Der deutschen Wirtschaft könnte ein jährlicher Schaden von rund 203 Milliarden Euro durch Cyberangriffe, Sabotage und Diebstahl von IT-Ausrüstung entstehen. Zu dieser Einschätzung kam kürzlich der IT-Branchenverband Bitkom in einer repräsentativen Umfrage von 1000 Unternehmen über verschiedene Branchen hinweg. »Praktisch jedes Unternehmen in Deutschland wird Opfer«, heißt es in der Zusammenfassung, wobei vor allem die digitalen Angriffe zunehmen. Zu einem ähnlichen Fazit kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem jährlichen Lagebericht: Die IT-Sicherheitslage in Deutschland sei »angespannt bis kritisch« – wie bereits in den vergangenen Jahren.

Patrick Felke überrascht das nicht. Er ist Professor für IT-Sicherheit an der Hochschule Emden/Leer und gibt in seiner Rolle auch regelmäßig Seminare für Unternehmen, die ihre IT-Sicherheit verbessern wollen. »Wenn ich in Schulungen in die Runde frage, dann kommt meistens heraus, dass die meisten Unternehmen schon einmal in irgendeiner Art und Weise von Angriffen betroffen waren«, sagt Felke. Das bedeutet nicht gleich, dass ein Betrieb wochenlang stillsteht, weil die Computer nicht mehr laufen, oder dass ein Konzern um Millionen Euro erpresst wird, wenn die Angreifer so genannte Ransomware einsetzen. Ein Cyberangriff beschreibt bereits den Versuch, Schadsoftware in ein System einzuschleusen, um zu schauen, ob es überhaupt etwas zu holen gibt.

An die Öffentlichkeit kommen Angriffe häufig erst dann, wenn sie erfolgreich waren. Wenn etwa die IT ganzer Landkreise lahmgelegt wird, die Satellitensteuerung von Windkraftanlagen gestört ist oder Autozulieferer ihre Produktion pausieren müssen. Doch wie Umfragen und Erfahrungsberichte zeigen, finden viel mehr Angriffe im Hintergrund statt. Und das längst nicht nur auf vermeintlich profitable Ziele wie große Unternehmen, Banken oder Anbieter kritischer Infrastruktur. Da stellt sich die Frage: Ist die deutsche Wirtschaft wirklich so schlecht geschützt? Und falls ja, wie kann man es besser machen?

Cyberangriffe können jeden treffen

»Den Zahlen zum Trotz stehen wir in Deutschland relativ gut dar, aber natürlich gibt es noch viel zu lernen«, sagt Simran Mann, Referentin für Sicherheitspolitik beim Branchenverband Bitkom. »Wir beobachten, dass DAX-Unternehmen inzwischen besser aufgestellt sind in Sachen IT-Sicherheit als noch vor einigen Jahren. Schlechter sieht es dagegen bei kleinen und mittelständischen Unternehmen aus sowie im Gesundheitswesen und bei Universitäten.«

Die Gründe, weshalb es bei der IT-Sicherheit bisweilen immer noch hapert, sind vielfältig. Ein Thema sind sicherlich die Kosten: Gerade Krankenhäuser, Universitäten, Ämter – all jene Institutionen, die auf öffentliche Gelder angewiesen sind –, verfügen häufig nur über ein begrenztes Budget, weshalb an der IT gerne gespart wird, frei nach dem Motto: Es läuft ja. Zumal es sich bei Cyberangriffen um eine latente Gefahr handelt, die erst dann akut wird, wenn es eigentlich schon zu spät ist, sprich wenn die Systeme kompromittiert sind.

»Für meine Investition in IT-Sicherheit bekomme ich nicht sofort ein Ergebnis«Simran Mann, Referentin für Sicherheitspolitik

»Die Kosten-Nutzen-Rechnung von IT-Sicherheit lässt sich schwer veranschaulichen«, sagt Mann. »Denn für meine Investition bekomme ich nicht sofort ein Ergebnis. Wenn ich bislang nicht angegriffen wurde, dann könnte das daran liegen, dass mein System sicher ist. Es könnte aber auch bedeuten, dass einfach noch kein Angriff stattgefunden hat.« Viele Firmen und Institutionen hoffen einfach darauf, dass auch in Zukunft nicht passiert. Das ist eine riskante Entscheidung, denn wenn erst einmal Daten gestohlen wurden oder Systeme und Produktion über einen längeren Zeitraum ausfallen, wird es meistens richtig teuer.

Fehlendes Bewusstsein für die schwelende Gefahr ist somit ein zweiter Grund. »In der Öffentlichkeit dominiert noch immer das Bild aus dem Film, dass die Hacker sich ein bestimmtes Ziel aussuchen und dieses dann angreifen«, sagt Mann. Gerade die Verantwortlichen in kleineren Unternehmen denken häufig, dass sie als Ziel gar nicht erst in Frage kommen. »Es ist eine menschliche Schwäche; man weiß um die theoretischen Gefahren und ignoriert sie trotzdem«, sagt die Bitkom-Expertin. Zwar gebe es gezielte Aktionen, doch der Großteil der Cyberangriffe sei immer noch breit gestreut. So werden Phishing-Mails häufig an tausende und zehntausende Adressen verschickt, vom weltweit agierenden DAX-Konzern hin zum Handwerksbetrieb um die Ecke.

