Deutsche Unternehmen zu wenig geschützt?

Der Hackerangriff auf den Autozulieferer Continental dürfte viele andere Unternehmen aufgeschreckt haben. Denn Conti glaubte eigentlich - so legt es jedenfalls eine Pressemitteilung aus dem August nahe - der Sicherheit der Informationen der "Mitarbeiter, Kunden und Partner sowie der eigenen Daten" größte Bedeutung beigemessen zu haben. Man habe sogar einen Cyberangriff selbst festgestellt und abgewendet. Wie sich nun zeigt, war dies dann doch nicht ausreichend - mit bisher unabsehbaren Folgen für das Unternehmen. Laut einem Handelsblatt-Bericht vom Dienstag (15.11.2022) erbeuteten die Hacker nicht nur große Mengen, sondern vor allem sensible Daten - bis hin zu Budget- und Strategieplänen. Weil sich der im Deutschen Aktienindex DAX notierte Konzern offenbar geweigert hat, ein Lösegeld zu zahlen, haben die Hacker die Daten Ende der vergangenen Woche für 50 Millionen Dollar im Darknet zum Verkauf angeboten. 

Über 200 Milliarden Euro Schaden

"Auch bei großen Unternehmen zeigen die aktuellen Vorfälle, dass es trotz umfassender Maßnahmen, die in den Unternehmen schon umgesetzt werden, immer noch Lücken in der flächendeckenden Umsetzung von Sicherheitsmaßnahmen und effektiven Erkennung von Cyber-Angriffen bestehen", sagt Matthias Bandemer, Partner und Leiter Cybersecurity bei der Unternehmensberatung EY in Deutschland. Denn eine Lücke reiche für einen erfolgreichen Angriff schon aus.

Dabei sollten die Firmen allmählich wach geworden sein: 203 Milliarden Euro an Schaden durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage entstehe ihnen jährlich, hat in seiner jüngsten Untersuchung Ende August der Branchenverband der deutschen Informations- und Telekommunikationsbranche, Bitkom, festgestellt, die der Verband zusammen mit dem Bundesverfassungsschutz erhebt. Die erhobenen Daten stammen aus einer Umfrage im Frühjahr. Dabei waren eigentlich alle Unternehmen in Deutschland von Cyberangriffen betroffen, 84 Prozent haben dies festgestellt, weitere neun Prozent nehmen dies an.

Gut zwei Fünftel der Angriffe kommen inzwischen aus China, ein Drittel waren es noch ein Jahr zuvor. Urheber in Russland sind bei 36 Prozent der Angriffe ausgemacht worden nach 23 Prozent ein Jahr zuvor. Auch unabhängig vom russischen Angriffskrieg auf die Ukraine sei die Bedrohung durch Cyberattacken hoch, warnt Bitkom-Präsident Achim Berg.  Die Politik sollte sich verstärkt für eine EU-weite Zusammenarbeit bei Cybersicherheit einsetzen, fordern deshalb fast alle befragten Unternehmen bzw. sie sollten stärker gegen Cyberattacken aus dem Ausland vorgehen.

Risiken erkannt - doch dagegen getan wird nicht genug

Die deutsche Wirtschaft stehe besonders im Visier der Hacker, sagt EY-Experte Bandemer: "Daher ist es wichtig, dass Politik, Wirtschaft und öffentliche Verwaltung noch effektiver zusammenwirken, um im internationalen Vergleich aufzuholen." Damit dürfte er auch eine aktuelle Schwachstelle im Sinn haben: Der inzwischen zwangsbeurlaubte Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, steht wegen möglicherweise mangelnder Distanz zu russischen Geheimdienstkreisen über den umstrittenen Verein namens Cyber-Sicherheitsrat Deutschland in der Kritik.

Die Behörden arbeiten jedoch bei Meldepflichten zusammen. So müssen Betreiber kritischer Infrastruktur Sicherheitsvorfälle oberhalb bestimmter Schwellenwerte an das BSI melden, das ist in dessen 'KRITIS-Verordnung' so festgelegt. KRITIS steht für Kritische Infrastruktur, entsprechend gehören Betreiber aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung, seit einigen Jahren aber auch solche aus den Branchen Gesundheit, Transport und Verkehr sowie Finanz- und Versicherungswesen dazu. Daneben sind Unternehmen verpflichtet, die öffentlich zugängliche Telekommunikationsdienstleitungen erbringen, entsprechende Vorfälle der Bundesnetzagentur zu melden. Und schließlich sind häufig ja auch personenbezogene Daten betroffen, die wegen der Datenschutz-Grundverordnung anzeigepflichtig sind.

Die Mehrheit der Unternehmen in Deutschland habe die wachsende Gefahr von Cyberattacken zwar erkannt, heißt es in der jüngsten Studie der Unternehmensberatung PWC zur Cybersicherheit. Denn die Risiken sind wegen der zunehmenden Digitalisierung und der geopolitischen Lage gestiegen und natürlich auch wegen der allgemein höheren Bedrohungslage. Doch nur ein Viertel der befragten Firmen gab an, aktuelle Risiken nahezu vollständig reduziert zu haben.

Die meisten Firmen tun also noch immer nicht genug zur Vorbeugung. Bisher geben sie laut Bitkom-Studie nur neun Prozent ihres IT-Budgets für die Cybersicherheit aus - das BSI empfiehlt jedoch ein Fünftel. Einfallstore für die Hacker sind dabei häufig die eigenen Mitarbeiter: Die müssten darauf trainiert werden, nicht unbedacht Links in Emails anzuklicken oder am Telefon Passwörter oder andere kritische Informationen preiszugeben.