Trau, schau, wem...

Gefährdungen durch Cyberkriminelle werden weithin unterschätzt. Das liegt auch an den Unternehmen, die über erfolgte Angriffe lieber verschämt schweigen als sich auszutauschen. Höchste Zeit für ein Umdenken.

Illustration: Vanessa Melzner
Illustration: Vanessa Melzner
Thomas Feldhaus Redaktion

Verschlossene Türen, heruntergelassene Tore, Zäune und Kameras. Unternehmen nutzen die gesamte Bandbreite der Möglichkeiten, um Unbefugten den Zutritt zu ihren Geschäftsräumen zu verwehren. Dabei lauern die größten Gefahren nicht vor der Tür. Einbrüche in Unternehmensgebäude und Lagerhallen nehmen seit Jahren kontinuierlich ab. Vielmehr verschaffen sich Unbefugte, oftmals gänzlich unbehelligt, über Kupfer oder Glasfaser den begehrten Einlass und können dabei erheblich größeren Schaden anrichten. Nahezu jedes Unternehmen in Deutschland ist davon mehr oder weniger stark betroffen, wie eine aktuelle, repräsentative Umfrage des Branchenverbands Bitkom zeigt. Für das Jahr 2022 liest sich das so: 84 Prozent der 1.000 befragten Unternehmen wurden Opfer von Datendiebstahl, Diebstahl von IT-Technologie, Spionage oder Sabotage, bei weiteren 9 Prozent wird eine solcher Angriff vermutet. Im gesamten Jahr 2021 waren 100 Prozent der Unternehmen von mindestens einem der Delikte betroffen, 88 Prozent sicher, bei 12 Prozent vermutet.

Tatsächlich verlagern sich die Taten immer mehr in den digitalen Raum. „Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer hybriden Kriegsführung auch im digitalen Raum ist die Bedrohung durch Cyberattacken für die Wirtschaft in den Fokus von Unternehmen und Politik gerückt“, kommentiert Bitkom-Präsident Achim Berg die Zahlen. Unabhängig davon sei die Bedrohungslage sowieso sehr hoch. So hat sich die wahrgenommene Bedrohung für Unternehmen innerhalb nur eines Jahres dramatisch erhöht. Fast jedes zweite Unternehmen glaubt, dass Cyberattacken ihre geschäftliche Existenz bedrohen können, ein Jahr zuvor lag dieser Wert noch bei 9 Prozent. Das hat einen einfachen Grund: Die Täter haben es zunehmend auf Kommunikations- und Kundendaten abgesehen, und dabei ist ihnen jedes Unternehmen recht. „Wir gehen davon aus, dass zirka drei Viertel der mittelständischen Unternehmen bereits Opfer eines Cyberangriffs waren und es mitunter vielleicht nicht gemerkt haben, beziehungsweise keinen echten Schaden davongetragen haben“, sagt Volker Wittberg, Leiter des Instituts für Cyber Security und digitale Innovationen. „Andererseits sind drei Prozent der Unternehmen durch Cyberangriffe bereits in ihrer Existenz gefährdet worden und haben ernstzunehmende Schwierigkeiten bekommen.“