Veraltete Technik macht es Angreifern leichter

Die Täter geht es dabei nicht immer darum, Geschäftsgeheimnisse zu entwenden, Lösegeld für verschlüsselte Daten zu erpressen oder maximalen Schaden anzurichten. Der aktuellen Bitkom-Umfrage zufolge werden bei mehr als zwei Dritteln aller Angriffe vor allem Kommunikationsdaten wie E-Mails oder Kundeninformationen gestohlen. Diese könnten anschließend wieder in großen Datenbanken im Darknet landen, um sie für die nächsten Angriffe zu verwenden. Somit sind auch kleine Onlineshops oder Betriebe, die bloß ein simples Kundenmanagementsystem einsetzen, ein potenzielles Ziel.

Ein dritter Grund für teilweise schlechte IT-Sicherheit in Deutschland liegt in der Technik selbst. »Gerade in der Industrie sind häufig noch Systeme im Einsatz, die sicherheitstechnisch veraltet sind«, sagt IT-Professor Patrick Felke. Dazu gehören Maschinen, die über unsichere Protokolle miteinander verbunden sind; Software, die selten bis gar nicht aktualisiert wird; oder Hardware, die nicht mit modernen Verschlüsselungsverfahren kompatibel ist. »Das Problem ist den Verantwortlichen durchaus bewusst, doch es ist nicht so leicht zu lösen, denn es reicht nicht, einfach nur ein Update aufzuspielen. Die Systeme auf den neusten Stand der Sicherheit zu bringen, benötigt Zeit«, sagt Felke.

»Gerade in der Industrie sind häufig noch Systeme im Einsatz, die sicherheitstechnisch veraltet sind«Patrick Felke, Informatiker

Erschwerend kommt hinzu, dass sich auch die Cyberkriminellen immer weiterentwickeln und ihr Arsenal stetig ausbauen und erneuern. »Da hat sich in den vergangenen 20 Jahren eine richtige Schattenwirtschaft mit professionellen Strukturen entwickelt«, sagt Felke. Auch die Umfrage des Bitkom bestätigt, dass erstmals das organisierte Verbrechen und Banden die Rangliste der Täterkreise anführen. Viele Aktionen lassen sich inzwischen auf spezialisierte Hacking-Gruppen und staatlich unterstützte Akteure zurückführen.

Wobei es oft schwierig sei zu erkennen, wer genau hinter einem Angriff steckt, da viele Gruppierungen die gleichen oder zumindest ähnlichen Tools verwenden, erklärt Simran Mann: »Im Darknet und innerhalb der einzelnen Hacking-Gruppen gibt es eine richtige Arbeitsteilung. Da gibt es Personen, die die Schadsoftware entwickeln, Personen, die diese anbieten, Personen, die die Datenbanken für Phishing-Mails zusammenstellen.« Zudem sei es insgesamt leichter, an die entsprechenden Tools zu gelangen und diese auch ohne größere Programmierkenntnisse zu bedienen, wodurch die Cyberkriminalität zunehmend »fachfremde« Kriminelle anziehe. Auf der anderen Seite des Spektrums wiederum stehen besonders ausgeklügelte Werkzeuge: Zero-Day-Lücken für bestimmte Software, für die es noch keine Gegenmaßnahmen gibt, werden für teils sehr viel Geld gehandelt. Und so genannte Supply-Chain-Angriffe, die über die Software von Dritten eingeschleust werden – wie etwa 2021 im Fall des Unternehmens SolarWinds geschehen –, stellen eine besonders perfide Gefahr dar, da sich Unternehmen nur schwer davor schützen können.

Prävention und Reaktion

Fachleute unterscheiden drei Bereiche für eine gute IT-Security: Prävention, Detektion und Reaktion. Dazu gehören einerseits technische Systeme wie etwa Firewalls, Antivirensoftware und VPN-Server, die Angriffe im besten Fall erkennen und Unbefugten den Zugriff verwehren, aber im erweiterten Sinn auch ein sicheres Update-, Key- und Backup-Management, über das Endgeräte und Netzwerke gesichert sind und stets auf dem aktuellen Stand gehalten werden. Je nach Komplexität der IT-Infrastruktur und Aufbau des Unternehmens sind unterschiedliche Lösungen gefordert, denn natürlich benötigt eine internationale Firma mit tausenden Angestellten andere Schutzmaßnahmen als ein Heizungsbauer, der nur zwei PCs im Büro stehen hat.

