Die letzte ‘Line of Defence’ bleibt immer der Mensch (Mathias Preuschl)
16.02.2020 | 20:56
Serie be family des Börse Express:
Die jüngste Attacke auf das Außenministerium zeigt, dass Österreich in punkto Cyberkriminalität längst keine „Insel der Seligen“ ist. Mathias Preuschl, Partner bei PHH Rechtsanwälte, verrät, warum die Mitarbeiter_innen eine entscheidende Rolle bei der Abwehr spielen und warum man im Fall einer Attacke immer die Sicherheitsbehörden informieren sollte.
Zur Person:
Mathias Preuschl ist Partner bei PHH Rechtsanwälte. Er ist in den Bereichen Straf- und Prozessrecht tätig. Seine Schwerpunkte liegen insbesondere im Wirtschaftsstrafrecht, im Zivilrecht und in der Compliance. Neben seiner anwaltlichen Tätigkeit bringt Mathias Preuschl seine Expertise auch in diverse politische Gremien bzw. Non-profit Organisationen auf nationaler und internationaler Ebene ein.
Er ist Mitglied des Ausschusses der Rechtsanwaltskammer Wien, Delegierter des Österreichischen Rechtsanwaltskammertages (ÖRAK), Vorsitzender des Arbeitskreises IT und legal tech des ÖRAK. Mitglied des Sicherheitsbeirates beim Bundesministerium für Justiz, Mitglied des IT Law Committee des Council of Bars and Law Societies of Europe (CCBE), stellvertretender Vorsitzender der Arbeitsgruppe "Surveillance of Lawyers" der CCBE, sowie Mitglied des Criminal Law und des Business Crime Committee der International Bar Association (IBA). Er publiziert regelmäßig zu zivil- und strafrechtlichen Themen und ist Mitherausgeber und -autor des "Praktikerkommentares Wirtschaftsstrafrecht".
Börse-Express: Der zuletzt bekanntgewordene Angriff auf das Außenministerium zeigt, wie aktuell das Thema Cybersecurity auch in Österreich ist. Wie ist es aus Ihrer Sicht um die Internetsicherheit in Österreich bestellt – speziell bei den Unternehmen?
Mathias Preuschl: Es gibt dazu leider keine öffentlichen Zahlen, deshalb kann ich Ihnen nur meine persönliche Einschätzung wiedergeben. Bei uns in Österreich gibt es diesbezüglich sicher Nachholbedarf, auch was die öffentliche Meinungsbildung im Bereich Cybersecurity betrifft. Die bisher bekanntgewordenen Angriffe waren ja vor allem krimineller Natur, z.B. Erpressungsversuche. Andere Länder, wie etwa Israel, das ja immer wieder in internationale Konflikte verwickelt ist, haben da schon ganz andere Erfahrungen gemacht. Und dementsprechend reagiert. Dort geht man das Thema proaktiv an, davon könnten wir hierzulande durchaus etwas lernen.
Börse-Express: Gibt es aus Ihrer Sicht Unterschiede bei den Sicherheitsanstrengungen der Unternehmen? Z.B. in punkto Größe der Unternehmen, oder auch der Art der Unternehmen? Gehen z.B. patriarchalisch geführte Unternehmen leichtfertiger mit dem Thema um?
Mathias Preuschl: Es ist sicher so, dass börsenotierte Unternehmen diesbezüglich besonders aktiv sind. Kein Wunder Cyberangriffe können ja auch den Aktienkurs unmittelbar beeinflussen. Es sollte sich aber kein Unternehmen in Sicherheit wiegen, da angesichts der fortschreitenden Digitalisierung, etwa in der Produktion, die Gefahren eines möglichen Cyberangriffs steigen. Denken sie nur an das Beispiel eines Mineralwasserabfüllers, wo die Täter mittels einer Cyberattacke für Verunreinigungen im Wasser sorgen können. Das Gleiche kann auch in einer Molkerei passieren oder in einem produzierenden Betrieb, wo eine Attacke dazu genutzt werden kann, um eine ganze Charge unbrauchbar zu machen. Was wir bisher gesehen haben, waren diesbezüglich eher Kleinigkeiten, wenngleich auch diese Attacken wirtschaftliche Schäden verursacht haben. Sollte es aber beispielsweise zu Attacken auf die Infrastruktur kommen, wären Folgeschäden möglich, die wir uns derzeit gar nicht vorstellen können.
Börse-Express: Welche Cyberangriffe gab es Ihres Wissens nach bisher in Österreich?