Lösegeldzahlungen schützen nicht vor Schaden
 

Es geht um viel Geld, allein für das vergangene Jahr schätzt Bitkom den Gesamtschaden bei deutschen Unternehmen auf 223 Milliarden Euro. Ein Rekordwert, der sich innerhalb weniger Jahre verdoppelt hat. Größer als der direkte finanzielle Schaden ist allerdings die Furcht vor Reputations- und Vertrauensverlust. Laut Bundeslagebericht Cyberkriminalität, der jedes Jahr vom Bundeskriminalamt (BKA) veröffentlicht wird, war das Jahr 2021 auch von einem Höchstwert bei den Delikten gekennzeichnet. 146.363 Delikte haben die Ermittler aufgeführt, von denen etwa 29 Prozent aufgeklärt werden konnten. Allerdings geht das BKA von einem riesigen Dunkelfeld aus, denn der größte Teil der Angriffe wird den Strafverfolgungsbehörden gar nicht gemeldet. Besonders bei den gefürchteten Ransomware-Angriffen, mit denen Unternehmen erpresst werden sollen, ist die Gefahr eines Vertrauensverlusts sehr hoch. Entsprechend zurückhaltend äußern sich Unternehmen zu Angriffen. Sie wählen nicht selten lieber den scheinbar einfacheren Weg und kommen Lösegeldforderungen nach, bevor sie einen Datenverlust in Kauf nehmen. Keine gute Idee, wie eine Untersuchung des US-Amerikanischen Unternehmes Cybereason zeigt. Denn die Täter geben sich oft nicht mit dem einmaligen Erpressungsversuch zufrieden. Mehr als 80 Prozent der betroffenen Unternehmen wurden trotz Zahlung der Lösegeldforderung ein zweites Mal erpresst, bei einem kleineren Teil gab es sogar einen dritten Erpressungsversuch.

Zu den bekannt gewordenen Attacken gehörte im vergangenen Jahr der Cyber-angriff auf den Textilkonzern Gerry Weber aus dem westfälischen Halle. Ende Juni bestätigte das Unternehmen einen entsprechenden Versuch, von außen Kontrolle über die IT-Systeme zu bekommen. Die Installation einer Ransom-Software konnte verhindert werden und nach Angaben des Unternehmens seien auch keine Daten entwendet worden. Zur Sicherheit mussten allerdings die betroffenen IT-Systeme heruntergefahren werden mit zeitweisen Auswirkungen auf die innerbetrieblichen Abläufe. Bei Gerry Weber ging man allerdings nicht einfach zur Tagesordnung über, sondern gründete eine Cyber Defence Cooperation (CDC), in der sich Bekleidungshersteller aus Deutschland austauschen können. Zahlreiche Unternehmen, darunter Branchengrößen wie S.Oliver, Peek & Cloppenburg, Deichmann und Hugo Boss, machen mit. „Nach dieser Attacke aus dem Netz haben wir festgestellt, dass der Wunsch nach Erfahrungsaustausch unter den IT-Abteilungen der Unternehmen immens groß ist“, begründet Stefan Beyler, CIO bei Gerry Weber, die Initiative. Die Unternehmen sollen untereinander ihre Erfahrungen weitergeben und voneinander lernen können. Dabei geht es vor allem um Prävention, wie Beyler betont.

Unternehmen unterschätzen die Bedrohungslage
 

Auch wenn der umfangreiche Schutz der IT- Systeme der entscheidende Schlüssel ist, um gegen Cyberangriffe gewappnet zu sein, die Wirklichkeit in der deutschen Unternehmenslandschaft sieht meist anders aus. Vor allem im Mittelstand ist der Nachholbedarf bei der IT-Sicherheit groß, unter anderem weil man dort die Gefahr häufig unterschätzt. Tatsächlich geht die Schere zwischen konkreter und wahrgenommener Gefahr weit auseinander. Jörg Asmussen, Hauptgeschäftsführer des Versicherungsverbands GDV, schätzt, dass rund 80 Prozent der mittelständischen Unternehmen nicht einmal die Basisanforderungen an eine funktionierende IT-Sicherheit erfüllen. Der Verband sieht vor allem eine ungenügende Datensicherung und fehlende Notfallpläne als Schwachpunkte betrieblicher IT-Sicherheit. Zudem würden häufig fehlende Zuständigkeiten und Verantwortlichkeiten eine schnelle und angemessene Reaktion auf einen Angriff erschweren. Laut einer Studie des Analyseunternehmens IDC sind Unternehmen oftmals selbstsicherer, als es eigentlich angemessen wäre. Zwei Drittel der im Rahmen der Studie befragten Unternehmen glauben, ohne externen Beistand Bedrohungen ihrer IT-Systeme bewältigen zu können. Das verwundert, weil ebenso viele Unternehmen bereits Opfer einer Attacke waren. „Gemessen an der Häufigkeit von erfolgreichen Ransomware-Vorfällen ist eine solche Selbstsicherheit nicht gerechtfertigt“, sagt Marco Becker, Senior Consultant bei IDC. Denn auch wenn Unternehmen einen Angriff abwehren konnten oder sogar Lösegeld bezahlt haben, mussten sie oftmals Datenverluste und Störungen im IT-System hinnehmen.

