Erst rückblickend betrachtet war es irgendwie lustig. Nachdem klar war, dass dieses bombastische Läuten nichts mit dem Ukraine-Krieg zu tun hatte, die Glocken nicht etwa vor einem Angriff warnten und auch sonst nichts Schlimmes passiert war. Am 16. März 2022 fingen um kurz nach zwei Uhr – mitten in schlaftrunkener Nacht – die Glocken des Wiener Stephansdoms zu läuten an. Mit seinen 22 Glocken verfügt der Stephansdom über das größte Geläute-Ensemble der Welt – ein wahrlich stolzes Orchester also in wahrlich stolzer Höhe. Das immerhin elf Glocken umfassende Festgeläute am Südturm war das erste, das den Wienerinnen und Wienern in der Innenstadt meuchlings den Schlaf raubte. Und als die barocken Glocken im sogenannten Heidenturm anfingen zu schwingen, war die Nachtruhe wohl auch für jene vorbei, die sonst mit tiefem Schlaf gesegnet sind.

„Manche glaubten, der Papst wäre gestorben“, berichtete Dompfarrer Toni Faber tags drauf der Süddeutschen Zeitung – nicht ohne darauf hinzuweisen, dass er in diesem Todesfall am nächsten Morgen die Pummerin läuten lassen würde, die schwerste und größte Glocke Österreichs. Dass dieses prächtige Tonwerk an besagtem Mittwoch nicht zum Einsatz kam, liegt daran, dass es nicht ans Internet angeschlossen ist. Alle anderen Glocken des Stephansdomes sind das eben schon. Ein Hacker hatte den Läutecomputer geknackt, der ihren Einsatz steuert. Ein Cyber-Angriff war Schuld an diesem nächtlichen Weckruf der Glocken.

„Für viele Unternehmen sollte das tatsächlich ein Weckruf sein, weil der Stephansdom wahrscheinlich viel besser abgesichert ist, als ihre EDV“, sagt Peter Stelzhammer. Stelzhammer ist Co-Founder des Innsbrucker IT-Unternehmens AV-Comparatives und Sprecher der IT-Security Experts Group Tirol. Er ist so wachsamer wie alarmierter Beobachter der zuletzt weiter in die Höhe geschnellten Zahl der Cyber-Angriffe auf Tiroler Unternehmen und sagt: „Da sollten einige aufwachen und hoffen, dass ihnen die Glocken nicht um die Ohren fliegen.“

Böses Erwachen

Viele, zu viele Unternehmen nehmen die Gefahr, Opfer eines Cyber-Angriffes zu werden und dadurch nicht nur viel Geld zu verlieren, sondern den Ruin zu riskieren, nicht ernst beziehungsweise ernst genug. „Jeder hat im Hinterkopf, dass es einen Cyber-Angriff geben könnte, sagt aber, es wird mich schon nicht treffen sondern jemanden anderen – so nach dem Florianiprinzip. Das stimmt aber nicht“, legt Stelzhammer verbal den Finger auf offene Wunden in den IT-Systemen, die in den wenigsten Unternehmen keine tragende Rolle spielen. Fällt die EDV aus, können die meisten schlicht nicht mehr arbeiten. Die einen sind mehr, die anderen weniger auf die digitalisierten Daten und deren Verarbeitung angewiesen, doch ist der Zugang plötzlich gesperrt, sind Schweißattacken angebracht. „Ein Tischler mit drei Mitarbeitern wird eine Ransomware-Attacke vielleicht noch überstehen. Der nimmt den Computer, wirft ihn in die Tonne und kauft sich einen neuen“, sagt Stelzhammer.

Selbst bei der möglicherweise beneidenswerten Ausnahme eines Betriebes, dem es anhand von Papierkopien gelingt, Aufträge, Rechnungen oder Bestellungen offline nachvollziehen zu können, führt ein Cyber-Angriff zu Zeit-, Geld- und Energieverlust. „Aber stellen Sie sich einen Architekten vor, der alles digitalisiert und keinen Zugriff auf seine Daten mehr hat. Der hat ein größeres Problem. Oder ein Steuerberater, der seine und vor allem die Daten seiner Klienten verliert. Der wird wahrscheinlich nie mehr Klienten haben“, malt der Experte nicht den Teufel an die Wand, sondern ein allzu realistisches Bild.

60 Prozent betroffen

Mitte Februar 2022 wurden beispielsweise die Daten der OECD zur in irrer Geschwindigkeit steigenden Zahl von Cyberattacken veröffentlicht. Waren im Jahr 2019 noch 11,7 Prozent der Unternehmen in Österreich von Cybercrime betroffen, so waren es im Jahr 2021 bereits 60 Prozent. Dass besonders Klein- und Mittelunternehmen (KMU) gefährdet seien, weil ihnen das Know-how fehle und aus Kos-tengründen oft auf Spezialisten verzichtet werde, hatte Gerhard Kortschak, Sprecher der IT-Experts Group der WKÖ und damit enger Mitstreiter von Peter Stelzhammer, im Rahmen einer Online-Veranstaltung mit dem OECD Berlin Centre festgehalten.

