Die Früchte hängen zu tief

Uns wird schon nichts passieren. So denken viele kleine und mittelständische Unternehmen, wenn es um die Cybersicherheit geht. In dieser Folge unserer Cybersicherheits-Serie zeigen wir auf, warum besonders kleinere Betriebe im Fokus von Hackern stehen. 

Stellen Sie sich einen Obstbaum mit leckeren Früchten vor, die bis zur Erde hängen. Niemand käme auf die Idee, bis in den Wipfel des Baumes zu klettern, um die Früchte dort zu ernten, auch wenn die Äpfel oder Kirschen dort noch größer und saftiger erscheinen. Vielmehr würde wohl jeder erst mal das Obst pflücken, das er oder sie ohne Leiter und Hilfsmittel erreicht.

Das Bild der niedrig hängenden Früchte wird oft auch in der Wirtschaft bemüht: Erstmal das Geschäft erledigen, das wenig Aufwand erfordert, um die Produkte, die schwerer an den Kunden zu bringen sind, kümmern wir uns später.

Leider arbeiten auch Hacker nach diesem Prinzip. Weder sind ihre Angriffe besonders aufwändig, noch zielen sie auf ein bestimmtes Unternehmen, vielmehr versuchen sie abzugreifen, was ihnen bei ihren Beutezügen durchs Internet einfach so in die Hände fällt. Wenn bei einer Million duplizierter Mails nur hundert Ahnungslose den infizierten Dateianhang anklicken und nur zehn von ihnen das Lösegeld zahlen, um ihre Computer wieder zu entsperren, ist das leicht verdientes Geld. 

Und wer sind in diesem Bild nun die niedrig hängenden Früchte? Das sind Millionen kleine und mittelständische Unternehmen überall auf der Welt, die glauben, nicht interessant genug für Hacker zu sein und die folglich zu wenig für ihre Cybersicherheit tun. Doch das wissen die Cyberkriminellen natürlich, und deshalb streuen sie ihre automatisierten Angriffe bevorzugt auch unter kleineren Betrieben, nach dem Motto: Kleinvieh macht auch Mist. Und der Misthaufen ist ganz schön hoch: Der Rückversicherer Munich RE schätzte die Schäden durch Cyberattacken 2018 weltweit auf 600 Milliarden US-Dollar.

Diese Diskrepanz zwischen gefühlt geringer und hoher echter Bedrohung äußert sich auch in Umfragen. Laut der Studie „Cyberrisiken im Mittelstand“ von 2018 von Forsa für den Versand der Deutschen Versicherer glauben 34 Prozent der befragten kleinen und mittleren Unternehmen (KMU), dass es sie selbst treffen wird, während 73 Prozent meinen, selbst ausreichend geschützt zu sein. 

Man könnte es auch das Prinzip Hoffnung nennen, denn die Wirklichkeit sieht nicht so rosig aus. Ein Drittel aller Unternehmen wurde schon Opfer eines Angriffs, sagen die Wirtschaftsprüfer von EY, ehemals Ernst & Young. In einer Umfrage von Horvath & Partners sind es sogar zwei Drittel. Die Dunkelziffer ist hoch – laut EY wurden 15 Prozent der Vorfälle nur durch Zufall entdeckt, viele vermutlich gar nicht. Die Forsa-Studie der Versicherer weist nach, dass Cyberattacken umso erfolgreicher sind, je kleiner das Unternehmen ist – dort hängen die Früchte wohl besonders tief.

„Die Unternehmen haben Angst, trotzdem tun sie zu wenig“, sagt Peter Kühfuß. Kühfuß ist Geschäftsführer bei KMPC Innovations, einem Startup in Heilbronn, das Betriebe bei der Vernetzung ihrer Maschinen mit Sensorik berät und mit einem Produktionsmonitoring-Tool fit für das Internet der Dinge macht. Der Wirtschaftsinformatiker kennt die Herausforderungen in kleinen und mittelständischen Unternehmen aus erster Hand. Unzureichende Cybersicherheit beginnt häufig mit einer Unkenntnis der internen Arbeitsabläufe. 