Da aber nicht jeder Angriff abgewehrt werden kann, sei es auch wichtig, ein Notfallmanagement vorzubereiten, betont Simran Mann. Wichtig sei es, Fragen beantworten zu können wie: Wie sehe ich, welche Daten vielleicht gestohlen wurden? Wer muss informiert werden? Wie werden Backups schnell wieder eingespielt und Rechner bereinigt? Viele Firmen stellen sich solche Fragen erst, wenn der Ernstfall bereits eingetreten sei, sagt Mann. Dabei könne sich prinzipiell jedes noch so kleine Unternehmen zumindest vor den gängigsten Angriffsversuchen schützen, etwa durch regelmäßige Backups. Die dürfen aber nicht auf dem gleichen System wie der Rest laufen, damit sie bei Angriffen nicht ebenfalls kompromittiert werden. Eine so genannte Netzwerk-Segmentierung kann hier helfen. Wem das technische Knowhow fehlt, könne dafür auf externe Dienstleister zurückgreifen, die das System zuerst auf mögliche Bedrohungsszenarien hin analysieren, es dann entsprechend absichern und regelmäßig überprüfen.

Prävention betrifft jedoch nicht nur technische, sondern auch die menschliche Seite, betonen Fachleute immer wieder. So sind Phishing und Social Engineering – der Versuch, durch gezielte Manipulation der Opfer zum Beispiel an deren Passwörter zu kommen – noch immer zwei der beliebtesten Wege, um sich Zugriff auf fremde Systeme zu verschaffen. Dass Angestellte in einer E-Mail auf einen Phishing-Link oder einen Anhang mit Schadsoftware klicken, ist und bleibt eine Gefahr. Allerdings finde hier langsam ein Umdenken statt, sagen sowohl Simran Mann als auch Patrick Felke: Unternehmen investieren mehr in die Schulung der Mitarbeitenden.

Das Bewusstsein für IT-Sicherheit stärken

Das merkt auch Niklas Hellemann. Der Psychologe ist Gründer und CEO des Kölner Start-ups SoSafe, das Erkenntnisse aus der Verhaltens- und Lernpsychologie einsetzt, um die Angestellten in Firmen zu schulen. »In der Vergangenheit haben Firmen häufig einmal im Jahr eine Cybersecurity-Schulung gemacht oder ihren Angestellten gesagt, sie sollen mal ein Video dazu angucken oder die Passwörter ändern«, sagt Hellemann. Doch genau wie simples Beschallen von Schülerinnen und Schülern einen begrenzten Lerneffekt hat, bleibt auch bei dieser Art von Fortbildung wenig hängen.

SoSafe will die »digitale Selbstverteidigung« stärken, indem das Unternehmen langfristig mit seinen Kunden zusammenarbeitet, um eine nachhaltige Sicherheitskultur in Organisationen aufzubauen. Dafür werden immer wieder simulierte Phishing-Mails verschickt, die auf das jeweilige Unternehmen abgestimmt sind. Die sind natürlich harmlos, aber anhand der Reaktionen kann SoSafe sehen, ob die Zahl der Menschen, die auf die gefälschten Inhalte klicken, im Lauf der Zeit sinkt und ob die Melderate steigt – die Menschen also besser sensibilisiert sind. Dazu gibt es eine Lernplattform mit kurzen Modulen, die mit lern- oder motivationspsychologischen Aspekten arbeiten.

»Die Angriffe werden weitergehen – und sie werden immer ausgefeilter sein«Patrick Felke, Informatiker

»Durch hybrides Arbeiten, durch Kollaboration in der Cloud und durch Kanäle wie Messenger ist die Angriffsfläche für Hacker in den vergangen Jahren noch einmal größer geworden«, sagt Hellemann. Das hätten inzwischen auch viele Firmen erkannt und deshalb mehr in ihre IT-Sicherheit investiert. Dabei sei es wichtig, sich nicht nur auf technische Maßnahmen zu verlassen, sondern die Angestellten zum aktiven Teil der Verteidigung zu machen: »Wenn eine Firma bloß sagt, sie habe in sichere IT investiert, kann das bei den Mitarbeitenden dazu führen, dass sie unvorsichtig werden. Ich habe gehört, dass teilweise Angestellte fremde USB-Sticks von zu Hause mitbringen, um sie auf dem Firmenrechner zu öffnen – denn der sei ja vermeintlich sicher.«

Dass die stärkere Sensibilisierung der Angestellten einen positiven Effekt haben kann, glaubt auch der IT-Professor Patrick Felke: »IT-Sicherheit ist ein kontinuierlicher Prozess, den man sich auf allen Ebenen immer wieder ins Bewusstsein rufen muss.« Sie beginnt und endet nicht in der IT-Abteilung, sondern bei allen Mitarbeitenden. Doch selbst wenn immer mehr Unternehmen das inzwischen erkennen, wird die Lage seiner Ansicht nach angespannt bleiben. »Die Angriffe werden weitergehen – und sie werden immer ausgefeilter sein.«