"Unternehmen müssen viel mehr für ihre digitale Sicherheit tun", sagte Bitkom-Präsident Achim Berg und verwies im gleichen Atemzug auf eine aktuelle Studie, für die über 1000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen befragt wurden. Demzufolge sind mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) in den vergangenen beiden Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Den dadurch entstandenen Schaden beziffern die Experten auf rund 55 Milliarden Euro pro Jahr.
Foto: Bitkom
"Die Studie zeigt, dass die Gefahr für Unternehmen aller Branchen und jeder Größe real ist", konstatierte Berg. Jeder könne Opfer von Spionage, Sabotage oder Datendiebstahl werden. Obwohl Security-Experten bereits seit Jahren vor steigenden Sicherheitsrisiken und Gefahren im Cyber-Raum warnen und mehr Anstrengungen für IT-Sicherheit anmahnen, hat sich die Situation keineswegs entschärft. Verglichen mit einer ersten Studie vor zwei Jahren ist der Anteil der Betroffenen gestiegen, von 51 auf 53 Prozent. Der von den Cyber-Kriminellen angerichtete Schaden ist sogar um rund acht Prozent von 51 auf 55 Milliarden Euro jährlich angewachsen.
Foto: Bitkom
"Unglaubliche Schadensbilanz"
Hans-Georg Maaßen, Präsident des Bundesamts für Verfassungsschutz (BfV) sprach mit Blick auf diese Zahlen von einer unglaublichen Schadensbilanz. Die Summe komme fast an den gesamten Staatshaushalt des Freistaats Bayern mit 58 Milliarden Euro heran. In Zeiten von Digitalisierung und Industrie 4.0 müsse man besonderes Augenmerk auf die Abwehr von Spionageangriffen auf die deutsche Wirtschaft richten, mahnte Maaßen. "Im Sinne eines ganzheitlichen und nachhaltigen Wirtschaftsschutzes gehören dazu nicht allein IT-bezogene Maßnahmen, sondern risikominimierende Pläne in den Bereichen Organisation, Personal und Sensibilisierung." Wichtig sei darüber hinaus auch die intensive Zusammenarbeit zwischen Wirtschaft und Behörden sowie den Behörden untereinander.
Foto: Bitkom
Foto: Bitkom
Noch scheint jedoch vieles Theorie. Nach wie vor fallen viele Unternehmen immer raffinierter werdenden Hackerangriffen zum Opfer. Dabei ist das Beuteschema der Angreifer breit gefächert. In jedem sechsten Unternehmen (17 Prozent) wurden der Bitkom-Studie zufolge in den vergangenen zwei Jahren sensible digitale Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails (41 Prozent) oder Finanzdaten (36 Prozent) seien dabei häufig in die Hände der Angreifer gefallen. In 17 Prozent der Fälle von Datendiebstahl wurden Kundendaten entwendet, in elf Prozent Patente oder Informationen aus Forschung und Entwicklung, in zehn Prozent Mitarbeiterdaten.
Viele wissen gar nicht, ob sie betroffen sind
Foto: Bitkom
Neben den Daten haben es die Cyber-Gangster auch auf die harte Ware der Firmen abgesehen. Knapp einem Drittel aller Unternehmen (30 Prozent) wurden in den vergangenen beiden Jahren IT- oder Telekommunikationsgeräte wie Notebooks und Smartphones gestohlen. Allerdings ist dabei in der Regel unklar, ob die Täter die Geräte selbst oder die darauf gespeicherten Daten im Visier hatten. Rund jedes fünfte Unternehmen berichtete, Opfer von Social Engineering geworden zu sein. Dabei versuchen die Angreifer Mitarbeiter zu manipulieren, um an sensible Informationen wie Passwörter oder Zugangskennungen zu kommen, mit deren Hilfe dann im nächsten Schritt zum Beispiel Schadsoftware auf die Firmenrechner eingeschleust werden kann.
Jedes achte Unternehmen (12 Prozent) wurde Opfer von digitaler Sabotage, durch die beispielsweise die Produktion gestört wurde. Auffällig ist an dieser Stelle die potenziell hohe Dunkelziffer: So gaben weitere 29 Prozent der Befragten an, vermutlich von digitaler Sabotage betroffen gewesen zu sein. Diese Zahl macht deutlich, wie anfällig offenbar Produktionsanlagen hierzulande gegen Cyber-Attacken sind und wie unsicher die Verantwortlichen hinsichtlich des das daraus resultierenden Gefahren- und Risikopotenzials sind.