Mathias Preuschl: In der Vergangenheit wurden einerseits die Internetportale verschiedener Institutionen attackiert und zeitweise lahmgelegt. Sogenannte Ransomware-Angriffe sind ebenfalls zu verzeichnen gewesen. Dabei dringen die Täter in das IT-System ein und legen es mit Hilfe einer Schadsoftware so lange lahm, bis eine bestimmte Summe bezahlt wird. Die Unternehmen haben oft bezahlt, weil sie wussten, dass sich die Täter daran halten und nach der Bezahlung die Systeme freigeben. Bekannt geworden sind auch CEO-Frauds, bei denen Mitarbeiter unter Vorspiegelung falscher Tatsachen zur Überweisung eines Geldbetrages „genötigt“ wurden, aber auch Social Engineering-Angriffe, bei denen es um das Ausspionieren von persönlichen Daten geht, gab es schon.
Börse-Express: Wie kann man sich vor solchen Angriffen schützen?
Mathias Preuschl: Die größte Schwachstelle ist diesbezüglich sicher der Mensch. Ich schätze, dass zwischen 70 und 80% der erfolgreichen Angriffe auf menschliches Versagen zurückzuführen sind. Man macht es potenziellen Tätern oft viel zu einfach an Passwörter zu gelangen. Das berühmteste Beispiel ist da wohl das Post-it mit dem Passwort, das an die Unterseite der Tastatur geklebt wird. Wenn es keine guten Zutrittskontrollen gibt kann ein Täter leicht im Overall eines Putz- oder Reparaturteams diese Passörter „abgrasen“. Oft sind die Passörter auch viel zu einfach wie etwa der Geburtstag des eigenen Kindes oder dessen Vorname. Da braucht man keine Hackersoftware, um diese Passwörter zu knacken.
Was den CEO-Fraud betrifft, wo Mitarbeiter von einem vermeintlichen Vorgesetzten angewiesen werden, Geld auf ein bestimmtes Konto zu überweisen, geht es vor allem darum die Mitarbeiter zu schulen. Man muss sie dazu schulen, dass sie in einem solchen Fall auf alle Fälle zum Telefon greifen und mit ihrem Vorgesetzten Rücksprache halten bzw. ihn von dem Ansinnen informieren. Dazu muss in manchen Unternehmen natürlich die Unternehmenskultur angepasst werden, Mitarbeiter die entsprechend handeln, sollten gelobt werden. Das Management muss diesbezüglich ein klares Statement abgeben. Das dauert halt seine Zeit.
Börse-Express: Warum erfährt man in der Öffentlichkeit relativ wenig über Cyberattacken auf österreichische Unternehmen?
Mathias Preuschl: Ich denke, da spielt das Renommee des Unternehmens eine große Rolle, besonders bei Unternehmen die nicht an der Börse notieren. Börsenotierte haben ja diesbezüglich eine Meldepflicht. Wenn Angriffe nicht an die Sicherheitsbehörden gemeldet werden, tappen diese natürlich im Dunkeln und wissen gar nicht was wirklich passiert. Das heißt, sie bemerken unter Umständen gar nicht, dass da wieder eine Welle im Anrollen ist. Etwa im Bereich der Ransomware, wo schnell einmal mehrere hundert Unternehmen betroffen sein können. Da gibt es eine Tendenz zum „Abfischen“ von kleineren Unternehmen mit relativ kleinen Beträgen, weil diese zumeist bezahlt werden. Die für einen solchen Angriff notwendigen Programme werden im Darknet mittlerweile zu Dumpingpreisen angeboten. Das wird zu einem echten Massenproblem.
Börse-Express: Gibt es Unterschiede zwischen Unternehmen bzw. Branchen was den Umgang mit dem Thema Cybersecurity betrifft? Zeigen jüngere Manager/Unternehmer mehr Awareness in dem Bereich, weil sie sich der Gefahren stärker bewusst sind?
Mathias Preuschl: Da gibt es sicher Unterschiede. Das hängt sicher auch mit der Branche zusammen. Manche machen das aus eigenem Antrieb oder weil ihre Kunden höhere Sicherheitsvorkehrungen verlangen. Auch was das Alter betrifft kann man ganz generell schon sagen, dass manchmal ältere Firmenlenker meinen „das haben wir nie gebraucht“ und entsprechend handeln. Man muss das auch verstehen, weil IT-Sicherheit Geld kostet und Investitionen erfordert, die nicht unmittelbar etwas abwerfen. Da muss man schon gut argumentieren, dass sich diese Investitionen auszahlen. Es ist aber sicher ein Umdenkprozess im Gang, der vor allem auch von jüngeren Managern und Unternehmern getrieben wird. Diese haben einen anderen Umgang mit dem Thema, weil sie damit quasi aufgewachsen sind.
Börse-Express: Was wenn man tatsächlich mit Ransomware angegriffen und erpresst wird. Sollte man zahlen?
Mathias Preuschl: Besser ist es natürlich nicht zu zahlen, es ist allerdings nicht verboten eine Zahlung zu leisten. Man muss aber aufpassen, dass man nicht in den Verdacht der Terrorismusfinanzierung gerät, was leicht passieren kann, weil man den tatsächlichen Angreifer bzw. seine Hintermänner ja nicht kennt. Es kommt also sicher auf den Einzelfall an. Wichtig ist aber auf alle Fälle, dass man sofort die Sicherheitsbehörden informiert, egal ob man zahlt oder nicht. Durch die Information sind die Sicherheitsbehörden vorgewarnt und können entsprechende Schritte unternehmen, um den Schaden einer Angriffswelle zu minimieren.
