Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Management > Hacker nutzen Lücken aus

Cyberbedrohung für Mittelstand wächst: Was jetzt getan werden muss

Deutsche Unternehmen im Fadenkreuz von Hackern: Jetzt Maßnahmen ergreifen, um die Sicherheit zu erhöhen. Versicherer und Staat verschärfen jetzt die Regeln.

Hacker mit Kaputze vor Bildschirm in abgedunkeltem Raum
Im Schnitt müssen Unternehmen rund zwei Millionen Euro für Lösegeldforderungen der Angreifer aufwenden. Nur dann bekommen die Betroffenen einen Schlüssel, der den Zugang zu den gekaperten Systemen wieder ermöglicht. (Foto: Shutterstock)

Hacker erpressen Lösegeld

Nichts geht mehr. Kein Telefon, keine Mails und schlimmer noch: kein Datenaustausch mit der Produktion, dem Lager oder der Verwaltung. Kein Kontakt zu Kunden und Mitarbeitern, denn Telefone und E-Mails sind tot. So oder so ähnlich erlebt jeden Tag ein Unternehmen einen Angriff auf die eigene IT-Infrastruktur. Das Ziel der Hacker: Geld gegen den erlösenden Schlüssel, der das blockierte System wieder öffnet.

Den jährlichen Schaden schätzt der Digitalverband Bitkom auf 180 Milliarden Euro allein in Deutschland. Besonders betroffen ist der Mittelstand, der von seinen Innovationen und Flexibilität lebt. Ein Cyberangriff kann da schnell existenzgefährdend werden.

Schon kleine Verzögerungen oder Fehler kosten die Zulieferer in der Autoindustrie Tausende von Euro. Ein Produktionsausfall über mehrere Wochen wäre unter diesen Bedingungen fatal. Umso erstaunlicher ist es, dass gerade der Mittelstand das Thema IT-Sicherheit recht stiefmütterlich behandelt. Nach einer Forsa-Erhebung im Auftrag des Gesamtverbandes der Deutschen Versicherer (GDV) erfüllen 69 Prozent der befragten 300 Unternehmen nicht einmal alle Basisanforderungen. Sie bewahren beispielsweise IT-Sicherheitskopien falsch auf oder schützen ihre Systeme nur mit schwachen Passwörtern.

261.000 Schäden durch Hackerangriffe

„Die IT-Bedrohungslage in Deutschland hat sich noch einmal verschärft“, betont GDV-Hauptgeschäftsführer Jörg Asmussen. So seien den Cyberversicherern im Vorjahr rund 4000 Hackerangriffe gemeldet worden – 18,7 Prozent mehr als 2022. Die Zahl der Schäden stieg damit mehr als die der Verträge. Sie legte um 15,7 Prozent auf rund 261.000 zu. Der Schaden ist beträchtlich. So berichtet der Autozulieferer DBK aus Rülzheim in der Pfalz, dass die Produktion erst nach einer Woche wieder hochfahren konnte. Die Namen der Betroffenen gehen quer durch die Branchen. Allein in diesem Sommer hat es unter anderem die

  • die Akademie des TÜV Rheinland
  • die Mittelbadischen Entsorgungs- und Recyclingbetriebe
  • DG Immobilien
  • Eurostrand sowie den
  • Fahrzeugbauer Meiller Kipper

getroffen. „Im Schnitt verursacht so ein Angriff Folgekosten von 2,7 Millionen Euro“, erläutert Michael Veit vom weltweit tätigen Sicherheitsdienstleister Sophos.

 

Versicherung schützt nicht

Im Schnitt müssen die Unternehmen weitere zwei Millionen Euro für Lösegeldforderungen der Angreifer aufwenden. Nur dann bekommen die Betroffenen einen Schlüssel, der den Zugang zu den gekaperten Systemen wieder ermöglicht. Die Verbrecher handeln dabei immer aggressiver. Sie drohen damit, Kontaktdaten weiterzugeben oder Informationen über Familienmitglieder von CEO und Geschäftsinhabern zu veröffentlichen. Finden die Erpresser anhand der gestohlenen Daten heraus, dass das Unternehmen illegal gehandelt hat, drohen sie mit einer Meldung bei den Behörden. „Inzwischen findet noch eine zweite oder dritte Erpressung statt. Beispielsweise bei Lieferanten oder Kunden“, erläutert Sicherheitsexperte Veit. Auch hier drohen die Verbrecher damit, die gekaperten Daten zu veröffentlichen. Das bringt das angegriffene Unternehmen zusätzlich in Erklärungsnot. Und kann bedeuten, dass Geschäftspartner abspringen.