Seine Forderung: „Es braucht mehr hemdsärmelige Maßnahmen für KMU, wie Schulungen, Trainings und niederschwellige Maßnahmen zur Verbesserung der Informationssicherheit.“ Um das Bewusstsein an diesbezüglich nachlässigen Unternehmensspitzen wachzurütteln, eignen sich weitere Zahlen, Vergleiche oder schlicht Fakten. Wie etwa die Tatsache, dass der Schaden, der von Cyberkriminellen verursacht wird, die Gewinne des weltweiten Drogenhandels inzwischen bei weitem überschreitet. „Es gibt eine Studie von IBM, laut der der durchschnittliche Datenverlust in Unternehmen – da müssen wir jetzt natürlich global denken – im Schnitt 4,8 Millionen Euro kostet“, so Stelzhammer, der zu dieser dunklen Welt festhält: „Dadurch, dass Daten überall digital zur Verfügung stehen, ist es ein Leichtes, über Hackerattacken zu klauen. Es müssen keine Spione mehr geschickt werden, um Unterlagen zu fotografieren. James Bond ist nicht mehr notwendig, der Spion kann zu Hause am Laptop sitzen.“

Online organisiertes Verbrechen

Wenn es nicht um politisch motivierte Cyber-Attacken geht oder darum, ein Konkurrenzunternehmen auszuspionieren, dann geht es bei den Attacken schlicht um Geld. Viel Geld. Die Welt der Hacker ist nicht nur männlich, die Damenwelt wird auch immer engagierter und ganz allgemein ist Cyber-Kriminalismus online organisiertes Verbrechen, wie die Mafia, die Cosa Nostra oder jede andere kriminelle Organisation. „Ein Auftraggeber gibt den Auftrag, Geld zu organisieren oder Daten zu stehlen und ein technischer Leiter organisiert ein Hackerteam“, sagt Stelzhammer und erklärt weiter: „Man kann Hacker kaufen, wie jede andere Dienstleistung oder jedes andere Service. Den Handwerker finde ich im Telefonbuch. Den Hacker im Darknet, wo es ebenso Branchenbücher gibt.“ Mit dem Ziel vor Augen, möglichst viel Geld zu erpressen, gehen Hacker dabei zunehmend gezielt vor. Zwar gibt es die so genannten Phishing-Attacken, die mit verseuchten Websites oder Massenmails auf ebendiese Masse zielen und brandgefährlich bleiben, doch wird eine Zunahme an sogenannten gezielten Attacken (Targeted Attacks) beobachtet.

Dabei gehen die Hacker sehr systematisch vor, durchstöbern Webseiten, Bilanzzahlen und Security-Maßnahmen, schauen, wie die Mitarbeiter heißen und wie sie an Passwörter herankommen, um letztlich mit ihrer Erpresser-Software beziehungsweise so genannten Verschlüsselungstrojanern die Daten für den Nutzer unauflöslich zu codieren. Wird das Erpressungsgeld dann nicht bezahlt, bleiben die Daten unentschlüsselbar.

Hohe Dunkelziffer

Österreichweit wurden im Jahr 2021 mit rund 36.000 um ein Viertel mehr cyberkriminelle Vorfälle angezeigt als im Jahr zuvor. „Es wird leider viel totgeschwiegen, weil auch der Imageschaden eines öffentlich gewordenen Cyber-Angriffs das Unternehmen ruinieren kann. Die Dunkelziffer ist sehr hoch“, weiß Peter Stelzhammer, der trotzdem genügend abschreckende Beispiele von Ransomware-Angriffen aus der Tiroler Unternehmerwelt kennt.

Ransomware leitet sich vom englischen Wort „ransom“ ab und das bedeutet auf Deutsch „Lösegeld“. Genau darum geht es. „In einem Hotel sind die Gäste nicht mehr ins Zimmer gekommen, weil die Türschlösser nicht mehr funktionierten. Es gibt Unternehmen, die ihren Kunden keine Rechnungen mehr schreiben konnten, weil ihre EDV betroffen und down war. Es gibt Firmen, die ihre kompletten Daten verloren haben, weil das Backup nicht funktioniert hat“, plaudert der Experte aus einer Schule mit den schlimmsten Lehren.

Lehren, die nicht nur umgangen werden können, sondern sogar verhindert werden müssen. Großen Betrieben, die der Wirtschaftsprüfung unterliegen, schreibt der Wirtschaftsprüfer vor, dass man sich um die IT-Sicherheit zu sorgen hat. Jedem Kleinbetrieb schreibt das die Datenschutzgrundverordnung auf Umwegen vor. „Wenn heute jemand eine Mail an einen Geschäftspartner schickt, die Malware beinhaltet und der Partner ist dann davon betroffen, ist man schadenersatzpflichtig, wenn in der eigenen EDV keine Sicherheitsvorkehrungen getroffen wurden“, macht Stelzhammer auf eine Verpflichtung aufmerksam, die Unternehmen jeder Größe trifft.

Es gibt also wahrlich genügend triftige Gründe, sich um die Sicherheit der Unternehmens-IT zu kümmern. „IT-Sicherheit ist Chefsache“, nennt Stelzhammer das erste Gebot. Im Schadensfall ist es auch das letzte.