Ein Beispiel: Der Vertrieb eines Unternehmens möchte sich neu strukturieren und die Umsätze steigern. Irgendwann fällt auf, dass die Produktion gar nicht so große Stückzahlen liefern kann. Dann sucht das Management fieberhaft nach Möglichkeiten, die Leistung der Produktion zu erhöhen, zum Beispiel indem man Maschinen mit Sensoren überwacht. Wer hier überhastet zum falschen Konzept greift, reißt Lücken in den Cyberschutz. „Deshalb finden wir gemeinsam in Workshops erstmal heraus, was der Betrieb eigentlich will“, so Kühfuß. 

Wie es richtig gehen kann, zeigt das Projekt I4sec, das vom Bundesministerium für Bildung und Forschung gefördert wird. Dort entwickeln KMPC und Industriepartner Konzepte, um Sensordaten für die Fernwartung sicher zu erfassen und zu übertragen. Ein Partner im Projekt ist Buday, ein Hersteller von technischen Klebebändern. Wann wird das Schneidemesser stumpf, wie hoch war die Temperatur bei der Verarbeitung des Klebers? Solche Informationen sollen Buday helfen, die Effizienz und Qualität zu optimieren – ohne sich Sicherheitsrisiken ins Haus zu holen. Eine eiserne Regel ist, dass Daten aus den Sensoren nur ausgelesen werden dürfen, dagegen ist es nicht erlaubt, Befehle in die Maschinensteuerung zurückzuschreiben.

Die Datendiode (Data Capture Unit, DCU) von Siemens folgt dem gleichen Prinzip. Sie ermöglicht das direkte Einspeisen von Daten aus kritischen und industriellen Infrastrukturen in die Cloud, etwa zum Zweck der Datenanalyse oder der vorbeugenden Wartung. Gleichzeitig wird das mit diesem Übertragungsweg einhergehende Cybersicherheitsrisiko vollständig eingedämmt. Die integrierte Datendioden-Technologie von Siemens gewährleistet dabei nicht nur den Datenfluss in ausschließlich eine Richtung (reiner Lesemodus), sondern auch die physische Trennung von industriellen und IT-Netzwerken. Dieser Ansatz schützt kritische und industrielle Datenbestände vor Fern-Manipulationen durch Hacker, denn das Chipdesign selbst sorgt für die Sicherheit, nicht die Software.

Solche Lösungen sind bei Siemens Teil eines ganzheitlichen Ansatzes zur Cybersicherheit. Er hilft dem Unternehmen, quer durch sämtliche Geschäftsbereiche nicht nur seine Infrastruktur, sondern auch die Produkte, Lösungen und Dienstleistungen für seine Kunden so gut wie möglich zu schützen. Darüber hinaus hat sich Siemens mit führenden Unternehmen aus der ganzen Welt zusammengeschlossen und die Charter of Trust mit ihren zehn Prinzipien aufgestellt, an denen sich Unternehmen jedweder Art orientieren können. 

Das ist auch dringend nötig: „Die Unternehmen müssen mehr für die Cybersicherheit tun und Digital-Knowhow aufbauen“, fordert Peter Kühfuß.

Dies gilt insbesondere für die gegenwärtige Covid19-Krise, die innerhalb kürzester Zeit ein beispielloses Maß an sozialen und wirtschaftlichen Umwälzungen verursacht hat.  Das Ergebnis ist beispielsweise ein enormer Anstieg der Nutzung von Cloud-Lösungen oder ein massiver Einsatz von Videokonferenz-Tools, teils ohne Sicherheitsbedenken. Zu argumentieren, dass "in der Vergangenheit nichts passiert ist", wäre heute besonders riskant. Die Hacker wissen darum. Und so ist zu befürchten, dass die Früchte gerade wieder etwas tiefer hängen und die Cyberkriminellen reiche Beute einfahren. 

Wenn Sie wissen möchten, für welche Cyberrisiken Unternehmen anfällig sind und was genau Sie dagegen tun können – auch mit Hilfe von Siemens –klicken Sie hier.