Wer zahlt, kann zwar den Betrieb wieder zum Laufen bringen. Doch was ist mit den gekaperten Daten und dem beschädigten Ruf? Die Gegner sitzen überwiegend in Osteuropa und China. „Aber auch Nordkorea steht im Verdacht, mit Cyberangriffen die Staatskasse zu füllen“, erläutert Veit.

Leider würden es die Unternehmen den Gangstern immer noch zu leicht machen. „Die agieren auf einer üppigen Obstwiese. Sie müssen sich nur hinlegen und warten, bis ihnen die reifen Früchte in den Mund fallen“, sagt Veit. Dabei handeln die Gruppen sehr arbeitsteilig. So gibt es Organisationen, die Systeme knacken, andere, die Daten auswerten und wieder welche, die Zahlungsströme verschleiern. Jeder bietet seine Spezialisierung im Darknet, dem dunklen Teil des Internets, an. Die Sicherheitsexperten sprechen deshalb von „crime as a service“.

Mit dem Prinzip „Mut zur Lücke“ gehen viele Mittelständler ein fatales Risiko ein


Die Versicherer reagieren inzwischen mit deutlichen Drohungen: „Wenn elementarste Sicherheitsstandards nicht erfüllt sind, wird es auch mit dem Versicherungsschutz schwer“, sagt Asmussen und legt nach. „Angesichts der wachsenden Gefahrenlage bestehen die Versicherer bei Neuabschlüssen auf wirksame Schutzmaßnahmen. Cyber-Prävention darf kein Lippenbekenntnis sein.“ Der GDV-Geschäftsführer appelliert deshalb an die kleinen und mittleren Firmen, mehr für die Prävention zu tun. „Ohne funktionierende IT geht in den meisten Unternehmen mittlerweile nichts mehr. Entsprechend ihrer Bedeutung sollten auch die IT-Systeme geschützt werden“, sagt Asmussen. Cyberversicherungen seien ein Sicherheitsnetz für den Ernstfall, ersetzten aber nicht einen starken Schutzschild.

Der Schutz erweist sich in der Praxis ohnehin als unzureichend, wie eine Studie von Sophos ergeben hat. Nach einer weltweiten Befragung von 5000 Führungskräften der IT und Cybersicherheit übersteigen die Wiederherstellungskosten nach einer Attacke die Versicherungsabdeckung. Nur bei einem Prozent der Betroffenen trug die Assekuranz alle Kosten, die bei der Behebung des Cyberangriffs entstanden sind.

Die Experten sind sich einig: Mit dem Prinzip „Mut zur Lücke“ gehen viele Mittelständler ein fatales Risiko ein. „Es ist nicht die Frage, ob, sondern wann der Angriff erfolgt“, sagt Veit. Das kann man bei Bitkom mit Daten unterstreichen. In den vergangenen zwölf Monaten waren demnach 81 Prozent aller Unternehmen vom Diebstahl von Daten und IT-Geräten sowie von digitaler und analoger Industriespionage oder Sabotage betroffen. Weitere zehn Prozent vermuten dies. Im vergangenen Jahr lagen die Werte noch bei 72 und acht Prozent. „Die Bedrohungslage für die deutsche Wirtschaft verschärft sich. Die Unternehmen müssen ihre Schutzmaßnahmen weiter hochfahren“, mahnt Bitkom-Präsident Ralf Wintergerst.

In vielen Fällen stehen die Angreifer vor weit geöffneten Toren. So spielen viele Unternehmen Sicherheitsupdates nur unzureichend ein. Viele Systeme sind ohne mehrfache Prüfung zugänglich und oft auch unnötig miteinander vernetzt. Sind die Angreifer einmal drin, können sie sich also von der Verwaltung über Produktion bis hin zur Entwicklung aus einem reichen Datenschatz bedienen. Mittelständler sind allerdings schnell mit der Aufgabe überfordert, ihre Daten und Systeme abzusichern. „Will ein Unternehmen das selbst übernehmen, muss mit Kosten von mindestens drei Millionen Euro jährlich gerechnet werden“, erläutert Sicherheitsexperte Veit. „Für Unternehmen unter 10.000 Beschäftigten macht so ein Alleingang eigentlich keinen Sinn.“  Die Zusammenarbeit mit einem Dienstleister wie Sophos kostet beispielsweise Unternehmen mit 100 bis 200 Nutzern hingegen jedes Jahr oft nur einen fünfstelligen Betrag.
 

