Verschlossene Türen, heruntergelassene Tore, Zäune und Kameras. Unternehmen nutzen die gesamte Bandbreite der Möglichkeiten, um Unbefugten den Zutritt zu ihren Geschäftsräumen zu verwehren. Dabei lauern die größten Gefahren nicht vor der Tür. Einbrüche in Unternehmensgebäude und Lagerhallen nehmen seit Jahren kontinuierlich ab. Vielmehr verschaffen sich Unbefugte, oftmals gänzlich unbehelligt, über Kupfer oder Glasfaser den begehrten Einlass und können dabei erheblich größeren Schaden anrichten. Nahezu jedes Unternehmen in Deutschland ist davon mehr oder weniger stark betroffen, wie eine aktuelle, repräsentative Umfrage des Branchenverbands Bitkom zeigt. Für das Jahr 2022 liest sich das so: 84 Prozent der 1.000 befragten Unternehmen wurden Opfer von Datendiebstahl, Diebstahl von IT-Technologie, Spionage oder Sabotage, bei weiteren 9 Prozent wird eine solcher Angriff vermutet. Im gesamten Jahr 2021 waren 100 Prozent der Unternehmen von mindestens einem der Delikte betroffen, 88 Prozent sicher, bei 12 Prozent vermutet.
Tatsächlich verlagern sich die Taten immer mehr in den digitalen Raum. „Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer hybriden Kriegsführung auch im digitalen Raum ist die Bedrohung durch Cyberattacken für die Wirtschaft in den Fokus von Unternehmen und Politik gerückt“, kommentiert Bitkom-Präsident Achim Berg die Zahlen. Unabhängig davon sei die Bedrohungslage sowieso sehr hoch. So hat sich die wahrgenommene Bedrohung für Unternehmen innerhalb nur eines Jahres dramatisch erhöht. Fast jedes zweite Unternehmen glaubt, dass Cyberattacken ihre geschäftliche Existenz bedrohen können, ein Jahr zuvor lag dieser Wert noch bei 9 Prozent. Das hat einen einfachen Grund: Die Täter haben es zunehmend auf Kommunikations- und Kundendaten abgesehen, und dabei ist ihnen jedes Unternehmen recht. „Wir gehen davon aus, dass zirka drei Viertel der mittelständischen Unternehmen bereits Opfer eines Cyberangriffs waren und es mitunter vielleicht nicht gemerkt haben, beziehungsweise keinen echten Schaden davongetragen haben“, sagt Volker Wittberg, Leiter des Instituts für Cyber Security und digitale Innovationen. „Andererseits sind drei Prozent der Unternehmen durch Cyberangriffe bereits in ihrer Existenz gefährdet worden und haben ernstzunehmende Schwierigkeiten bekommen.“
Lösegeldzahlungen schützen nicht vor Schaden
Es geht um viel Geld, allein für das vergangene Jahr schätzt Bitkom den Gesamtschaden bei deutschen Unternehmen auf 223 Milliarden Euro. Ein Rekordwert, der sich innerhalb weniger Jahre verdoppelt hat. Größer als der direkte finanzielle Schaden ist allerdings die Furcht vor Reputations- und Vertrauensverlust. Laut Bundeslagebericht Cyberkriminalität, der jedes Jahr vom Bundeskriminalamt (BKA) veröffentlicht wird, war das Jahr 2021 auch von einem Höchstwert bei den Delikten gekennzeichnet. 146.363 Delikte haben die Ermittler aufgeführt, von denen etwa 29 Prozent aufgeklärt werden konnten. Allerdings geht das BKA von einem riesigen Dunkelfeld aus, denn der größte Teil der Angriffe wird den Strafverfolgungsbehörden gar nicht gemeldet. Besonders bei den gefürchteten Ransomware-Angriffen, mit denen Unternehmen erpresst werden sollen, ist die Gefahr eines Vertrauensverlusts sehr hoch. Entsprechend zurückhaltend äußern sich Unternehmen zu Angriffen. Sie wählen nicht selten lieber den scheinbar einfacheren Weg und kommen Lösegeldforderungen nach, bevor sie einen Datenverlust in Kauf nehmen. Keine gute Idee, wie eine Untersuchung des US-Amerikanischen Unternehmes Cybereason zeigt. Denn die Täter geben sich oft nicht mit dem einmaligen Erpressungsversuch zufrieden. Mehr als 80 Prozent der betroffenen Unternehmen wurden trotz Zahlung der Lösegeldforderung ein zweites Mal erpresst, bei einem kleineren Teil gab es sogar einen dritten Erpressungsversuch.