Kommissar Zufall
Foto: Bitkom
Dass im Aufbau funktionierender IT-Security-Strukturen in deutschen Unternehmen noch vieles im Argen liegt, zeigt auch die Art und Weise, wie die Unternehmen auf Datendiebstahl und Sabotage aufmerksam werden. Drei von zehn betroffenen Unternehmen gaben an, nur zufällig auf entsprechende Vorfälle gestoßen zu sein. 37 Prozent der Befragten erklärten, interne Einzelpersonen hätten die entscheidenden Hinweise zur Aufdeckung gegeben und je 28 Prozent sagten, die eigene interne Revision bezeihungsweise unternehmensexterne Personen hätten Alarm geschlagen.
IT-Sicherheitstechnik selbst scheint bei der Erkennung keine Rolle zu spielen. Lediglich ein Prozent der befragten Unternehmen gaben an, durch eigene Sicherheitssysteme, den Virenscanner beziehungsweise die Firewall auf sicherheitsrelevante Vorgänge aufmerksam geworden zu sein. Ob die Technik selbst versagt oder falsch eingesetzt wird, lässt sich an dieser Stelle allerdings nicht genau sagen.
Sicherheitsrisiko Nummer 1 - die eigenen Mitarbeiter
Die eigenen Mitarbeiter helfen, IT-Sicherheitsvorfälle aufzuklären, sind aber am häufigsten auch die Täter. 62 Prozent der Unternehmen, die in den vergangenen zwei Jahren Opfer von Spionage, Sabotage oder Datendiebstahl wurden, haben die Täter im Kreis aktueller und ehemaliger Mitarbeiter identifiziert. Gut vier von zehn betroffenen Unternehmen (41 Prozent) machen Wettbewerber, Kunden, Lieferanten oder Dienstleister für die Angriffe verantwortlich, 21 Prozent Hobby-Hacker und sieben Prozent Personen aus der organisierten Kriminalität. Ausländische Nachrichtendienste wurden in drei Prozent der Unternehmen als Täter identifiziert. Sieben Prozent der Unternehmen gaben an, dass die Täter unbekannt waren.
Welche Gefahren deutschen Unternehmen durch die Aktivitäten US-amerikanischer Geheimdienste drohen, lesen Sie in unserer dreiteiligen Serie:
NSA-Report Teil 1: Wikileaks und die Folgen für die IT-Sicherheit in Deutschland
NSA-Report Teil 2: Wie die NSA zentrale IT-Systeme angreift – und wie Sie sich schützen!
NSA-Report Teil 3: Deutschland auf Cyber-Angriffe schlecht vorbereitet
Foto: Bitkom
Ein gutes Drittel der von Angriffen betroffenen Unternehmen (37 Prozent) berichtete, dass die Täter aus Deutschland kamen. Der Großteil der Angriffe wird jedoch aus dem Ausland gesteuert: 23 Prozent der Unternehmen identifizierten die Täter in Osteuropa, 20 Prozent in China und 18 Prozent in Russland. Danach folgen die USA (15 Prozent), westeuropäische Länder (12 Prozent) und Japan (sieben Prozent).
Foto: Bitkom
Behörden bleiben außen vor
Foto: Bitkom
Bemerken die Unternehmen, dass Cyber-Kriminelle in die eigene IT-Infrastruktur eingedrungen sind, werden diese Fälle untersucht - das zumindest ist eine gute Nachricht. Lediglich drei Prozent der Unternehmen räumten ein, entsprechenden Sicherheitsvorfälle auf sich beruhen zu lassen und keinerlei weitere Untersuchungen anzustoßen. Vor zwei Jahre reagierte noch jedes zehnte Unternehmen mit einer solchen Vogel-Strauß-Politik. 46 Prozent der Unternehmen leiten eine interne Untersuchung ein, externe Spezialisten wurden von 34 Prozent hinzugezogen.
