Reale Gefahr
Waren es früher ehrgeizige IT-Freaks im Keller, die aus „sportlichen“ Gründen Daten hackten, sind es heute Profihacker aus kommerziellen Interessen oder sogar Staaten, die andere Staaten via IT angreifen. PROTECTOR befragte zum Thema IT-Angriffe und das künftige IT-Sicherheitsgesetz den Sicherheitsexperten Marc Bachmann vom Bitkom e.V.
PROTECTOR: Sie haben vor Kurzem eine Studie vorgestellt, in der Sie deutsche Unternehmen zu Angriffen im Bereich Wirtschafts-spionage, Sabotage und Datendiebstahl befragt haben. Wie viele Unternehmen waren daran beteiligt? Und mit welchem Ergebnis?
Marc Bachmann: Mit der Studie wollte Bitkom herausfinden, wie viele deutsche Unternehmen in den vergangenen zwei Jahren Opfer dieser Delikte geworden sind. Dafür wurden 1.074 Unternehmen ab zehn Mitarbeitern befragt. Mit 51 Prozent waren mehr als die Hälfte definitiv von solchen Angriffen betroffen. Weitere 28 Prozent sagen, dass ihr Unternehmen vermutlich betroffen war. Diese Zahl deutet nur ansatzweise die Dunkelziffer an, die mit ziemlicher Sicherheit sehr hoch ist. Den Schaden solcher Angriffe auf Unternehmen schätzen wir auf rund 51 Milliarden Euro pro Jahr.
Welche Branchen sind besonders von Cyberattacken betroffen? Sind es eher „Global Player“ oder Mittelständler?
Der am stärksten gefährdete Wirtschaftszweig ist die deutsche Automobilindustrie mit etwa sieben von zehn betroffenen Unternehmen. Eine Erklärung hierfür könnte sein, dass die deutschen Fahrzeugbauer und ihre Zulieferer zu den innovativsten Unternehmen weltweit gehören. Direkt darauf folgen die Chemie- und Pharma-Branche sowie das Finanz- und Versicherungswesen.
Grundsätzlich sind Unternehmen aller Größenordnungen von Cybercrime betroffen und sollten handeln. Am häufigsten treffen digitale Angriffe mit 60 Prozent aber den Mittelstand.
Was geben Sie diesen Mittelständlern besonders mit auf den Weg?
Im Mittelstand bieten viele Unternehmen sehr innovative Produkte an und haben in ihrem Marktsegment international eine starke Stellung. Häufig sind sie als Zulieferer fest in den Lieferketten von Großkonzernen verankert. Sie verfügen aber nicht über die gleichen Mittel zur Abwehr entsprechender Angriffe. Somit können sie als Einfallstor dienen, um an die Geschäftsgeheimnisse der Großkonzerne zu gelangen. Darum ist es gerade für Mittelständler ratsam, neben der allgemeinen Sicherheit auch für die IT-Sicherheit Geld in die Hand zu nehmen und in eine entsprechend sichere IT-Infrastruktur zu investieren.
Hält der „Snowden-Effekt“ denn noch an? Direkt nach den Enthüllungen hat es ja für deutsche IT-Sicherheitsanbieter einen extremen Aufschwung gegeben.
Zweifelsohne ist die Sensibilität für IT-Sicherheit gestiegen, was auch die Studie belegt. Jedes befragte Unternehmen gibt an, im Bereich technische IT-Sicherheit zu handeln, zum Beispiel mit Firewalls oder Virenscannern. Trotzdem sind noch effektivere Maßnahmen notwendig. Nur jeder Zweite verfügt über ein konkretes Notfallmanagement. Es weiß also nur die Hälfte, wie sie im Schadensfall das Ausmaß eindämmen und operativ ohne Einschränkungen weiterarbeiten kann.
Die kritischen Infrastrukturen (Kritis) rücken aufgrund ihrer „Störanfälligkeit“ immer stärker in den Blick der Öffentlichkeit. Wo sehen Sie die größten Gefahren?
Das kommt ganz stark auf die Rahmenbedingungen an, denen sich der Betreiber unterwerfen muss. Von den betroffenen Kritis-Unternehmen identifiziert jedes ünfte organisierte Banden als Täter. Das sind mehr als doppelt so viele wie bei den anderen befragten Unternehmen. Neun Prozent der Betreiber kritischer Infrastrukturen nennen als Täter außerdem ausländische Geheimdienste, in anderen Branchen sind es gerade einmal zwei Prozent. Somit hat die Befragung deutlich gezeigt, dass sich die Bedrohungsszenarien für Kritis-Unternehmen verändern und Cybercrime immer präsenter wird.
Was ist solchen Unternehmen – Energieversorgern oder auch Banken – besonders zu empfehlen?