Überwachung rund um die Uhr

Solche Dienstleister spinnen ein dichtes Überwachungsnetz, das rund um die Uhr aktiv ist. Das Unternehmen mit Sitz in Oxford beschäftigt weltweit 4000 Mitarbeiter, die im vergangenen Jahr 1,1 Milliarden Euro umsetzten. Die Spezialisten versuchen dabei, frühzeitig zu erkennen, ob Unbefugte sich Zugang zum IT-System verschaffen wollen.

Beim Pfälzer Zulieferer DBK war es der Rechner eines Mitarbeiters, der unbeabsichtigt eine Schadsoftware geladen hat. Werden solche Angriffe früh entdeckt, kann das infizierte Gerät isoliert werden. So bleibt das restliche Unternehmen geschützt. „Wir arbeiten rund um die Uhr nach dem Prinzip ‚follow the sun‘“, erklärt Veit. Das bedeutet, dass Mitarbeiter in Europa, Asien und Amerika die Überwachungsaufgabe weitergeben, um so eine lückenlose Überwachung sicherzustellen.

„Viele Angriffe erfolgen nach der regulären Bürozeit. Da fallen Veränderungen nicht gleich auf“, berichtet Veit. Neben den geschulten Mitarbeitern kommen auch KI-Systeme zum Einsatz. Sie sollen ebenfalls Anomalien erkennen und Angriffe schon bei der ersten Vorbereitungsphase erkennen.

„IT-Sicherheit muss überall Aufgabe der Unternehmensführung sein. Zugleich müssen wir den Austausch zwischen Wirtschaft und staatlichen Behörden ausbauen, um Schutzmaßnahmen und Strafverfolgung zu koordinieren“, mahnt Bitkom-Präsident Wintergerst. Die Behörden seien aber selten proaktiv, schränkt Veit ein. Dafür sei die Zahl der kriminellen Aktivitäten einfach zu groß. Zudem sei es schwierig, Organisationen in Ländern der ehemaligen Sowjetunion oder China zu verfolgen. So führt die Spur der Angreifer des Zulieferers DBK in den Raum St. Petersburg. Die Chance, dass das Lösegeld von der Polizei wiederbeschafft wird, ist minimal. „Das Geld ist in der Regel weg“, erklärt Veit.

Neben Lösegeld ist auch der Wissensschatz der Unternehmen begehrt. Deutschland ist beispielsweise für den Maschinenbau immer noch Forschungs- und Entwicklungsstandort Nummer eins weltweit. So sind staatliche Hacker aus Russland oder China aktiv dabei, die Geheimnisse der deutschen Unternehmen zu rauben. Die abzuwehren ist besonders herausfordernd. „Die scheuen im Gegensatz zur organisierten Kriminalität keine Kosten und Mühen“, sagt Veit. Dabei sind die Grenzen fließend.

„Die Verzahnung von Cyberspionage und Cybercrime hat weiter zugenommen“, stellt Sinan Selen, Vizepräsident des Bundesamts für Verfassungsschutz, fest. Die Angreifer wollten durch passgenaues Social Engineering die Tür für klassische Spionageaktivitäten öffnen. Gleichzeitig nehme die Bedrohung durch digitale und physische Sabotage zu. „Sorge bereitet uns der starke Anstieg analoger Angriffe, darunter Sabotage von Betriebsabläufen und Anlagen“, sagt Selen. Er mahnt, die Sicherheit von Lieferketten zu berücksichtigen. „Hier sehen wir erheblichen Nachbesserungsbedarf.“

Wie die Versicherungen handelt deshalb auch die Bundesregierung und verschärft das IT-Sicherheitsrecht. „Künftig werden rund 29.500 Unternehmen zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein“, sagt Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI). „Sie gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland. Daher wird das BSI sie dabei bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten.“ Zu den Anforderungen zählen Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Back-up-Management und Konzepte zum Einsatz von Verschlüsselung. Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen an das BSI wird durch ein dreistufiges Meldesystem abgelöst. Vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht, der binnen eines Monats zu übermitteln ist. Das kostet zusätzlich zu Lösegeld und Schadensbeseitigung noch einmal. Besserer Schutz kann davor bewahren.

Ähnliche Artikel