Zu den bekannt gewordenen Attacken gehörte im vergangenen Jahr der Cyber-angriff auf den Textilkonzern Gerry Weber aus dem westfälischen Halle. Ende Juni bestätigte das Unternehmen einen entsprechenden Versuch, von außen Kontrolle über die IT-Systeme zu bekommen. Die Installation einer Ransom-Software konnte verhindert werden und nach Angaben des Unternehmens seien auch keine Daten entwendet worden. Zur Sicherheit mussten allerdings die betroffenen IT-Systeme heruntergefahren werden mit zeitweisen Auswirkungen auf die innerbetrieblichen Abläufe. Bei Gerry Weber ging man allerdings nicht einfach zur Tagesordnung über, sondern gründete eine Cyber Defence Cooperation (CDC), in der sich Bekleidungshersteller aus Deutschland austauschen können. Zahlreiche Unternehmen, darunter Branchengrößen wie S.Oliver, Peek & Cloppenburg, Deichmann und Hugo Boss, machen mit. „Nach dieser Attacke aus dem Netz haben wir festgestellt, dass der Wunsch nach Erfahrungsaustausch unter den IT-Abteilungen der Unternehmen immens groß ist“, begründet Stefan Beyler, CIO bei Gerry Weber, die Initiative. Die Unternehmen sollen untereinander ihre Erfahrungen weitergeben und voneinander lernen können. Dabei geht es vor allem um Prävention, wie Beyler betont.
Unternehmen unterschätzen die Bedrohungslage
Auch wenn der umfangreiche Schutz der IT- Systeme der entscheidende Schlüssel ist, um gegen Cyberangriffe gewappnet zu sein, die Wirklichkeit in der deutschen Unternehmenslandschaft sieht meist anders aus. Vor allem im Mittelstand ist der Nachholbedarf bei der IT-Sicherheit groß, unter anderem weil man dort die Gefahr häufig unterschätzt. Tatsächlich geht die Schere zwischen konkreter und wahrgenommener Gefahr weit auseinander. Jörg Asmussen, Hauptgeschäftsführer des Versicherungsverbands GDV, schätzt, dass rund 80 Prozent der mittelständischen Unternehmen nicht einmal die Basisanforderungen an eine funktionierende IT-Sicherheit erfüllen. Der Verband sieht vor allem eine ungenügende Datensicherung und fehlende Notfallpläne als Schwachpunkte betrieblicher IT-Sicherheit. Zudem würden häufig fehlende Zuständigkeiten und Verantwortlichkeiten eine schnelle und angemessene Reaktion auf einen Angriff erschweren. Laut einer Studie des Analyseunternehmens IDC sind Unternehmen oftmals selbstsicherer, als es eigentlich angemessen wäre. Zwei Drittel der im Rahmen der Studie befragten Unternehmen glauben, ohne externen Beistand Bedrohungen ihrer IT-Systeme bewältigen zu können. Das verwundert, weil ebenso viele Unternehmen bereits Opfer einer Attacke waren. „Gemessen an der Häufigkeit von erfolgreichen Ransomware-Vorfällen ist eine solche Selbstsicherheit nicht gerechtfertigt“, sagt Marco Becker, Senior Consultant bei IDC. Denn auch wenn Unternehmen einen Angriff abwehren konnten oder sogar Lösegeld bezahlt haben, mussten sie oftmals Datenverluste und Störungen im IT-System hinnehmen.