Foto: Bitkom
Als kritisch wird von Experten allerdings die häufig gewählte Strategie beurteilt, keine Behörden einzuschalten. Nicht einmal jedes dritte betroffene Unternehmen (31 Prozent) wendet sich laut der Bitkom-Umfrage an Behörden und bittet um Unterstützung bei der Aufklärung. Hauptgrund dafür, sich nicht an die Behörden zu wenden, ist die Angst vor Imageschäden, hat die Studie ergeben. Das gaben 41 Prozent der Unternehmen an, die auf das Einschalten staatlicher Stellen verzichtet haben. Jeweils gut jedes dritte Unternehmen erklärte, man habe auf eine entsprechende Information verzichtet, weil man Angst vor negativen Konsequenzen habe (35 Prozent), weil die Täter ohnehin nicht gefasst würden (34 Prozent) oder weil der Aufwand zu hoch sei (29 Prozent).
"Nur wenn Unternehmen Angriffe melden, können die Sicherheitsbehörden ein realitätsnahes Lagebild erstellen und Abwehrstrategien entwickeln", kritisierte Verfassungsschutz-Chef Maaßen dieses Vorgehen. "Es gilt der Grundsatz 'Need to share', wenn wir gemeinsam die deutsche Volkswirtschaft widerstandsfähiger gegen Wirtschaftsspionage machen wollen."
Nachholbedarf auf dem Gebiet der Cyber-Sicherheit
Angesichts der der Studienergebnisse appellierten Vertreter des Bundesamt für Sicherheit in der Informationstechnik (BSI) an deutsche Unternehmer, Informationssicherheit mit höchster Priorität zu behandeln und mit den staatlichen Behörden zusammenzuarbeiten. "Die hohe Zahl der betroffenen Unternehmen zeigt deutlich, dass wir auf dem Gebiet der Cyber-Sicherheit in Deutschland noch Nachholbedarf haben", warnte BSI-Präsident Arne Schönbohm. Zwar seien die großen Konzerne und insbesondere die Betreiber kritischer Infrastrukturen wie Stromversorger oder Wasserwerke in aller Regel gut aufgestellt, viele kleine und mittlere Unternehmen aber würden die Bedrohungen nicht ernst genug nehmen. "Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung", so Schönbohm. "Deshalb muss IT-Sicherheit Chefsache sein!"
Foto: BSI
Um ihre Appelle zu untermauern, verweisen die BSI-Verantwortlichen auf aktuelle Beispiele, die das Schadenspotential durch Cyber-Angriffe für die Wirtschaft aufzeigen würden. So hätten mit "WannaCry" und "NotPeya" in jüngster Vergangenheit zwei breit angelegte Cyber-Attacken erheblichen volkswirtschaftlichen Schaden angerichtet. In etlichen Unternehmen sei es zu massiven und langanhaltenden Einschränkungen der Produktion oder geschäftskritischer Prozesse gekommen. Die Behörde forderte daher alle betroffenen Unternehmen dazu auf, schwerwiegende IT-Sicherheitsvorfälle – gegebenenfalls auch anonym – zu melden, und bietet mit dem Nationalen IT-Lagezentrum sowie der Allianz für Cyber-Sicherheit auch Anlaufstellen für betroffene Unternehmen.
Hier finden alle Informationen zur jüngsten Ransomware-Welle:
Ransomware erkennen, entfernen & vermeiden: "WannaCry" FAQ
WannaCry Ransomware: Fünf Empfehlungen für WannaCry-Opfer
Mit unserem Seminar gegen Ransomware & mehr: Petya plattmachen - Security stärken
Schutz vor Petya Die Ransomware-Welle rollt
WanaCry und Co.: Rechtliche Verpflichtungen nach einem Cyber-Security-Vorfall
Es fehlen die nötigen Security-Spezialisten
Foto: VDE
Das ist bitter nötig, denn auf Seiten der Unternehmen scheint es derzeit schwierig zu sein, der Sercurity-Herausforderungen Herr zu werden. So schlägt der VDE (Verband der Elektrotechnik Elektronik Informationstechnik e. V.) Alarm, gerade 13 Prozent der hiesigen Unternehmen sähen sich in Sachen IT-Sicherheit gut gerüstet. Gerade mit der zunehmenden Digitalisierung würden die Probleme in Zukunft noch zunehmen. Für 88 Prozent der VDE-Mitgliedsunternehmen sei die IT-Sicherheit zwar wesentliche Voraussetzung für die Digitalisierung, hieß es. "Die Crux ist jedoch, dass viele Unternehmen nicht ausreichend IT-Spezialisten finden, die zum einen die Digitalisierung intern vorantreiben und zum anderen die Organisation vor externen Angriffen schützen", erklärte VDE-Chef Ansgar Hinz.
