Wer ohne Erlaubnis ein Firmengelände betreten will, tut sich schwer: Zäune, Tore und Zugangskontrollen halten unerwünschte Besucher ab. Wer dagegen in krimineller Absicht in die Datenwelt eines Betriebs vordringen will, hat es oft leichter. „Die meisten Unternehmen in Deutschland sind schlecht auf Cyberattacken vorbereitet“, sagt Digitalisierungsexpertin Nicole Gaiziunas vom Bildungs- und Beratungsunternehmen XU. „Es fehlt das Bewusstsein dafür. Viele Firmen können sich nicht vorstellen, was Angreifern technisch möglich ist.“ Außerdem sind die Deutschen bislang vergleichsweise glimpflich davongekommen, auch wenn gut die Hälfte der Unternehmen hier im vergangenen Jahr mindestens einmal Ziel einer Cyberattacke war, berichtet Reuters.
Durch digitale Spionage, Sabotage und Diebstahl von Daten entsteht der deutschen Wirtschaft laut Branchenverband Bitkom im Jahr ein Schaden von rund 55 Milliarden Euro. Weltweit summiert sich dies Schätzungen zufolge auf bis zu eine Billion Dollar. Angriffe übers Internet sind nichts Neues, doch mit der zunehmenden Vernetzung in allen Lebensbereichen bieten sich immer mehr Einfallstore für Verbrecher. Weil viele Firmen nicht ausreichend geschützt sind, können Cyber-Kriminelle sogar mit minimalem technischen und finanziellen Aufwand hohe Schäden anrichten.
Die Angreifer gehen dabei immer professioneller vor, wie Peter Wirnsperger vom Beratungsunternehmen Deloitte sagt. „Das ist ein knallhartes Geschäft geworden.“ Den Tätern bringt ein Angriff mit Erpressungssoftware im Schnitt zwar „nur“ gut 700 Dollar Gewinn, schätzt die IT-Sicherheitsfirma Trend Micro, bei einem Unternehmensnetzwerk kommen aber schnell rund 30.000 Dollar zusammen. Und eine Attacke kann sich gleichzeitig gegen viele Firmen richten.
Die Schadsoftware „WannaCry“ beispielsweise erfasste im Mai über ein einziges Wochenende 200.000 Computer in 150 Ländern und blockierte sie. So wollten die Täter Lösegeld erpressen – von der Deutschen Bahn ebenso wie vom französischen Autobauer Renault, dem britischen Gesundheitsdienstleister NHS oder dem US-Kurierdienst FedEx.
Im Juni fielen rund um den Globus Firmen dem ähnlich gestrickten Kryptotrojaner „Petya“ zum Opfer, darunter die Deutsche Post, der Handelsriese Metro, der Nivea-Hersteller Beiersdorf, die weltgrößte Reederei Moller-Maersk und der russische Ölkonzern Rosneft. Der britische Konsumgüterkonzern Reckitt Benckiser musste nach dem Angriff sogar seine Prognose kassieren.
Warnungen von IT-Experten oder Sicherheitsbehörden, sich besser gegen digitale Attacken zu wappnen, verhallen oft ungehört. Deshalb zieht auch das Geschäft der Versicherer mit Cyber-Policen nur sehr langsam an. Umso lauter trommelt die Assekuranz. Ole Sieverding vom Spezialversicherer Hiscox erläutert, für viele Firmen seien die Gefahren der Digitalisierung abstrakt. „Sie müssen meist erst real werden, damit das Thema Cybersicherheit angepackt wird.“
Die Amerikaner seien weiter, weil es in den USA in der Vergangenheit viele Schadensfälle gegeben habe. „Europäische Länder, besonders Deutschland, haben großen Nachholbedarf.“ 62 Prozent der Betriebe hierzulande seien auf Angriffe via Internet nicht ausreichend vorbereitet, fanden die Marktforscher von Forrester Consulting in einer Studie im Auftrag von Hiscox heraus. Cybersecurity-Fachmann Wirnsperger von Deloitte sagt, vor allem kleinere Firmen seien sich ihres Gefahrenpotenzials nicht bewusst. „Sie sehen sich selbst nicht als Ziel, und sehen auch nicht, dass sie angegriffen werden, um über sie in große Unternehmen einzudringen.“
Versicherungsexperte Sieverding rät Managern, auf dem Weg zu mehr digitaler Sicherheit durchzuspielen, was im schlimmsten Fall passieren kann: „Wo sind die Kronjuwelen? Welcher Schaden kann entstehen? Das ist in jeder Branche und jedem Unternehmen anders.“ Legen Kriminelle die Produktion von Schokolade oder Kondomen lahm, fallen andere Kosten an, als wenn in einem Autowerk die Bänder zum Stillstand gebracht werden. Außerdem unterschätzten Unternehmen die langfristigen Folgen von Cyberangriffen, heißt es in einer Studie des Versicherungsmarkts Lloyds of London mit der Beratungsfirma KPMG und der Anwaltskanzlei DAC Beachcroft. Sie müssten sich auf den Verlust verunsicherter Kunden oder auf fallende Aktienkurse einstellen.
Nicht einmal die Hälfte der Unternehmen in Deutschland ist einer Umfrage zufolge ausreichend auf einen Cyberangriff vorbereitet. Wie der Digitalverband Bitkom am Freitag mitteilte, haben nur gut vier von zehn Firmen (43 Prozent) ein Notfallmanagement, sobald Sicherheitssysteme einen Hackerangriff melden oder die IT-Systeme lahmgelegt werden. Selbst bei Betreibern sogenannter kritischer Infrastrukturen, etwa Energieversorger und Finanzdienstleister, haben nur 53 Prozent einen Notfallplan.
Ein Notfallmanagement legt schriftlich Sofortmaßnahmen nach einem Cyberangriff fest. Durch diese Attacken können unter anderem die Produktion lahmgelegt werden, Internetseiten zusammenbrechen und sensible Daten verloren gehen. Unternehmen sollten laut Bitkom Kontaktlisten mit den wichtigsten Ansprechpartnern haben und könnten etwa durch mehrtägige Übungen verschiedene Szenarien durchspielen. Das Notfallmanagement sollte auch festlegen, wann externe Dienstleister hinzugezogen und staatliche Stellen eingeschaltet werden oder wie Mitarbeiter und Öffentlichkeit informiert werden.
„Die Verantwortlichen in den Unternehmen sollten erkennen, dass die Gefahr digitaler Angriffe real ist“, warnte Bitkom-Präsident Achim Berg. Wer auf einen Notfallplan verzichte, gefährde die Sicherheit des Unternehmens, der Mitarbeiter, Partner und Kunden.
Unter den großen Unternehmen mit mehr als 500 Mitarbeitern verfügen dem Verband zufolge rund zwei Drittel (68 Prozent) über ein Notfallmanagement. Bei Mittelständlern mit 100 bis 499 Mitarbeitern seien es 61 und bei den kleineren Unternehmen 40 Prozent. Für seine Erhebung befragte Bitkom 1069 Unternehmen mit zehn oder mehr Mitarbeitern.
Bitkom zufolge verursachen Cyberangriffe in Deutschland jährlich einen Schaden in Höhe von 55 Milliarden Euro. Experten sehen vor allem die Vernetzung von Unternehmen mit Dienstleistern und Maschinenherstellern als Problem. Ende Juli hatte der TÜV die Einschätzung geäußert, dass nur drei von hundert deutschen Firmen überhaupt ausreichend vor Hackern geschützt sind.