Börse-Express: Besteht bei einer Meldung nicht die Gefahr, dass man selbst bestraft wird?
Mathias Preuschl: Bei einem Datenleak – also, wenn Daten gestohlen wurden – kann es natürlich sein, dass man eine Strafe bekommt. Aber nur dann, wenn ein schuldhaftes Verhalten festgestellt wird. Wenn nachweisbar ist, dass alles Zumutbare getan wurde, um den Diebstahl zu verhindern, dann wird es im Normalfall keine Strafe geben.
Eine Meldung ist auf alle Fälle sinnvoll, weil sich bei Datenleaks am Ende immer feststellen lässt woher die Daten kommen, die dann im Netz oder im Darknet herumgereicht werden. Liegt keine Meldung vor gibt es auf alle Fälle eine Strafe. Und die wird unter Umständen höher ausfallen.
Börse-Express: Wie kann man nachweisen, dass alles Zumutbare getan wurde, um den „Einbruch“ zu verhindern?
Mathias Preuschl: Es muss uns klar sein, dass die letzte "Line of Defence" immer der Mensch ist. Das heißt, ich muss den Mitarbeitern klare Regeln geben und sie diesbezüglich auch schulen, nicht nur einmal sondern regelmäßig. Diese Schulungen sollten auch nachgewiesen werden können. Im Unternehmen muss klar sein, dass die Einhaltung der entsprechenden Sicherheitsregeln das A und O sind. Wohlverhalten sollte mit Lob verbunden sein, Fehlverhalten mit Sanktionen.
Klar ist, dass im technischen Bereich natürlich das Vorhandensein entsprechender Antivirensoftware nachgewiesen wird und dass die Systeme aktuell gehalten werden. Wenn beispielsweise Microsoft oder SAP die Wartung entsprechender Systemlandschaften einstellen, kann der Weiterbetrieb alter Systeme aus dieser Sicht zu einem Problem werden. Auch die Firewall muss aktuell sein und das WLAN nur im abgesicherten Betrieb laufen. Passwörter sollten regelmäßig geändert, auffällige Attachements nur auf isolierten Rechnern, die nicht mit dem System verbunden sind, geöffnet werden. Wichtig ist auch, dass der Zutritt zu den Räumen in denen gearbeitet wird entsprechend gesichert ist.
Börse-Express: Letzte Frage, anderes Thema: Ihre Kanzlei vertritt ja auch die Österreichische Post im Fall der Millionenstrafe von Seiten der Datenschutzbehörde. Es geht in diesem Fall letztlich um sogenannte Big-Data-Analysen, mit der die Wahrscheinlichkeit von Parteipräferenzen berechnet wurden. Solche Analysen sind im Online-Marketing mittlerweile State-of-the-Art und werden vor allem auch von den Internetgiganten regelmäßig durchgeführt. Im Zusammenhang mit dieser Strafe haben sich selbst die Datenschützer von der Arge Daten kritisch zu Wort gemeldet und den Sinn der drakonischen Strafe angezweifelt bzw. auch die DSGVO als solche hinterfragt. Wird es aus Ihrer Sicht zu Nachbesserungen bei der DSGVO kommen?
Mathias Preuschl: Sie haben Recht, es ging nur um Wahrscheinlichkeiten. Zum Fall selbst möchte ich mich auf Grund des laufenden Verfahrens nicht detailliert äußern, die Strafhöhe halte ich jedenfalls für überzogen, vor allem vor dem Hintergrund, dass etwa Google in Frankreich zu einer Strafe von 25 Millionen Euro verdonnert wurde. Vergleicht man den Umsatz von Google mit jenem der Post tun sich da schon Welten auf.
Die DSGVO ist sicher eine politische Verordnung und ein Kompromiss zwischen verschiedenen Denkweisen. In der Praxis gibt es da natürlich Probleme bei der Umsetzung und es wird wohl zu Nachbesserungen kommen.
Generell gesehen ist die DSGVO aber nicht schlecht und sie spiegelt die konsumentenorientierte Sichtweise in Europa wider. Nur zum Verständnis: In den USA gibt es keinen derartigen Datenschutz, da dürfen selbst die Daten aus Krankenakten gehandelt werden. OK die Namen fehlen, aber sonst kann so ziemlich alles was interessant ist weitergereicht werden.
Letztlich hat die DSGVO auch bei den US-Riesen zu einem Umdenken geführt. Microsoft hat etwa mittlerweile eine eigene Rechtsabteilung in Europa, die sich mit den Auswirkungen beschäftigt und darauf schaut, dass alles rechtskonform abläuft.
