Luft nach oben

Wie steht es um die Cybersicherheit kleiner und mittlerer Unternehmen? Dieser Frage geht Siemens mit einer neuen Cybersicherheits-Serie nach. Dieser, der erste Teil zeigt: Die Lage könnte besser sein, das zeigen etliche Studien. Ein Hoffnungsschimmer: Das Problembewusstsein wächst. 

Laut der Berichterstattung in der Presse kam der Angriff aus dem Nichts: Vermutlich im Februar 2020 sind Hacker in die Computer der Technischen Werke Ludwigshafen im Südwesten Deutschlands eingedrungen und haben 500 Gigabyte Daten erbeutet, darunter Informationen über alle Kunden, Mitarbeiter und Geschäftspartner, auch Kontoverbindungen. Weil das Versorgungsunternehmen nicht auf die horrende Lösegeldforderung der Kriminellen einging, haben diese offenbar im Mai begonnen, die gestohlenen Informationen im Darknet zu veröffentlichen, wo andere Hacker solche Daten für weitere Erpressungsversuche nutzen können. Das Unternehmen hat seine Kunden informiert, wie sie sich gegen den Missbrauch ihrer Daten schützen können.

Milliardenschäden

Der Vorfall in Ludwigshafen ist nur die Spitze des Eisbergs. Tag für Tag werden Unternehmen Opfer von Cyberkriminellen, die sensible Daten klauen oder IT-Systeme lahmlegen. Nur wenige Fälle werden bekannt, die Dunkelziffer ist hoch, weil die Unternehmen ihren Schaden nicht an die große Glocke hängen wollen. Der Rückversicherer Munich RE schätzt die Schäden durch Cyberattacken 2018 weltweit auf 600 Milliarden Dollar. Bei den kleinsten Unternehmen sind solche Attacken überdurchschnittlich oft erfolgreich, sagt die Studie „Cyberrisiken im Mittelstand“ von 2018 von Forsa im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft. Erstaunlich, wie entspannt (und naiv?) viele Betriebe das Thema dennoch einschätzen. Beispiel Deutschland: 71 Prozent der Klein- und Kleinstunternehmen halten hier ihr Risiko für gering.

Kleine Betriebe, große Gefahr

Diese Diskrepanz zwischen gefühlter und realer Gefahr erschreckt. „Wir sind zu klein“ oder „Wir haben keine interessanten Daten“, hört man oft als Ausrede. Dabei sind die Größe oder die Bedeutung eines Angriffsziels für Hacker erstmal zweitrangig. Cyberattacken gleichen Schrotschüssen, die einfach ins Blaue zielen und hoffen, irgendjemand zu treffen. Und die Flinte ist gut gefüllt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählte im vergangenen Jahr bis zu 400.000 neue Schadprogramme – pro Tag. Ob Großkonzern oder Kleinbetrieb – früher oder später wird ein Splitter jeden erwischen – und schmerzliche Wunden reißen, wenn keine Schutzmaßnahmen getroffen wurden.

Die Sorge wächst

Die gute Nachricht: Kleine und mittelständische Unternehmen sind sich der Gefahren zunehmend bewusst – etwa in Deutschland. In einer Umfrage der Gothaer Versicherung 2019 sahen 43 Prozent der kleinen und mittelständischen Unternehmen mit bis zu 500 Mitarbeitern Cyber-Attacken als größte Bedrohung für ihr Unternehmen. Zwei Jahre zuvor waren es nur 32 Prozent. Das freut den Versicherungskonzern, der in Cyberpolicen zur Absicherung gegen Hacker-Schäden einen „schlummernden Riesen“ erkannt hat.

Bei den kleinsten Unternehmen sind Cyberattacken überdurchschnittlich oft erfolgreich.

Erst aus Schaden klug

Die schlechte Nachricht: Mit Maßnahmen für mehr Cybersicherheit ist es leider wie mit den guten Vorsätzen fürs neue Jahr – man weiß, dass man mehr Sport treiben sollte, aber am Ende siegt doch die Faulheit. Oder bei der Cybersicherheit die Sorglosigkeit. Denn das weit verbreitete Wissen über die Bedrohung schlägt sich zu selten in konkreten Vorsichtsmaßnahmen nieder wie die Forsa-Studie für die Versicherungswirtschaft belegt: 73 Prozent der Unternehmen glauben, dass sie auch ohne weitere Maßnahmen ausreichend gegen Cyberrisiken geschützt seien. Doch dann wird es erfahrungsgemäß oft zu spät und vor allem: teuer. Auf das Sankt-Florian-Prinzip, wonach hoffentlich immer nur die Häuser der Nachbarn brennen, sollte man sich bei der Cybersicherheit lieber nicht verlassen.

