119

Kommentar 

von Christian Spendel,

Geschäftsleitung, 

Petschl-Transporte Österreich. 

Der Täter ist immer 

einen Schritt voraus!

Ich muss zugeben, ich fürchte mich auch! Im Strafrecht gilt ein 

ehernes Gesetz: Der Täter ist immer einen Schritt voraus! 

Im WORLD WIDE WEB gilt das umso mehr.

Haben sie je die AGBs ihres Google, Facebook oder WhatsApp Account gele-
sen? Dort steht so etwas wie: „Wir verarbeiten Ihre Informationen wie Akti-
vitäten, Geräte-IDs, IP-Adressen, Cookie-Daten und Standortinformationen.“ 
Ok, also eh nur! Wir könnten auch gleich einen großen rotblinkenden Pfeil an 
unsere Hutkrempe picken, wo draufsteht: „Bitte hier alles Private downloa-
den.“ Nein, brauchen wir nicht! Denn die, die es wissen wollen, holen es sich 
sowieso. Und eines steht fest, bei unseren Google-Suchen lügen wir nicht. 
Alles was wir dort eintippen, ist echt und original. Denken Sie mal darüber 
nach. Oder denken Sie besser nicht darüber nach. Ist nämlich ein mulmiges 
Gefühl, wenn man immer damit rechnen muss, dass irgendwo irgendwer 
mitliest oder mitschaut. Sie haben sicher schon überlegt, die Webcam ihres 
Notebooks oder Smartphones abzukleben? Nein, dann spätestens jetzt. 

Aber wir wollen sie ja auch, die totale Transparenz. Egal, ob im privaten 
oder beruflichen Bereich. Unsere Lkw werden sekundengenau per GPS ver-

folgt und sämtliche Fahrzeug- und Fahrerdaten nach Hause in die Zentrale 
gefunkt. Ankunftszeiten, Dieselverbräuche, Reifendrücke, Servicedaten und 
vieles mehr. Wir selbst wollen das wissen und unsere Kunden verlangen 
danach. Kann ich mir sicher sein, dass diese Daten nur bei uns am Server 
landen? Unsere IT Spezialisten denken schon.  

Wenn Sie im Internet ein schönes Päckchen bestellen, schauen sie ja auch 
in der Sendungsverfolgung nach, wo es wann angekommen oder umgela-
den wurde. Das Päckchen kommt deswegen aber keine Minute früher oder 
später an. Aber Hauptsache wir wissen und sehen alles. Und was kommt 
dabei am Ende heraus? Ein riesiger Überwachungsapparat, der selbst 
wieder überwacht werden muss; Stichwort: Datenschutzrichtlinie. Schöne 
neue, sichere Welt. 

Cyberangriffe zu erkennen - vorrangig 
wegen der nicht vorhandenen Ressour-
cen. Ein umfassendes Cyber Security 
Management möchten sich viele klei-
ne oder mittelgroße österreichische 
Unternehmen nicht leisten.“ Darum ist 
es wichtig, die Thematik nicht als reine 
IT-Aufgabe abzutun, sondern in die Un-
ternehmensabläufe allgemein einflie-
ßen zu lassen: „Etwa Maßnahmen wie 
E-Mail-Adressen mit Zertifikat, stärke-
re Passwörter oder beim Einloggen in 
diverse Systeme eine Multi-Faktor-Au-
thentifizierung, wie etwa beim Online-
Banking, zu verwenden“, zählt Beham 
mögliche Optionen auf. Bis ein Angriff 
erkannt wird, können Monate vergehen 

– laut Mandiant Report 2017 waren es 

weltweit durchschnittlich 99 Tage, eu-
ropaweit 469 Tage – denn eine „one size 

fits all“-Methode gebe es nicht. Wenn es 
ein Unternehmen getroffen hat, braucht 
es eine forensische Analyse: Wer hat 

wann draufgeklickt? Woher kommt der? 
Von welcher Adresse stammt das Pro-
gramm oder das E-Mail? Die ING-Diba 

etwa verfolgt eine Drei-Phasen-Strate-
gie: „Die erste Phase sind ‚Awareness’-
Maßnahmen für die Mitarbeiter, bei 
denen wir das Sicherheitsbewusstsein 
stärken und auf aktuelle Trends einge-
hen. Die zweite Phase ist die Detection, 
also das Monitoring und die Überwa-
chung der Programme und Systeme, 
um Angriffe frühzeitig zu erkennen. Die 
dritte Phase ist die Response, also die 
Vorgehensweise, wie ich reagiere, wenn 
etwas passiert. Dafür gibt es Playbooks, 
die festlegen, welche Aktionen wann 
und wie gesetzt werden“, so Overeem. 
98 Prozent der Angriffe könnten so be-
reits automatisiert abgefangen werden, 
durch die Detection gelingt es neuar-
tige, noch nicht bekannte Angriffe zu 
entdecken. Ab und zu passiere auch 
mal eine Response, das könne man bei 
Banken nicht hundertprozentig verhin-
dern, denn „es bleibt immer ein Wett-
lauf gegen die Zeit und gegen die Tech-
nik“, weiß Overeem. 

Wichtig sei es in jedem Fall die Mitar-
beiter ausreichend zu schulen. „Wenn 
die Mitarbeiter nicht wissen, was pas-
sieren kann, sind sie hoffnungslos 
ausgeliefert. Das ist das Problem der 
meisten Unternehmen. Das Bewusst-
sein ist vielleicht beim Chef vorhanden, 
aber nicht bei den Mitarbeitern“, so 
Markus Roth, Obmann der Unterneh-
mensberater, Buchhalter und IT in der 

Wirtschaftskammer 

Oberösterreich 

(WKOÖ). Dafür müsse man entspre-
chende Schulungsprogramme bereit-
stellen und Security-Spezialisten ins 
Unternehmen holen. Diese bringen 
einem die ersten und bedeutendsten 
Maßnahmen bei, damit federe man 
schon viel ab: „Ein hundertprozentig si-
cheres Unternehmen gibt es nicht. Es 
geht darum, die Low-hanging-fruits zu 
beseitigen. Im Endeffekt muss man nur 
sicherer sein als der Nachbar. Denn 
wenn in einem Unternehmen für Ha-
cker nichts zu holen ist, probieren sie 

es bei der Konkurrenz.“ Ein beliebtes 
Mittel, um herauszufinden, wie an-
fällig man als Unternehmen ist, sind 
Penetration-Tests. Das sind gezielt 
simulierte Angriffe von außen. „Bei 
der ING-Diba ist das Standard“, erkärt 
Overeem. Aber auch regelmäßige Up-
dates und kluge Passwörter würden 
bereits helfen, wie Roth meint: „Up-
dates haben eine technische und eine 
menschliche Komponente. Es gehört 
zum Handwerkszeug einer IT-Abteilung 
regelmäßige Software-Updates durch-
zuführen und beispielsweise zu schau-