Nachholbedarf auf dem Gebiet der Cyber-Sicherheit

Angesichts der der Studienergebnisse appellierten Vertreter des Bundesamt für Sicherheit in der Informationstechnik (BSI) an deutsche Unternehmer, Informationssicherheit mit höchster Priorität zu behandeln und mit den staatlichen Behörden zusammenzuarbeiten. "Die hohe Zahl der betroffenen Unternehmen zeigt deutlich, dass wir auf dem Gebiet der Cyber-Sicherheit in Deutschland noch Nachholbedarf haben", warnte BSI-Präsident Arne Schönbohm. Zwar seien die großen Konzerne und insbesondere die Betreiber kritischer Infrastrukturen wie Stromversorger oder Wasserwerke in aller Regel gut aufgestellt, viele kleine und mittlere Unternehmen aber würden die Bedrohungen nicht ernst genug nehmen. "Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung", so Schönbohm. "Deshalb muss IT-Sicherheit Chefsache sein!"

Um ihre Appelle zu untermauern, verweisen die BSI-Verantwortlichen auf aktuelle Beispiele, die das Schadenspotential durch Cyber-Angriffe für die Wirtschaft aufzeigen würden. So hätten mit "WannaCry" und "NotPeya" in jüngster Vergangenheit zwei breit angelegte Cyber-Attacken erheblichen volkswirtschaftlichen Schaden angerichtet. In etlichen Unternehmen sei es zu massiven und langanhaltenden Einschränkungen der Produktion oder geschäftskritischer Prozesse gekommen. Die Behörde forderte daher alle betroffenen Unternehmen dazu auf, schwerwiegende IT-Sicherheitsvorfälle – gegebenenfalls auch anonym – zu melden, und bietet mit dem Nationalen IT-Lagezentrum sowie der Allianz für Cyber-Sicherheit auch Anlaufstellen für betroffene Unternehmen.

Hier finden alle Informationen zur jüngsten Ransomware-Welle:

Ransomware erkennen, entfernen & vermeiden: "WannaCry" FAQ

WannaCry Ransomware: Fünf Empfehlungen für WannaCry-Opfer

Mit unserem Seminar gegen Ransomware & mehr: Petya plattmachen - Security stärken

Schutz vor Petya Die Ransomware-Welle rollt

WanaCry und Co.: Rechtliche Verpflichtungen nach einem Cyber-Security-Vorfall

Es fehlen die nötigen Security-Spezialisten

Das ist bitter nötig, denn auf Seiten der Unternehmen scheint es derzeit schwierig zu sein, der Sercurity-Herausforderungen Herr zu werden. So schlägt der VDE (Verband der Elektrotechnik Elektronik Informationstechnik e. V.) Alarm, gerade 13 Prozent der hiesigen Unternehmen sähen sich in Sachen IT-Sicherheit gut gerüstet. Gerade mit der zunehmenden Digitalisierung würden die Probleme in Zukunft noch zunehmen. Für 88 Prozent der VDE-Mitgliedsunternehmen sei die IT-Sicherheit zwar wesentliche Voraussetzung für die Digitalisierung, hieß es. "Die Crux ist jedoch, dass viele Unternehmen nicht ausreichend IT-Spezialisten finden, die zum einen die Digitalisierung intern vorantreiben und zum anderen die Organisation vor externen Angriffen schützen", erklärte VDE-Chef Ansgar Hinz.

Die VDE-Unternehmen fürchten Hinz zufolge vor allem eines: Den massiven Angriff auf ihre wertvollsten Divisionen Forschung und Entwicklung, IT und Produktion. Die Folgen wären in ihrem Umfang kaum absehbar: System- und Produktionsausfälle, Fehlfunktionen mit Folgen für Leib und Leben sowie Industriespionage. 71 Prozent der Unternehmen mit mehr als 5000 Mitarbeitern hätten dem Technologieverband zufolge bereits zugegeben, Opfer von Cyber-Angriffen geworden zu sein, doch die Dunkelziffer dürfte weitaus höher sein. Lediglich zehn Prozent seien der Meinung, dass Deutschland im internationalen Vergleich bei IT-Sicherheit eine führende Rolle spiele.

Sicherheit braucht eine Kultur der Offenheit

"Wir brauchen eine Kultur der Offenheit", forderte deshalb Hinz. Nur gemeinsam könne man den Hackern und Cyber-Kriminellen Paroli bieten. Vor allem der deutsche Wirtschaftsmotor Mittelstand müsse jedoch in Cyber Security investieren. "Wir wissen, dass viele kleinere Unternehmen nicht über die Ressourcen für eigene Computer Emergency Response Teams (CERTs) verfügen", konstatierte der VDE-Chef. Mit CERT@VDE hat der Technologieverband deshalb eine Plattform zur Koordination von IT-Security-Problemen im Bereich Industrieautomation ins Leben gerufen. "Auf ausdrücklichen Wunsch des Mittelstands", betonte Hinz. Auf einer anonymen Plattform könnten sich jetzt die Unternehmen vertrauensvoll austauschen. Der VDE unterstütze sie flankierend im Rahmen eines nichtkommerziellen CERT bei der Verbesserung ihrer Cyber Security.

Tatsächlich scheinen neue Wege nötig, um die IT-Sicherheit in deutschen Unternehmen zu verbessern. Laut Bitkom-Umfrage hätten viele Firmen zwar Maßnahmen ergriffen, um sich besser gegen Angreifer zu schützen. Dabei handelt es sich jedoch meist um Klassiker aus dem technischen Basisschutz wie etwa Passwörter auf den Geräten, Firewalls und Virenscanner sowie regelmäßige Backups der Daten an. Anspruchsvollere Maßnahmen seien dagegen eher selten, etwa Intrusion Detection Systeme (20 Prozent) oder Penetrationstests (17 Prozent).

Nullachtfünfzehn funktioniert in Sachen Security nicht

Auch im Bereich der organisatorischen Sicherheit sind zumeist Standardmaßnahmen verbreitet, etwa die Festlegung von Zugriffsrechten für bestimmte Informationen (99 Prozent), die eindeutige Kennzeichnung von Betriebsgeheimnissen (85 Prozent) oder die Festlegung von Zutrittsrechten in bestimmte Unternehmensbereiche (81 Prozent). Dagegen setze jedoch nur eine Minderheit auf Sicherheits-Zertifizierungen (43 Prozent) oder regelmäßige Sicherheits-Audits durch externe Spezialisten (24 Prozent).

Großen Nachholbedarf gibt es laut Bitkom auch im Bereich der personellen Sicherheit. Nur knapp sechs von zehn Unternehmen (58 Prozent) führten Background-Checks bei Bewerbern für sensible Positionen durch, nur jede zweite Organisation habe einen Sicherheitsverantwortlichen benannt (54 Prozent) oder schule Mitarbeiter zu Sicherheitsthemen (53 Prozent). "Wenn man bedenkt, dass Angriffe sehr oft durch aktuelle oder frühere Mitarbeiter erfolgen, so verwundert die Nachlässigkeit bei der Mitarbeiterschulung", konstatierte Bitkom-Präsident Berg. "Hier ließe sich die Sicherheit in den Unternehmen mit vergleichsweise geringem Aufwand und in kurzer Zeit deutlich verbessern."