Die VDE-Unternehmen fürchten Hinz zufolge vor allem eines: Den massiven Angriff auf ihre wertvollsten Divisionen Forschung und Entwicklung, IT und Produktion. Die Folgen wären in ihrem Umfang kaum absehbar: System- und Produktionsausfälle, Fehlfunktionen mit Folgen für Leib und Leben sowie Industriespionage. 71 Prozent der Unternehmen mit mehr als 5000 Mitarbeitern hätten dem Technologieverband zufolge bereits zugegeben, Opfer von Cyber-Angriffen geworden zu sein, doch die Dunkelziffer dürfte weitaus höher sein. Lediglich zehn Prozent seien der Meinung, dass Deutschland im internationalen Vergleich bei IT-Sicherheit eine führende Rolle spiele.
Sicherheit braucht eine Kultur der Offenheit
"Wir brauchen eine Kultur der Offenheit", forderte deshalb Hinz. Nur gemeinsam könne man den Hackern und Cyber-Kriminellen Paroli bieten. Vor allem der deutsche Wirtschaftsmotor Mittelstand müsse jedoch in Cyber Security investieren. "Wir wissen, dass viele kleinere Unternehmen nicht über die Ressourcen für eigene Computer Emergency Response Teams (CERTs) verfügen", konstatierte der VDE-Chef. Mit CERT@VDE hat der Technologieverband deshalb eine Plattform zur Koordination von IT-Security-Problemen im Bereich Industrieautomation ins Leben gerufen. "Auf ausdrücklichen Wunsch des Mittelstands", betonte Hinz. Auf einer anonymen Plattform könnten sich jetzt die Unternehmen vertrauensvoll austauschen. Der VDE unterstütze sie flankierend im Rahmen eines nichtkommerziellen CERT bei der Verbesserung ihrer Cyber Security.
Foto: Bitkom
Tatsächlich scheinen neue Wege nötig, um die IT-Sicherheit in deutschen Unternehmen zu verbessern. Laut Bitkom-Umfrage hätten viele Firmen zwar Maßnahmen ergriffen, um sich besser gegen Angreifer zu schützen. Dabei handelt es sich jedoch meist um Klassiker aus dem technischen Basisschutz wie etwa Passwörter auf den Geräten, Firewalls und Virenscanner sowie regelmäßige Backups der Daten an. Anspruchsvollere Maßnahmen seien dagegen eher selten, etwa Intrusion Detection Systeme (20 Prozent) oder Penetrationstests (17 Prozent).
Nullachtfünfzehn funktioniert in Sachen Security nicht
Auch im Bereich der organisatorischen Sicherheit sind zumeist Standardmaßnahmen verbreitet, etwa die Festlegung von Zugriffsrechten für bestimmte Informationen (99 Prozent), die eindeutige Kennzeichnung von Betriebsgeheimnissen (85 Prozent) oder die Festlegung von Zutrittsrechten in bestimmte Unternehmensbereiche (81 Prozent). Dagegen setze jedoch nur eine Minderheit auf Sicherheits-Zertifizierungen (43 Prozent) oder regelmäßige Sicherheits-Audits durch externe Spezialisten (24 Prozent).
Großen Nachholbedarf gibt es laut Bitkom auch im Bereich der personellen Sicherheit. Nur knapp sechs von zehn Unternehmen (58 Prozent) führten Background-Checks bei Bewerbern für sensible Positionen durch, nur jede zweite Organisation habe einen Sicherheitsverantwortlichen benannt (54 Prozent) oder schule Mitarbeiter zu Sicherheitsthemen (53 Prozent). "Wenn man bedenkt, dass Angriffe sehr oft durch aktuelle oder frühere Mitarbeiter erfolgen, so verwundert die Nachlässigkeit bei der Mitarbeiterschulung", konstatierte Bitkom-Präsident Berg. "Hier ließe sich die Sicherheit in den Unternehmen mit vergleichsweise geringem Aufwand und in kurzer Zeit deutlich verbessern."