Illustration: Vanessa Melzner
Illustration: Vanessa Melzner

Erfolgreiche Cyberangriffe ziehen zunehmend stärkere wirtschaftliche Folgen nach sich. So dauert es immer länger, bis die IT-Systeme nach einem Angriff wieder vollständig einsatzbereit sind. Zwar können die Unternehmen in rund einem Drittel aller Fälle nach einem Tag wieder normal arbeiten, bei 39 Prozent dauert die Wiederherstellung der vollen Arbeitsfähigkeit allerdings mindestens vier Tage. Unternehmen sind also gut beraten, wenn ihre IT-Systeme stabil und geschützt sind und sie für den Fall der Fälle klare Handlungsanweisungen festgelegt haben. Doch daran mangelt es, wie der Branchenverband Bitkom in einer repräsentativen Umfrage herausgefunden hat, bei der Unternehmen mit einem Jahresumsatz von mindestens 1 Million Euro im Mittelpunkt standen. Demnach kann knapp jedes zweite Unternehmen auf einen solchen Notfallplan zugreifen, in dem die erforderlichen Maßnahmen, insbesondere die notwendigen Sofortmaßnahmen klar geregelt sind. Der Grund, warum sich nicht mehr Unternehmen auf einen Angriff einstellen, ist einfach. Viele Mittelständler glauben nicht, in den Fokus von Hackern und Cyberkriminellen zu geraten, weil sie sich für zu unbekannt halten und daher für zu uninteressant.

Eine fatale Fehleinschätzung, wie nahezu alle Zahlen zu Cyberangriffen zeigen. Auch im Praxisreport 2022 der Initiative „Deutschland sicher im Netz“ spricht man von einem deutlichen Anstieg der Angriffe auf mittelständische Unternehmen mit immer gravierenderen Auswirkungen, die in Einzelfällen – die allerdings auch zunehmen – existenzbedrohend sein können. Die Initiative des Bundesministeriums für Wirtschaft und Klimaschutz will neben Privatpersonen vor allem kleinere Unternehmen für die Risiken sensibilisieren und zu entsprechenden Vorkehrungen animieren. Das Bewusstsein dafür wächst, wie der Parlamentarische Staatssekretär Michael Keller betont, „doch viele kleine und mittlere Unternehmen sind noch nicht ausreichend vor Cyberrisiken geschützt.“ Häufig würden die Hackerangriffe gar nicht erkannt und auch Schwachstellen im IT-System seien häufig unbekannt.
 

Mitarbeiter für Cyberrisiken sensibilisieren

 

