Landunter beim Medizintechniker in der Provinz: Über das Wochenende haben sich Hacker Zugang zum Mailsystem des Mittelständlers verschafft. In kürzester Zeit haben sie wichtige Firmenunterlagen kopiert und über ein gehacktes Firmenkonto Geldtransfers veranlasst. Montag früh steht der Leiter der IT-Abteilung vor den Trümmern seiner Sicherheitsstrategie.
So wie diesem IT-Leiter ist es in den vergangenen Jahren vielen CIO in Deutschland ergangen. Denn Cyberangriffe sind hierzulande eine reale Bedrohung, die Unternehmen aller Branchen und jeder Größe betrifft. In den letzten beiden Jahren ist mehr als die Hälfte der Unternehmen in Deutschland ausspioniert, gehackt oder anderweitig digital angegriffen worden, hat der Digitalverband Bitkom herausgefunden. Kundendaten und Patente, Forschungsergebnisse und Mitarbeiterdaten wurden dabei gestohlen. Der wirtschaftliche Schaden lässt sich nur schätzen: 55 Milliarden Euro sollen es laut Bitkom sein, die den Unternehmen in Deutschland jedes Jahr durch Cyberangriffe verloren gehen. Darin stecken die Verluste durch verlorene Umsätze oder Plagiate, aber auch die Kosten für die Aufklärung der Vorfälle und die Wiederherstellung der IT-Systeme.
Hohe Dunkelziffer
2017 haben nur 18 Prozent der Geschädigten Anzeige bei der Polizei oder Staatsanwaltschaft erstattet – 85.960 Delikte verzeichnet die polizeiliche Statistik für das Jahr 2017, vier Prozent mehr als im Vorjahr. Doch „die tatsächliche Belastung durch Straftaten im Bereich Cybercrime dürfte erheblich höher ausfallen“ als in der polizeilichen Statistik aufgezeichnet, heißt es im Cybercrime-Bundeslagebild 2017 des Bundeskriminalamtes. Zu groß ist der befürchtete Imageschaden, wenn Kunden- und Produktionsdaten gestohlen wurden oder noch schlimmer – der Diebstahl gar nicht bemerkt wird.
Dabei stammen die Angreifer gar nicht so oft aus weiter Ferne. Elf Prozent der Angriffe werden durch ausländische Nachrichtendienste durchgeführt, so Bitkom. Stärker vertreten sind kriminelle Organisationen. Immer beliebter werden Attacken mit so- genannter Ransomware. So heißen die Verschlüsselungstrojaner, die Lösegeld erpressen – Programme wie Petya oder Wannacry haben vor einigen Jahren weltweit Schäden in Höhe von bis zu vier Milliarden Euro verursacht.
Doch zwei von drei Angreifern stammen aus dem eigenen Hause. Ehemalige und aktuelle Mitarbeiter stehlen Daten, greifen Informationen ab, bemächtigen sich der Hardware ihrer ehemaligen Arbeitgeber – oder wollen einfach Schäden zufügen, zerstören und randalieren.
Für die deutsche Wirtschaft stellt das eine große Bedrohung dar. Aus dem Grund hat die Bundesregierung eine digitale Cyberstrategie beschlossen. Dafür zuständig sind neben dem Bundesinnenministerium auch das Bundesverteidigungsministerium – beide haben dafür die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) geschaffen. Hinzu kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI), das sich seit 1991 um das Thema digitale Sicherheit kümmert.
So ist es auch das BSI, das nicht nur den Unternehmen durch Analysen und Ratschläge hilft, ihre Sicherheit zu verbessern, sondern auch etwas Überblick darüber hat, wie die Firmen heute agieren.
Denn vielen Unternehmen und Behörden ist die unsichere Lage durchaus bewusst, in der sie sich befinden. Das geht aus der Cybersicherheitsumfrage 2017 hervor, die das BSI durchgeführt hat. So schätzten rund 92 Prozent der Befragten die Gefahren als kritisch für die Betriebsfähigkeit ihres Unternehmens ein. Nur knapp 42 Prozent gingen davon aus, dass der Betrieb im Fall eines Cyber-Angriffs durch Ersatzmaßnahmen aufrechterhalten werden könnte.
Technische und organisatorische Maßnahmen
Viele Betriebe haben bereits Cyber-Sicherheitsmaßnahmen eingeleitet: Technische Maßnahmen wie die Verringerung von Netzübergängen, Virenscans und eine zentrale Detektion, aber auch organisatorische wie Schulungen oder die Auswertung der Log-Files.
Andererseits zeigt sich, dass bei weiterem Nachfragen auch vermeintlich sicherere Unternehmen nicht so gut vorbereitet sind, wie sie sein sollten.
In den Unternehmen, die nach eigener Aussage „so gut wie möglich“ auf IT-Gefahren vorbereitet sind, beschäftigt sich in mehr als jedem fünften Fall die Geschäftsführung nur bei bestimmten Anlässen oder kaum, beziehungsweise gar nicht mit Cyber-Sicherheit, so die Unternehmensberater von Deloitte im Cyber-Security-Bericht 2017. Und in jedem vierten dieser Unternehmen gibt es keinen Notfallplan, falls das Unternehmen erfolgreich angegriffen wird.
Doch ein Bereich der Cyber-Sicherheit betrifft nicht nur die Unternehmen, sondern auch Behörden und private Nutzer von Online-Diensten: Sichere Passwörter. Denn Passwörter spielen sicher noch für lange Zeit eine wichtige Rolle. Sie gewähren den Zugriff auf Services und Datenbanken. Fachleute schätzen, dass die Zahl der Passwörter, die Menschen und Maschinen weltweit benutzen, auf 300 Milliarden im Jahr 2020 anwächst. Das ist für die, die sich um sichere Passwörter bemühen müssen, eine ziemliche Herausforderung. Denn die meisten Hacker greifen über Passwörter an, weil schwache Passwörter leicht zu hacken sind. Piratenrechner gleichen in kürzester Zeit Millionen von möglichen Passwörtern ab. Über Wörterbuch-, Brute-Force- oder Rainbow- Tablet-Angriffe finden die Hacker in kurzer Zeit Zugang zu den Unternehmenssystemen.
Solche Angriffe funktionieren deshalb, weil viele Benutzer vorhersehbar sind, wenn sie neue Passwörter einstellen. Sicher gibt es oft vorgegebene Wechselfristen, Zeichenkategorien und Passwortlängen. Doch die Deutschen sind nicht sonderlich phantasievoll: Für Passwörter nutzen sie am liebsten Geburtsdaten, Namen von Kindern oder Autokennzeichen. Oder sie starren einfach auf die Tastatur vor ihnen und tippen 123456. Das ist laut dem Hasso-Plattner-Institut das in Deutschland am häufigsten genutzte Passwort.