösterreich. „Besonders interessant für Kriminelle sind Daten, hinter denen Firmennamen oder Office365-Accounts stehen“, erklärt der Experte. 

Weiss ist nicht ohne Grund vorsichtig – er hat unzählige Male gesehen, welchen Schaden Cyberangriffe anrichten können. Immer beliebter würden Ransomware-Angriffe, bei denen Unternehmen aus ihrem eigenen System ausgesperrt werden und dann Lösegeld zahlen sollen. „Die Tools dafür kann man ebenfalls im Darknet kaufen und ohne großes technisches Know-how anwenden“, erklärt Weiss. Der Schaden für betroffene Unternehmen sei enorm. „Wenn ein KMU erfolgreich Ziel einer solchen Attacke wird, entsteht locker ein Schaden von 50.000 bis 100.000 Euro – und da sind Lösegeldforderungen und Reputationsverlust noch gar nicht enthalten“, sagt er. Kommt es zu solchen Vorfällen, ist ARES oft als erste Unterstützung zur Stelle. „Im vergangenen Jahr haben wir 34 Unternehmen, die von einer Hackergruppe gehackt wurden, gleichzeitig unterstützt und so vor größerem Schaden bewahrt“, sagt Weiss. Dafür wurde ARES 2022 mit dem EU Cyber Award 2022 in der Kategorie „Incident Responder of the Year“ ausgezeichnet. Insgesamt hätte man in den vergangenen zwei Jahren 120 solcher Notfalleinsätze gehabt. „Das sind massive Stresssituationen, in denen nachts und an Wochenenden durchgearbeitet wird“, erklärt der Gründer. „Feuerlöscher“ ist man bei ARES eigentlich nur ungern – lieber sei es den Expert:innen, Vorfälle durch die richtige Vorbereitung gar nicht erst zuzulassen. „Wir bieten eine Rund-um-die-Uhr-Überwachung der gesamten Unternehmensinfrastruktur an, dabei identifizieren wir via Machine Learning Anomalien und können sofort reagieren, um Gefahren einzudämmen“, erklärt Weiss. Wichtig seien auch sogenannte Penetrationstests – dabei versuchen ARES-Mitarbeiter:innen, mit derselben Vorgehensweise wie Cyberkriminelle in Netzwerke einzudringen und so Schwachstellen zu erkennen. 

Mensch als schwächstes Glied in der Kette

IT-Security-Unternehmen wie ARES werden auch aufgrund des Fachkräftemangels immer gefragter. Fast drei Viertel der befragten Unternehmer:innen gaben in einer Studie von KPMG und KSÖ an, Schwierigkeiten beim Rekrutieren von IT- und Security-Expert:innen zu haben, viele Dienste werden deswegen ausgelagert. „Ich kann gar nicht sagen, wie oft ich von Betrieben angerufen oder kontaktiert werde, die gerne unsere Absolvent:innen einstellen würden“, sagt Silvia Schmidt, Lehrende und Forschende des Masterstudiums IT-Security an der FH Campus Wien und Leiterin des hauseigenen Cybersecurity-Teams. Aus ihrer Sicht sollten Unternehmen intern vor allem auch an der Bewusstseinsbildung arbeiten. „Der Mensch ist nach wie vor das schwächste Glied in der Kette“, sagt sie – Studien bestätigen das. Immer beliebter würden Angriffe via Social Engineering – die Kriminellen bringen über Social Media persönliche Details in Erfahrung und nutzen diese für täuschend echte Phishing-Mails. „Nachdem sich die Methoden immer wieder weiterentwickeln, gilt es auch, Mitarbeitende immer wieder zu schulen“, sagt sie. Dafür empfiehlt sie Awareness-Workshops und ständigen Austausch.

„Wir haben in der Cybersecurity das selbe Problem wie in der Krankenpflege, es gibt mehr Arbeit als Betreuer:innen“, sagt Michael Karl vom 2019 gegründeten Unternehmen Snapsec. Viele Unternehmen hätten heutzutage schon längst den Überblick verloren, wie sie sich online angreifbar machen und was digitalisiert ist. Vor einiger Zeit habe etwa ein Unternehmen nach einem Penetrationstest gefragt. Karl: „Als wir in der Angebotsphase wissen wollten, wie viele ihrer Dienste denn potentiell exponiert und angreifbar sind, wurde die Zahl auf zehn geschätzt – tatsächlich waren es dann aber mehr als 70.“ Snapsec bietet seinen Kunden mit blacklens.io einen sogenannten Attack-Surface-Management-Service an, bei dem beispielsweise extern auf die Kunden geschaut und Schwachstellen analysiert werden. Weiters wird online ständig nach neu auftauchenden Schwachstellen gefahndet, um vorab warnen zu können – dabei werden in Echtzeit Informationen über andere Angriffe gesammelt. „Insgesamt ist unser Ansatz aber nicht nur präventiv. Wir gehen auch davon aus, dass ein Angreifer erfolgreich ist und bereiten uns darauf vor, optimal eingreifen und reagieren zu können“, sagt Karl, „wenn es zu einem Vorfall kommt, sind nur wenige Unternehmen fähig, eine sofortige Antwort zu liefern.“ Snapsec liefere ein auf Machine Learning und KI basierendes Grundgerüst, das sofort agieren kann. Potentielle Angriffe erkennt das Unternehmen durch eine Art Trichterfunktion, die diese automatisiert auffängt und nach qualifizierten Indikatoren auswertet. Karl: „Aus unserer Sicht investieren Unternehmen bereits viel in Prävention, aber noch zu wenig in Detektion.“ 