Es gibt also zahlreiche Handlungsfelder für IT-Fachkräfte in den Unternehmen, vor allem im Mittelstand. Laut Bitkom sind in erster Linie größere Unternehmen auf eventuelle Angriffe vorbereitet. Je kleiner das Unternehmen, umso weniger präventive Maßnahmen werden ergriffen. „Dabei ist bei der Abwehr eines Cyberangriffs Zeit eine ganz entscheidende Komponente“, sagt Simran Mann, Bitkom-Referentin für Sicherheitspolitik. Doch dafür braucht es nicht nur einen Notfallplan, sondern auch eine sensibilisierte Belegschaft. In diesem Punkt unterscheiden sich große und kleine Unternehmen kaum, überall kommen Schulungen zu Sicherheitsthemen zu kurz. Simran Mann hält das für einen Fehler, denn die Mitarbeiterinnen und Mitarbeiter sind unter Umständen als erste mit Angriffen konfrontiert. Ihr Verhalten kann dann mitentscheidend dafür sein, ob ein Angriff erfolgreich ist oder erfolgreich abgewehrt werden kann. Doch in der Praxis wissen die Beschäftigten meist nicht, wie sie sich verhalten sollen.
Die Gründe für unzureichend geschützte IT-Systeme sind vielschichtig. Personalmangel und Budgetfragen sind dabei nur zwei Aspekte. In vielen Unternehmen arbeitet man noch die Auswirkungen der Corona-Pandemie ab, als schnell neue IT-Lösungen installiert werden mussten und das Thema Security dabei unter den Tisch fiel. Hinzu kommen immer komplexere IT-Landschaften, die auch in kleineren Unternehmen schnell unübersichtlich werden. Anwendungen von bis zu 20 verschiedenen Lösungsanbietern sind auch in kleineren Unternehmen keine Seltenheit, in größeren Unternehmen liegt die Zahl deutlich höher. Da können auch erfahrene IT-Experten den Überblick verlieren. Die Probleme liegen aber noch tiefer. „Über viele Jahre war Cybersicherheit vor allem ein Thema für die IT-Abteilung, mit dem das Management sich höchstens punktuell beschäftigen wollte. Das war und ist eine Fehleinschätzung“, sagt Andreas Lüning, Vorstand von G DATA CyberDefense. Sein Unternehmen veröffentlicht regelmäßig die Studie „Cybersicherheit in Zahlen“ und gießt deren Ergebnisse in einen Index zur Cybersicherheit. Corona und der Krieg in der Ukraine haben der Gefühlslage zugesetzt und für einen zweiprozentigen Rückgang des Index gesorgt. IT-Sicherheit beginnt mit der Technik, aber damit ist noch lange nicht genug getan, ist Lüning überzeugt und fordert auch vom Management ein Umdenken. „Gerade Führungskräfte müssen eine gute Fehlerkultur vorleben und Mitarbeiter ermutigen auch Fehler, welche die Sicherheit gefährden können, zu melden.“

Kein automatisches Vertrauen
 

Cybersecurity muss vermehrt ganzheitlich betrachtet werden, da sind sich nahezu alle Experten einig. Unternehmen, die vom IT-Sicherheitsgesetz 2.0 betroffen sind, müssen Lösungen einsetzen, die automatisch Angriffe erkennen können und somit helfen, die Komplexität bestehender IT-Systeme mit Blick auf deren Sicherheit in den Griff zu bekommen. In der Praxis kommt dabei immer öfter, aber noch viel zu selten, das Konzept Zero Trust zum Einsatz. Damit ist ein Sicherheitssystem gemeint, in dem es kein automatisches Vertrauen gibt und jeder Zugriff auf die Systeme verifiziert werden muss, auch, und das ist der Unterschied zu klassischen Sicherheitsarchitekturen, innerhalb des eigenen Netzwerks. In großen Unternehmen spielt Zero Trust eine immer bedeutendere Rolle, die in der Folge auch Auswirkungen auf die Liefer- und Wertschöpfungsketten hat und darüber im Mittelstand ankommt.
Und auch die kulturelle Dimension sollte eine größere Rolle spielen, weg von der reinen technischen Absicherung hin zu einem Verständnis von Cybersecurity, das als Basis einer modernen Unternehmensführung gilt, um sich sicher und erfolgreich im digitalen Raum zu bewegen. Das ist schwerer als gedacht, denn in der Praxis scheitern nicht wenige Unternehmen schon daran, sicherzustellen, dass ihre Beschäftigten sichere Passwörter nutzen und diese regelmäßig ändern. Mit der Haltung „das war schon immer so“ oder „das ist einfacher so“, setzen sich Unternehmen auch in Zukunft ungeahnten Risiken aus.

Nächster Artikel
Wirtschaft
Dezember 2022
Illustration: Ivonne Schulze
Redaktion

Erben ist kein Kinderspiel

Es gibt viele Fragen rund um das Thema Erben und Vererben. Wer sich Gedanken macht, ob die gesetzliche Erbfolge den eigenen Wünschen entspricht oder ob man die Vermögensnachfolge anders regeln möchte, muss einiges berücksichtigen.