Cyber-Kriminalität: Auch Gemeinden sind gefährdet
Vorbeugen ist besser als Heilen. Dieses Sprichwort passt häufig, aber nirgends trifft es so sehr zu, wie im Umgang mit der Datensicherheit. Wen es nämlich als Hacking-Opfer erwischt hat, für den ist eine „Heilung“ praktisch ausgeschlossen.
Die drei großen "P" der Datensicherheit lauten daher: Prävention, Prävention, Prävention. Das ist auch schnell begründet: Zwar benutzen die allermeisten von uns täglich viele Male den Computer, das Smartphone oder das Tablet und speichern darauf selbst ihre vertraulichsten Daten ab. Doch praktisch niemand durchschaut noch die Funktionsweisen dieser Geräte.
Wer kann schon eine Programmiersprache? Die allermeisten werden sich eingestehen müssen, eine Cyberattacke nichteinmal im Ansatz zurückschlagen zu können. Gut möglich, dass sie nicht einmal bemerkt wird bzw. erst dann, wenn sie vorbei ist. Doch ist der kriminelle Akt einmal erfolgreich begangen, wird es selbst für die Polizei schwer.
Aufklärungsquote liegt im Promillebereich
Bei der Konferenz „Sicherheit im digitalen Zeitalter“ des Kuratoriums Sicheres Österreich bestätigten Polizeibeamte der Betrugsgruppe der Kripo Graz, dass die Aufklärungsquote bei Internet-Betrugsdelikten „in Prozenten gar nicht messbar sei“. Im Klartext: Sie liegt im Promillebereich.
Die Strategie muss folglich lauten, Angriffe zu verunmöglichen. Der Schlüssel dazu heißt Aufklärung und Mitarbeiterschulung. In der Privatwirtschaft ist Cyber-Security längst Chefsache und nicht nur ein Anliegen der IT-Abteilung. Das gleiche sollte in der Gemeinde gelten.
Der größte Teil von Angriffen ist durch Achtsamkeit der Mitarbeiter vermeidbar. Rund ein Viertel aller Vorfälle ist eine Folge von eingeschleuster Malware, ein weiteres Viertel ist auf Phishing zurückzuführen. Auf den Plätzen folgen Social Engeneering (z. B: falscher Techniker ruft an, um Zugansdaten zu erfragen), veraltete Software mit Sicherheitslücken oder schlechte Passwörter.
Das sind alles Umstände, die vermeidbar sind. Sensibilisierung und eine gesunde Skepsis der Mitarbeiter sind effektiver, als sich nur auf ein Sicherheitsprogramm zu verlassen.
Eine SWOT-Analyse über die kritische Infrastruktur in Österreich, im Auftrag von KMPG, einem weltweiten Netzwerk von Wirtschaftsprüfungs- und Beratungsunternehmen, zeigt nachdenklich stimmende Verhältnisse in der heimischen Privatwirtschaft auf.
Bereits 20 % der Unternehmen haben ernstliche Schäden erlitten
So geben 92 Prozent der befragten Unternehmen an, dass Cyber-Security kein Hype, sondern Alltag ist. Praktisch die Hälfte war bereits Opfer von Cyberangriffen, wobei 30 Prozent davon angaben, ernsthaften Schaden für das Unternehmen erlitten zu haben. Gleichzeitig trauen sich nur 60 Propzent zu, den Schaden messen zu können. Die Dunkelziffer liegt daher vermutlich höher. Weniger als ein Viertel aller Befragten kann mit Sicherheit behaupten, Cyberattacken überhaupt zu erkennen. Bei den Befragten handelte es sich um 94 Unternehmen aus der österreichischen Privatwirtschaft.
Gemeinden verfügen über sensible Daten
Es darf angenommen werden, dass sich die Situation in öffentlichen Ämtern auf kommunaler Ebene nicht viel besser verhält. Dabei werden dort höchst sensible Daten verwaltet, jene der Bürger nämlich. Viele kleinere Gemeinden haben gar keinen eigenen Datenschutzbeauftragten und werden nicht einmal mit Einführung der neuen EU-Datenschutzverordnung einen eigenen benötigen.
Das Speichern und Verarbeiten von personenbezogenen Daten der Bürger und auch die zunehmende Vernetzung mit anderen Behörden und Datenaustausch verstärkt gleichzeitig die Cyber-Risiken moderner Gemeinden. Daher gibt es bereits die Möglichkeit, zur Absicherung der finanziellen Folgen durch Cyber-Kriminalität speziell darauf zugeschnittene Versicherungen abzuschließen. „Cyber-Protect“ ist der Name eines davon. Denn wer bei der Prävention versagt, muss mit saftigen Schadenersatzforderungen rechnen.