SCCH-Forschungsprojekt soll geistiges Eigentum schützen

An einem völlig anderen Ansatz zum Thema beschäftigen sich Expert:innen am Software Competence Center Hagenberg (SCCH) im FFG-geförderten COMET-Modul „Dependable Production Environments with Software Security“ (DEPS). „Wir erforschen die Grundlagen für den effizienten und sicheren Schutz von Software und AI-Modellen mit Fokus auf die Absicherung des geistigen Eigentums“, sagt Projektleiter Thomas Ziebermayr. Ziel ist es, ein sicheres Verfahren zum Schutz der Software, die mit dem Produkt ausgeliefert wird – etwa Maschinen im industriellen Umfeld oder embedded Systems – zu entwickeln. Das soll einen stärkeren Schutz als bestehende Verfahren bieten und um die Kosten zu reduzieren, ohne zusätzliche Hardware auskommen. Der klassische Anwendungsfall? „Wenn ein Maschinenbau-Unternehmen eine Maschine verkauft, und die Software, die darauf läuft, schlecht geschützt ist, könnten Angreifer Software-Zugriff bekommen und sie kopieren, nachkonstruieren oder verändern. Den Schaden und den Verlust des geistigen Eigentums hat dann das Maschinenbau-Unternehmen“, erklärt Ziebermayr.

Der neue Forschungsansatz soll dieses Nachkon-struieren erschweren. Dafür werden bereits bekannte Mechanismen mit neuen kombiniert. Mindestens vier, möglicherweise fünf Jahre soll das Forschungsprojekt laufen, in diesem Zeitraum werden Methoden entwickelt, die das geistige Eigentum mit einer Art Fingerabdruck schützen. Die Software wird dabei an eine bestimmte Hardware gekoppelt und funktioniert dann auf anderen Maschinen nicht.

Im Projekt werden die Anforderungen der Unternehmenspartner eingeholt um den Schutzmechanismus gezielt für den Anwendungsfall auszurichten. Um festzustellen ob der Ansatz funktioniert muss man, wie in jedem Forschungsprojekt die Ergebnisse evaluieren, also auf Wirksamkeit und Zuverlässigkeit prüfen. Kein leichtes Unterfangen aufgrund einer auch manchmal harschen Testumgebung. „Bei Gleisbaumaschinen, wo unsere Lösung zur Anwendung kommen könnte, gibt es etwa hohe magnetische Belastungen und Temperaturunterschiede. Damit umzugehen, ist technisch eine große Herausforderung“, sagt Ziebermayr. Derzeit ist man auf der Suche nach weiteren Forschungspartnern für das Projekt. Diese würden laut dem Projektleiter in mehrerlei Hinsicht an der Teilnahme profitieren. Ziebermayr: „Im Zuge der Arbeit wird viel Wissen aufgebaut, welche Angriffe es gibt, und woran ich arbeiten muss, damit gewisse Dinge nicht passieren. Auch diese Erkenntnisse können für die Unternehmen von großem Nutzen sein.“ Die Endergebnisse des Forschungsprojekts sollen auf jeden Fall zur Anwendung gebracht werden. 

Community hält zusammen

2021 betrug der globale wirtschaftliche Schaden durch Cyberkriminalität schätzungsweise sechs Billionen Dollar. Nach Schätzungen des Cybercrime-Magazins Cybersecurity Ventures soll der Schaden bis 2025 auf 10,5 Billionen Dollar steigen. „Ich glaube, dass wir erst am Anfang der Herausforderungen stehen, das stetige Vorantreiben der Digitalisierung und neuer Technologien wird zu ständig neuen Herausforderungen führen“, schätzt Snapsec-Gründer Michael Karl. Auch Jürgen Weiss vermutet, dass die Situation in Zukunft komplizierter wird. „Einerseits aus geopolitischen Gründen – mittlerweile setzen einige Nationen gezielt Hackergruppierungen für Wirtschaftsspionage ein –, andererseits dürfte das Thema Innentäter:innen stärker an Bedeutung gewinnen“, sagt er. In Krisenzeiten bestünde die Gefahr, dass unzufriedene Mitarbeiter:innen gegen hohe Summen mithelfen, das eigene Unternehmen hacken zu lassen. Weil es insgesamt viel zu wenige IT-Security-Expert:innen gibt, versucht ARES, ein eigenes Cybersecurity-Ecosystem aufzubauen. „Wir können als Unternehmen nur eine begrenzte Zahl an Vorfällen behandeln und brauchen qualifizierte Partner, an die wir die restlichen weitergeben können“, sagt Weiss. Man organisiert Veranstaltungen, um Erfahrungsaustausch in der Community zu betreiben und sich gegenseitig auszutauschen und bietet betroffenen Unternehmen die eigens entwickelte Plattform myincident.ai für eine kostenlose Ersteinschätzung bei Vorfällen. Snapsec geht ähnlich vor – man bündelte die Ressourcen mit dem Cybersecurity-Unternehmen A-Team Rocks zu einem Managed Defense Service - dem Active Cyber Defense Center. Im Kampf gegen die steigende Bedrohung hält die Branche also zusammen._