Luft nach oben

Laut der Berichterstattung in der Presse kam der Angriff aus dem Nichts: Vermutlich im Februar 2020 sind Hacker in die Computer der Technischen Werke Ludwigshafen im Südwesten Deutschlands eingedrungen und haben 500 Gigabyte Daten erbeutet, darunter Informationen über alle Kunden, Mitarbeiter und Geschäftspartner, auch Kontoverbindungen. Weil das Versorgungsunternehmen nicht auf die horrende Lösegeldforderung der Kriminellen einging, haben diese offenbar im Mai begonnen, die gestohlenen Informationen im Darknet zu veröffentlichen, wo andere Hacker solche Daten für weitere Erpressungsversuche nutzen können. Das Unternehmen hat seine Kunden informiert, wie sie sich gegen den Missbrauch ihrer Daten schützen können.

Der Vorfall in Ludwigshafen ist nur die Spitze des Eisbergs. Tag für Tag werden Unternehmen Opfer von Cyberkriminellen, die sensible Daten klauen oder IT-Systeme lahmlegen. Nur wenige Fälle werden bekannt, die Dunkelziffer ist hoch, weil die Unternehmen ihren Schaden nicht an die große Glocke hängen wollen. Der Rückversicherer Munich RE schätzt die Schäden durch Cyberattacken 2018 weltweit auf 600 Milliarden Dollar. Bei den kleinsten Unternehmen sind solche Attacken überdurchschnittlich oft erfolgreich, sagt die Studie „Cyberrisiken im Mittelstand“ von 2018 von Forsa im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft. Erstaunlich, wie entspannt (und naiv?) viele Betriebe das Thema dennoch einschätzen. Beispiel Deutschland: 71 Prozent der Klein- und Kleinstunternehmen halten hier ihr Risiko für gering.

Diese Diskrepanz zwischen gefühlter und realer Gefahr erschreckt. „Wir sind zu klein“ oder „Wir haben keine interessanten Daten“, hört man oft als Ausrede. Dabei sind die Größe oder die Bedeutung eines Angriffsziels für Hacker erstmal zweitrangig. Cyberattacken gleichen Schrotschüssen, die einfach ins Blaue zielen und hoffen, irgendjemand zu treffen. Und die Flinte ist gut gefüllt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählte im vergangenen Jahr bis zu 400.000 neue Schadprogramme – pro Tag. Ob Großkonzern oder Kleinbetrieb – früher oder später wird ein Splitter jeden erwischen – und schmerzliche Wunden reißen, wenn keine Schutzmaßnahmen getroffen wurden.

Die gute Nachricht: Kleine und mittelständische Unternehmen sind sich der Gefahren zunehmend bewusst – etwa in Deutschland. In einer Umfrage der Gothaer Versicherung 2019 sahen 43 Prozent der kleinen und mittelständischen Unternehmen mit bis zu 500 Mitarbeitern Cyber-Attacken als größte Bedrohung für ihr Unternehmen. Zwei Jahre zuvor waren es nur 32 Prozent. Das freut den Versicherungskonzern, der in Cyberpolicen zur Absicherung gegen Hacker-Schäden einen „schlummernden Riesen“ erkannt hat.

Die schlechte Nachricht: Mit Maßnahmen für mehr Cybersicherheit ist es leider wie mit den guten Vorsätzen fürs neue Jahr – man weiß, dass man mehr Sport treiben sollte, aber am Ende siegt doch die Faulheit. Oder bei der Cybersicherheit die Sorglosigkeit. Denn das weit verbreitete Wissen über die Bedrohung schlägt sich zu selten in konkreten Vorsichtsmaßnahmen nieder wie die Forsa-Studie für die Versicherungswirtschaft belegt: 73 Prozent der Unternehmen glauben, dass sie auch ohne weitere Maßnahmen ausreichend gegen Cyberrisiken geschützt seien. Doch dann wird es erfahrungsgemäß oft zu spät und vor allem: teuer. Auf das Sankt-Florian-Prinzip, wonach hoffentlich immer nur die Häuser der Nachbarn brennen, sollte man sich bei der Cybersicherheit lieber nicht verlassen.

Diese Haltung kennt Markus Schließ nur zu gut. Der Fachanwalt für IT-Recht in Stuttgart berät Unternehmen, wie sie sich vor Cyberrisiken und den daraus folgenden rechtlichen Risiken schützen können. Dabei setzt er auf Prävention: Mit dem Management erarbeitet er Richtlinien, wie sich Mitarbeiter verhalten sollen und vermittelt diese Maßnahmen in Schulungen. Schließ warnt: „Die Datenschutzgrundverordnung macht strenge Vorgaben.“ Wer diese nicht einhalte und personenbezogene Daten verliere, müsse unter Umständen doppelt dafür bezahlen. Einmal das Lösegeld an die Hacker oder für Schäden an der IT. Und zum anderen empfindliche Strafen. „Die Aufsichtsbehörde schaut genau hin, ob alles getan wurde, um Datenverlust zu vermeiden.“ Wer zum Beispiel Schulungen der Mitarbeiter nachweisen könne, sei meist auf der sicheren Seite, so Schließ. 

„Viele kleine und mittelständische Unternehmen benötigen Unterstützung bei der Planung und Umsetzung von Maßnahmen der Prävention, Detektion und Reaktion“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. Es gebe mittlerweile eine ganze Fülle an Hilfestellungen für kleine und mittlere Unternehmen, darunter die IT-Notfallkarte des BSI, die sich jeder Mitarbeiter an seinen Bildschirm heften kann und die sagt, was beim Verdacht eines Angriffs zu tun ist. Regel 1: Ruhe bewahren. Regel 2: Die aufgedruckte Telefonnummer anrufen und Hilfe holen. Schnelle Hilfe verspricht auch das Servicepaket IT-Notfall, das aus einer Zusammenarbeit des BSI mit mehreren Partnern entstanden ist, zu denen auch die Charter of Trust mit ihrem Gründungsmitglied Siemens gehört. Sie hat auch einen dreistufigen Fahrplan entwickelt, wie sich kleine und mittelständische Unternehmen gegen Bedrohungen wappnen können.

Die Digitalisierung – von Leugnern der Gefahren oft als eigentliche Ursache von Cyberrisiken gescholten – ist übrigens nicht das Problem. Sie ist vielmehr Teil der Lösung, wie die deutsche Bitkom-Studie belegt. Doch trotzdem hapert es häufig noch.

Siemens hat einen ganzheitlichen Ansatz zur Cybersicherheit entwickelt, der einem Unternehmen hilft, nicht nur seine Infrastruktur, sondern auch die Produkte, Lösungen und Dienstleistungen für seine Kunden so gut wie möglich zu schützen. Darüber hinaus hat sich das Unternehmen mit führenden Unternehmen aus der ganzen Welt zusammengeschlossen und die Charter of Trust mit ihren zehn Prinzipien aufgestellt.

Wenn Sie wissen möchten, für welche Cyberrisiken Unternehmen anfällig sind und was genau Sie dagegen tun können – auch mit Hilfe von Siemens –, klicken Sie hier.

Bernd Müller