"Man muss sich im Klaren darüber sein, dass jedes System, das im Internet hängt, auch sehr rasch attackiert wird." - Jimmy Heschl, CISO Red Bull GmbH, über die Gefahren der Cyberkriminalität.
Cyberattacken nehmen zu. Wie gehen Sie bzw. Ihr Unternehmen mit dieser Herausforderung um?
Gefahren kennen und richtig einschätzen, aber nicht überbewerten! Man muss sich im Klaren darüber sein, dass jedes System, das im Internet hängt, auch sehr rasch attackiert wird. Das geht oft binnen einer Stunde. Die Systeme sind permanent unter Beschuss. Aber: Paranoia ist eine Krankheit und von der will ich mich nicht bestimmen lassen. Die Wirtschaft ist bestimmt durch Wachstum, vorzugsweise intelligentes Wachstum ohne Raubbau an Ressourcen, und einen ständigen Austausch – also faires Geben und Nehmen.
Angst ist hier nicht förderlich. Professionelles, aber unaufgeregtes Handeln ist nach meiner Einschätzung gefragt. So betrachte ich auch das Thema Cybersecurity von zwei Blickwinkeln aus: Wir haben es mit Angreifern zu tun, die oft mafiöse und gut organisierte Strukturen haben – gut finanziert, hoch arbeitsteilig, sehr kreativ und digitalisiert. Auf der anderen Seite ist das Thema auch für die Anbieter von Sicherheitslösungen sehr attraktiv. Das sind Tech-Experten, Start-ups, Berater und andere Marktteilnehmer. Als User sitzen wir in der Mitte und müssen danach trachten, uns so zu positionieren, dass unser Business sicher und rund läuft. Da sind alle Unternehmen gleich gefordert.
Welche Cyberbedrohungen sind Ihrer Erfahrung nach derzeit die häufigsten, speziell in Österreich, aber auch im internationalen Umfeld?
Die schiere Angst vor Cyberbedrohungen ist wahrscheinlich das größte Risiko. Sie schädigt nicht nur Unternehmen, sondern auch den Wirtschaftsstandort. Ein Produkt, das nicht auf den Markt kommt, kann für die Wirtschaft einen Schaden verursachen – aber es ist oft schwierig, die richtige Balance zu finden: Ein Social-Media-Dienst, in dessen App immer wieder Schwachstellen publik werden, geht bald einmal für 20-30 Mrd. USD über den Ladentisch. Künftige Werbeeinnahmen und Umsätze sind da gar nicht mit eingerechnet.
In Europa wäre ein solches Produkt gar nicht auf den Markt gekommen, weil wir uns – denke ich – oft zu sehr den Kopf zerbrechen und uns fürchten; das ist innovations- und wirtschaftsfeindlich. Speziell für den Bereich Cybersecurity sehe ich Passwortklau und Phishing als Vorbereitung für weitere Aktionen als größte Bedrohungen. Da muss man wachsam sein. Gezielte Ransomware-Attacken, wie wir sie zuletzt immer wieder erlebt haben, können da gleich einmal zu Millionen-Lösegeldforderungen führen.
Mit welcher weiteren Entwicklung im Bereich Cyberattacken bzw. Cyberkriminalität rechnen Sie? Und wie schützt sich Ihr Unternehmen davor?
Ich erwarte ein weiteres Wachstum der Bedrohungen und ich weiß nicht, was noch passieren muss, bis sich die Öffentlichkeit und die Politik hier ins Zeug legen und den Sumpf austrocknen. Ich meine damit keine Lokal- und Regionalpolitik – da besteht ein globaler Handlungsbedarf, der abseits von wirtschaftlichen Interessen geführt werden müsste. Die Bereitschaft dazu sehe ich derzeit aber nicht. Vielmehr macht man den Menschen und den Unternehmen mit einer regelrechten Regulierungswut und Compliance-Vorgaben unnötig das Leben schwer. Angreifer halten sich auch an keine Regeln. Was wir derzeit in Europa machen, grenzt für mich ans Esoterische: Standards entwickeln und versuchen, Awareness zu schaffen, ist nicht falsch, aber schlicht zu wenig.
Derzeit behandeln wir bei Cyberattacken nur die Symptome, nicht die Krankheit selbst. Man könnte beispielsweise überlegen, alte Geräte schlicht vom Internet auszuschließen. Ein ungeschützter PC, also einer mit veralteter Software, muss raus aus dem Netz. Vielleicht muss sich unsere Gesellschaft erst daran gewöhnen, dass ein gewisser Grundschutz für uns alle nötig ist, nicht nur für den, der einen alten Rechner oder ein altes Handy nutzt.