Wichtig ist ein genau definiertes Notfallmanagement, das im Ernstfall Schlimmeres verhindern kann. Die Maßnahmen reichen vom Erstellen einer Kontaktliste mit den wichtigsten Ansprechpartnern bis hin zu mehrtägigen Übungen, bei denen verschiedene Szenarien durchgespielt werden. Außerdem sollte die personelle Sicherheit innerhalb der Unternehmen ernst genommen werden. In der Praxis zählen dazu zum Beispiel Schulungen, aber auch Sicherheitsüberprüfungen von Mitarbeitern oder Bewerbern. Dazu gehören die Regelung von Zugriffsrechten der Mitarbeiter auf Daten sowie der physischen Zugangsrechte für sensible Bereiche eines Unternehmens.
Schließlich sollte man bedenken, dass die meisten Täter von Cyberattacken aktuelle oder ehemalige Mitarbeiter der Unternehmen sind. Ein weiterer Aspekt sind Sicherheitszertifizierungen. In der Praxis sind sie ein geeignetes Mittel, um höhere Sicherheitsstandards im gesamten Unternehmen zu etablieren. Außerdem ermöglichen sie gerade diesen Unternehmen, das Vertrauen der Bürger in ihre Sicherheit zu stärken.
Nun wird ja in diesen Tagen das IT-Sicherheitsgesetz auf den Weg gebracht, das besonders die Kritis im Blick hat. Demzufolge müssen sich betroffene Unternehmen bei Angriffen sofort bei den Behörden melden. Halten Sie das für realistisch?
Mit dem Gesetz sollen Unternehmen genau dazu verpflichtet werden. Dennoch haben wir, und auch andere Verbände, schon frühzeitig Bedenken geäußert, wenn es darum geht, sich offen bei den Behörden zu melden, schließlich befürchten viele Unternehmen Reputationsschäden. Dies ist bisher übrigens ein Grund, warum sich nur jedes fünfte Unternehmen nach einem Angriff an staatliche Ermittlungsbehörden wendet. Um solche Vorbehalte zu verringern, sind nach aktuellem Gesetzesentwurf grundsätzlich anonymisierte beziehungsweise pseudonymisierte Meldungen möglich.
Wie können Betroffene aber stärker dazu bewegt werden, solche Angriffe zuzugeben?
Wenn den Unternehmen klar wird, warum sie sich melden sollten, erhöht das ihrerseits auch die Bereitschaft, dies tatsächlich zu tun. Es ist wichtig, dass die Behörden von möglichst vielen Fällen erfahren, um sich ein Bild von der jeweiligen Bedrohungslage machen zu können. Solche Erkenntnisse fließen dann in die Ermittlungs- und Präventionsarbeit ein. Diesen Mehrwert der Meldepflicht sollte die staatliche Seite stärker hervorheben. Die Behörden müssen aber auch mehr tun, um das Vertrauen der Unternehmen zu gewinnen und als kompetenter Ansprechpartner zu gelten. Eine Maßnahme ist der schon erwähnte anonymisierte Meldeweg, der so ein Vertrauen schafft.
Wagen Sie einen Blick in die Zukunft. Glauben Sie, dass es mittelfristig eine höhere IT-Sicherheit in Deutschland geben wird? Was wünschen Sie sich von Politik und Wirtschaft?
Die derzeitigen Bemühungen sind der richtige Weg hin zu mehr IT-Sicherheit in Deutschland. Besonders wichtig finde ich die partnerschaftliche Kooperation von Behörden und Wirtschaft, die wir als IT-Dachverband natürlich gerne unterstützen.
Die erhöhte Sensibilisierung muss noch aktiver umgesetzt werden, was natürlich ein längerer Prozess ist. Alle Beteiligten sollten verstehen, dass IT-Sicherheit uns vor immer neue Aufgaben stellt. Kontinuierliche Verbesserungen in den Bereichen der IT- und Unternehmenssicherheit stärken den Wirtschaftsstandort Deutschland nachhaltig.
Annabelle Schott-Lung
Passend zu diesem Artikel
Vom 6. bis 8. März 2024 treffen sich Sicherheitsexperten zur BVSW-Wintertagung am Spitzingsee. Schwerpunkte in diesem Jahr: Geopolitik, Digitalisierung und die UEFA Euro 2024.
Der nun anstehende Frühling ist eine gute Gelegenheit seine Rauchmelder zu reinigen und Brandlasten in Keller und Dachboden zu beseitigen.
Die Kritischen Infrastrukturen in Deutschland zu schützen ist eine zentrale Aufgabe des Staates und der Wirtschaft. Wie ist Deutschland aktuell aufgestellt?