Prävention nötig

Diese Haltung kennt Markus Schließ nur zu gut. Der Fachanwalt für IT-Recht in Stuttgart berät Unternehmen, wie sie sich vor Cyberrisiken und den daraus folgenden rechtlichen Risiken schützen können. Dabei setzt er auf Prävention: Mit dem Management erarbeitet er Richtlinien, wie sich Mitarbeiter verhalten sollen und vermittelt diese Maßnahmen in Schulungen. Schließ warnt: „Die Datenschutzgrundverordnung macht strenge Vorgaben.“ Wer diese nicht einhalte und personenbezogene Daten verliere, müsse unter Umständen doppelt dafür bezahlen. Einmal das Lösegeld an die Hacker oder für Schäden an der IT. Und zum anderen empfindliche Strafen. „Die Aufsichtsbehörde schaut genau hin, ob alles getan wurde, um Datenverlust zu vermeiden.“ Wer zum Beispiel Schulungen der Mitarbeiter nachweisen könne, sei meist auf der sicheren Seite, so Schließ. 

Ruhe bewahren, Hilfe holen

„Viele kleine und mittelständische Unternehmen benötigen Unterstützung bei der Planung und Umsetzung von Maßnahmen der Prävention, Detektion und Reaktion“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. Es gebe mittlerweile eine ganze Fülle an Hilfestellungen für kleine und mittlere Unternehmen, darunter die IT-Notfallkarte des BSI, die sich jeder Mitarbeiter an seinen Bildschirm heften kann und die sagt, was beim Verdacht eines Angriffs zu tun ist. Regel 1: Ruhe bewahren. Regel 2: Die aufgedruckte Telefonnummer anrufen und Hilfe holen. Schnelle Hilfe verspricht auch das Servicepaket IT-Notfall, das aus einer Zusammenarbeit des BSI mit mehreren Partnern entstanden ist, zu denen auch die Charter of Trust mit ihrem Gründungsmitglied Siemens gehört. Sie hat auch einen dreistufigen Fahrplan entwickelt, wie sich kleine und mittelständische Unternehmen gegen Bedrohungen wappnen können.

Vom Problem zur Lösung

Die Digitalisierung – von Leugnern der Gefahren oft als eigentliche Ursache von Cyberrisiken gescholten – ist übrigens nicht das Problem. Sie ist vielmehr Teil der Lösung, wie die deutsche Bitkom-Studie belegt. Doch trotzdem hapert es häufig noch.

 

Siemens hat einen ganzheitlichen Ansatz zur Cybersicherheit entwickelt, der einem Unternehmen hilft, nicht nur seine Infrastruktur, sondern auch die Produkte, Lösungen und Dienstleistungen für seine Kunden so gut wie möglich zu schützen. Darüber hinaus hat sich das Unternehmen mit führenden Unternehmen aus der ganzen Welt zusammengeschlossen und die Charter of Trust mit ihren zehn Prinzipien aufgestellt.

 

Wenn Sie wissen möchten, für welche Cyberrisiken Unternehmen anfällig sind und was genau Sie dagegen tun können – auch mit Hilfe von Siemens –, klicken Sie hier.

Was kleine und mittlere Unternehmen tun können, um sich vor Cyberrisiken zu schützen, erklärt unsere Reihe mit fünf Beiträgen, die mit diesem Artikel startet. Sie geht der Frage nach, warum kleinere Unternehmen häufiger von Angriffen betroffen sind und welche Rolle die Mitarbeiter spielen. Und die Beiträge geben Tipps, wie sich Betriebe mit überschaubarem Aufwand vor Angriffen schützen und dies als Teil ihrer Geschäftsstrategie nutzen können – etwa mit konkreter Hilfe von Siemens. Sobald ein neuer Artikel erscheint, wird er hier verlinkt:

Teil 1: Luft nach oben

Teil 2: Die Früchte hängen zu tief

Teil 3: Schwachstelle Mensch?

Bernd Müller

Abonnieren Sie unseren Newsletter

Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.