"Alle DAX-30-Unternehmen sind infiziert"

Der "Cyberkrieg" ist noch eine eher abstrakte Bedrohung - finanziell motivierte Angriffe auf Unternehmen, die aber ähnlichen Angriffsmustern wie den bereits beschriebenen folgen, sind um einiges konkreter. Über ihr Ausmaß und den finanziellen Schaden, den sie heute bereits verursachen, gibt es ziemlich verlässliche Erfahrungswerte. Gerald Hahn, CEO der Münchner Softshell AG, einem Spezialdistributor für Cloud-Services, ist sich sicher, dass die Rechner von "100 Prozent der DAX-30-Unternehmen auf Vorstandsebene infiziert sind." Dank der internen Auskünfte von Datenforensikern der Softshell-Partnerunternehmen, die mit Wiederherstellungsarbeiten in diesen Konzernabteilungen beauftragt worden seien, ließen sich diese Zahlen ziemlich genau ermitteln.

Bestätigt werden Hahns Angaben von Michael Heuer, Vice President von Akamai Technologies, das viele Konzerne bei der Trafficanalyse im Web unterstützt. "Wir helfen den DAX30-Unternehmen auch dabei, zeitnah Ersatz-Websites bereitzustellen, wenn Server durch Großangriffe zeitweise nicht mehr erreichbar sind", so Heuer gegenüber der COMPUTERWOCHE. Weil dadurch Webservices fast ununterbrochen zur Verfügung stünden, gelange eine Vielzahl von Attacken auf die großen Unternehmen nur selten in die öffentliche Wahrnehmung.

Aber auch die Netze vieler kleinerer Unternehmen mit geringen IT-Sicherheitsbudgets, geraten ins Blickfeld von Datendieben. Gerade deutsche Mittelständler seien laut Hahn stark gefährdet - viel mehr als amerikanische: "Die amerikanischen Unternehmen merken es, wenn sie angegriffen werden - die deutschen nicht", wirft Hahn vielen seiner Berufskollegen "Ignoranz und Rückständigkeit" beim Thema IT-Sicherheit vor. "Entscheidend ist nicht die Organisationsgröße, sondern der Wert der gestohlenen Daten auf dem Schwarzmarkt", schreibt der Bochumer Softwarehersteller G Data in seinem Security-Report "Trends 2012". Der "Symantec Cybercrime Report 2011" beziffert den Schaden, den deutsche Unternehmen pro Jahr durch Cyberkriminalität erleiden, auf satte 24,3 Milliarden Euro.

Steinzeitliche Abwehr

Doch selbst diese horrenden Beträge scheinen viele Unternehmen nicht wachzurütteln. "Wir müssen feststellen, dass seit Stuxnet in Sachen IT-Sicherheit nicht viel passiert ist", erklärt Andreas Stein, Managing Director bei Dell Services in Frankfurt am Main. Noch immer beschränke sich die IT weitgehend darauf, auf Attacken zu reagieren und überlasse den Angreifern das Gesetz des Handelns. Professionell geplanten und geführten Angriffen werde noch immer "mit Verfahren aus der Anfangszeit des Web begegnet."

Die Folgen könnten verheerend sein: "Quartal für Quartal scheint bei Ihnen alles in Ordnung zu sein, Datendiebstahl findet augenscheinlich nicht statt. Jahrelang geschieht nichts - bis eines Tages aus dem Nichts in einem anderen Teil der Welt ein bis dato eher unbedeutendes Unternehmen langsam zum Marktführer in Ihrem Geschäftsbereich wird - subventioniert von den Investitionsgeldern, die sie über Jahre in Ihre Forschungs- und Entwicklungsabteilung gesteckt haben." Dieses düstere Szenario zeichnet Tim McKnight, Chief Information Security Officer beim 2011 selbst attackierten Security-Dienstleister Northrop Grumman.