35

Die Fälle von 

Cyberkriminalität

 und die dadurch verursachten Schäden nehmen weltweit 

rasant zu. Auch wenn das Bewusstsein für die Wichtigkeit des Themas in Österreich gestiegen 

ist, sind besonders KMU oft nicht ausreichend auf den Ernstfall vorbereitet. Dabei braucht es 

für ein akzeptables IT-Sicherheitsniveau nicht zwingend hohe Investitionen – sondern als ersten 

Schritt „nur“ ein Ablegen der eigenen Bequemlichkeiten. 

„WER SICH VORBEREITET, WIRD 

MEIST NICHT ZUR ZIELSCHEIBE

“ 

Redaktion_Valentin Lischka

Fotografie_Gettyimages, Haindl-Grutsch: Mario Riener; Roth: WKOÖ, 

Völkl: Stephan Huger, Fleck: SEC Consult

„Wir haben eh eine Firewall, mehr brau-

chen wir als kleines Unternehmen nicht. 

Wer soll sich für uns interessieren?“ Mar-

kus Roth erinnert sich genau an dieses 

Zitat eines Firmenpartners, der lange 

Zeit wenig davon hielt, sich mit dem 

Thema IT-Sicherheit auseinanderzuset-

zen oder gar darin zu investieren. „Als 

er dann auf einer Dienstreise in die 

USA aus dem Flieger gestiegen ist, hat 

er eine TAN-SMS für die Überweisung 

von 25.000 Euro auf die Virgin Islands 

bekommen“, sagt Roth. Während er im 

Flugzeug keinen Empfang gehabt hat-

te, wies ein Betrüger seine Sekretärin in 

mehreren Mails detailliert und glaub-

würdig an, warum sie sofort 25.000 

Euro für wichtige Firmengeschäfte an 

ein Offshore-Konto überweisen müsse. 

Kein Einzelfall. „Besonders bei kleineren 

Unternehmen in Österreich herrscht oft 

immer noch die Überzeugung, dass es 

einen schon nicht treffen wird, dass die 

eigenen Daten nicht interessant für Cy-

berkriminelle sind“, sagt Roth, „wenn 

dann was passiert, ist die Überraschung 

groß.“ Der Cyber Security Report von 

Deloitte bestätigt das: Rund ein Viertel 

der Klein- und Mittelbetriebe setzt sich 

erst nach einem Vorfall mit Cyberse-

curity auseinander, bei Unternehmen 

mit 250 Mitarbeitern oder mehr waren 

es nur acht Prozent. Roth ist Obmann 

der Fachgruppe Unternehmensberatung, 

Buchhaltung und Informationstechno-

logie (UBIT) bei der WKOÖ, Gründer 

des IT-Unternehmens Creative Bits und 

hat als IT-Berater mit verschiedensten 

Menschen, von Ministern bis CEOs, 

über das Thema gesprochen. Ein Haupt-

problem für ihn ist die Bequemlichkeit 

vieler Unternehmer. „Die Möglichkeiten 

wären vorhanden, die Ausrede ‚Ich habe 

keinen Sicherheitsexperten mit 25 Jah-

ren Erfahrung gefunden‘ zählt da nicht“, 

sagt er. Mit relativ simplen Mitteln kön-

ne man schon viel erreichen. Die UBIT 

betreibe viel Aufklärungsarbeit, inner-

halb der Mitgliedsbetriebe gibt es viele 

IT-Security-Spezialisten, die über die 

Plattform huddlex.at weitervermittelt 

werden. Auch eine eigene Notfallhotline 

hat die WKOÖ eingerichtet – für di-

rekte Hilfe bei Hackerattacken. Ein IT-

Sicherheitshandbuch soll Unternehmen 

helfen, die Mitarbeiter zu sensibilisieren. 

Denn die Statistiken zeigen: Die größ-

ten Risiken sind oftmals nicht Lücken 

in der Software – sondern unvorsichtige 

Menschen und fehlendes Bewusstsein. 

Fehlendes Risikobewusstsein kennt 

auch Ulrich Fleck, einer der Geschäfts-

führer des österreichischen Informati-

onssicherheitsexperten SEC Consult. 

„Wenn in einer ganzen Abteilung alle 

dasselbe Passwort verwenden, wird es 

schwierig herauszufinden, wo sich die 

Hacker genau Zugriff verschafft haben“, 

erklärt er. Sein weltweit tätiges Unter-

nehmen betreut Kunden von Start-ups 

bis hin zu internationalen Großbanken, 

aber auch kleine und mittelständische 

Unternehmen. „Neben klassischen IT-

Überprüfungen werden wir oft gerufen, 

wenn die Kunden einen Angriff ver-

muten – oder für sogenannte Penetra-

tionstests“, sagt Fleck. Dabei klopfen 

Experten die Sicherheitssysteme der 

Kunden auf Lücken ab und versuchen, 

sich mit Hackermethoden Zugriff zu 

verschaffen. Fleck: „Der Kardinalfehler 

ist sicher, dass man als Unternehmer 

nicht auf den Ernstfall vorbereitet ist.“ 

Die Sicherheit gilt es bei jedem Vorha-

ben mitzudenken. „Wir sehen oft, dass 

Unternehmer sich erst mit dem Aspekt 

Sicherheit beschäftigen, bevor ihr Pro-

dukt oder System live gehen soll – das 

ist zu spät“, sagt er. Wie viel sollte man 

sich effektive Sicherheitsmaßnahmen 

kosten lassen? Pauschal lasse sich das 

nicht sagen. Welche Summe Unterneh-

mer in die Sicherheit investieren soll-

ten, komme darauf an, wie angreifbar 

die jeweiligen Assets online sind. „Eine 

Großbäckerei wird etwa weniger brau-

chen als eine Bank“, erklärt Fleck, „die 

Bandbreite der sinnvollen Investitionen 

in Sicherheit bewegt sich in etwa bei 

fünf bis 17 Prozent des IT-Budgets.“ 

Extrem hohe Dunkelziffer 

bei Angriffen 

Um 16,8 Prozent sind die angezeigten 

Fälle von Internetkriminalität 2018 laut 

einem Bericht des Innenministeriums 

gestiegen, tatsächlich waren es vermut-

lich viel mehr. „Es gibt eine extrem hohe 

Dunkelziffer“, sagt Fleck. Das liege 

auch daran, dass man Informationen im 

klassischen Sinne nicht stehlen könne. 

„Wenn ein Hacker Informationen wie 

Passwörter oder sensible Daten ausspäht, 

sind sie ja deswegen beim Eigentümer 

nicht weg. Laut Statistiken dauert es im 

Schnitt acht Wochen bis zu mehreren 

hundert Tagen, bis Angriffe bemerkt 

werden – wenn überhaupt“, erklärt der 

SEC-Consult-Geschäftsführer. In eini-

gen Fällen würden im System eingenis-

tete Angreifer sich Hintertüren schaffen 

und sogar Unternehmensübernahmen 

überleben. „Gestohlene“ Informationen 

sind etwa besonders heikel für die zahl-

reichen Hidden Champions im Land. 

Fleck: „Diese führenden Unternehmen 

leben sehr stark von ihrem individuel-