Wie halten Sie es mit der – unbequemen – Wahrheit?
Würden Sie öffentlich dazu stehen, wenn Ihr Unternehmen von einem Cyberangriff betroffen wäre?
Oder lieber so lange stillhalten, bis eine Veröffentlichung unausweichlich ist, weil Sie zum Beispiel Aufträge nicht mehr durchführen können?
Anfang des Jahres ging es dem Kranhersteller Palfinger so: Ein Cyberangriff legte den Großteil der weltweiten Standorte für fast zwei Wochen lahm. Die Palfinger-Gruppe sei Ziel eines laufenden Cyberangriffs, gab der Konzernsprecher Hannes Roither am 25. Jänner bekannt. Und Ende März gab man schließlich etwas noch Unangenehmeres – besonders für ein börsennotiertes Unternehmen – zu: Man hatte Lösegeld an Erpresser bezahlt, die mit der Cyberattacke genau darauf abgezielt hatten. Wie viel das war, darüber schwieg Palfinger aber wieder. Angeblich wurden immerhin keine Daten gestohlen.
Wenn sich die Opfer schämen …
Ich unterstelle Palfinger nicht, dass man mit den unerfreulichen News nur deshalb an die Öffentlichkeit ging, weil es sich nicht geheim halten lässt, wenn tagelang der Betrieb stillsteht. Doch vermutlich gehört es zur üblichen Vorgangsweise, Cyberangriffe zu verschweigen. Man schämt sich irgendwie doch dafür, selbst wenn man ein unschuldiges Opfer ist. Laut der im April 2021 veröffentlichten KPMG-Studie „Cyber Security in Österreich“ gehen rund zehn Prozent der von einer Cyberattacke betroffenen heimischen Betriebe proaktiv an die Öffentlichkeit. Handelt es sich um große Betriebe, steigt dieser Wert auf 35 Prozent.
Werden Angriffe öffentlich, gibt es die Möglichkeit des Abstreitens oder – wenn das nicht geht – des Kleinredens. Und schließlich, wenn der Worst Case eingetreten und klar ist, dass etwa Kundendaten in die falschen Hände geraten sind, lässt sich noch die Methode des Aussitzens praktizieren.
Letzteres scheint ein beliebtes Reaktionsmuster bei Facebook zu sein.
Anfang April war bekannt geworden, dass die Daten von 533 Millionen Facebook-Usern in einem Hacker- Forum veröffentlicht wurden – darunter Telefonnummern, Facebook-IDs, Standorte und Geburtsdaten. Wie der Social-Media-Gigant darauf reagiert hat, zeigt eine interne E-Mail, die Facebook unabsichtlich der belgischen IT-Website DataNews weiterleitete. Darin hieß es übersetzt: „Da die Aufsichtsbehörden sich auf das Thema eingeschossen haben, solltet ihr davon ausgehen, dass der beständige Trommelschlag der Kritik in der Presse anhalten wird. Es ist aber wichtig zu wissen, dass sowohl die Berichterstattung als auch die Diskussion in sozialen Netzwerken weiter stetig nachlassen“.
Der Mantel des Schweigens
Öffentlich äußerte man sich – Überraschung! – weniger achselzuckend, versuchte die Sache aber kleinzureden. In einem Blogbeitrag schrieb Mike Clark, Produktmanagement-Direktor bei Facebook, am 6. April, es habe sich um Scraping gehandelt, also eine Methode, bei der öffentlich zugängliche Daten – berechtigt oder unberechtigt – automatisiert gesammelt werden.
Am 15. April erklärte Clark in einem weiteren Eintrag, was Facebook gegen Scraping unternehmen wolle. Das wirkt professionell, so, als wäre man sich des Problems bewusst und würde alles tun, um in Zukunft User-Daten mit Zähnen und Klauen zu verteidigen. In dem nicht für die Öffentlichkeit bestimmten Mail hieß es hingegen lapidar: „Langfristig erwarten wir weitere solcher Scraping-Fälle und denken, dass es wichtig ist, sie zum einen als Problem der ganzen Branche darzustellen und zum anderen als regelmäßig auftretende Aktivität zu normalisieren.“
Und: „Angenommen, die mediale Berichterstattung lässt weiter nach, planen wir keine weiteren Statements zu dem Problem.“ Na klar, in der schönen neuen Medienwelt ist Aufmerksamkeit der Gradmesser schlechthin – und manchmal ist man ganz froh, wenn sich der Scheinwerfer schnell wieder auf die heißen Eisen der anderen richtet …
Autorin: Alexandra Rotter
Ersterscheinung: https://www.die-wirtschaft.at
