Die deutsche Wirtschaft wird immer verstärkter ein Angriffsziel für Cyber-Kriminelle. Die Folgen der Attacken können die Existenz hiesiger Unternehmen gefährden. Was jetzt getan werden muss.
Die Digitalisierung der Wirtschaft bietet enorme Chancen und Effizienzgewinne. Unternehmen erleben neue Marktchancen und die Innovationsfähigkeit wird durch einen intensiveren Wettbewerb gesteigert. Doch der rasante Fortschritt birgt auch Risiken– insbesondere durch immer professionellere Cyber-Kriminelle. Deren Attacken können mittlerweile die Existenz von Unternehmen gefährden – egal ob selbstständig, Mittelständler oder Großkonzern. Neun von zehn Unternehmen waren 2020/2021 Opfer von Cyberangriffen. Durch Diebstahl von Daten, Spionage und Sabotage entsteht jährlich ein Gesamtschaden von über 223 Milliarden Euro. Das sind nur zwei aktuelle Zahlen aus unseren Bitkom-Studien, welche die Gefahr der zunehmenden Internetkriminalität untermauern.
Deutsche Unternehmen sind durch ihre Exportorientierung international gut vernetzt. Ihre Produkte gelten als solide und innovativ und stoßen somit auf eine hohe Nachfrage. In vielen Bereichen stellt Deutschland so genannte Hidden Champions, die in ihren Angebotsnischen zur Weltspitze gehören. Dies schafft auch Begehrlichkeiten bei Konkurrenten oder politischen und gesellschaftlichen Widersachern. Eine 2021 erhobene Studie des Bitkom, bei der über 1.000 Unternehmen repräsentativ für die gesamte deutsche Wirtschaft befragt wurden, besagt, dass über 88 Prozent der Unternehmen in den vergangenen 12 Monaten von Spionage, Sabotage oder Diebstahl betroffen waren. Die Tendenz ist seit vielen Jahren steigend. Die Angreifer kommen meist aus Osteuropa, Russland oder Ostasien.
Die Akteure haben es zum einen auf sensible IT-Daten und Informationen sowie die Störung von Betriebsabläufen abgesehen. Andererseits gehen sie auch noch analog vor, um IT-Geräte und Unterlagen zu stehlen. Solche Angriffe können Selbstständige und Mittelständler genauso treffen wie Konzerne. Die Vielzahl an potenziellen Einfallstoren stellt die Unternehmen vor große Herausforderungen, insbesondere im Cyberbereich. Kein Unternehmen und keine Behörde ist in der heutigen Zeit vor Cyberangriffen sicher. Ein Unternehmen kann bei einem Cyberangriff glimpflich davonkommen, wenn Rechner nur für ein paar Stunden ausfallen. Doch wenn Daten ausgeleitet, Patente gestohlen oder Kundendaten illegal ausgenutzt werden, können nicht nur hohe Schadenssummen entstehen. Das eigene Unternehmen kann nach Jahrzehnten plötzlich ganz auf dem Spiel stehen – egal, wie erfolgreich es zuvor war. Nicht nur der unmittelbare Stopp des Betriebs ist dabei existenzgefährdend. Cyberangriffe können Innovationsverluste nach sich ziehen, die Reputation dauerhaft schädigen und bei Datenausleitungen auch ein juristisches Nachspiel bedeuten. Unternehmen sollten daher verstärkt in ihre Cybersicherheit investieren.
Die Realität sieht jedoch, trotz steigender Ausgaben in diesem Bereich, anders aus. Die Unternehmen setzen durchschnittlich sieben Prozent ihrer IT-Mittel für die IT-Sicherheit ein. In Übereinstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik empfiehlt Bitkom jedoch, 15 bis 20 Prozent des IT-Budgets in Cybersicherheit zu investieren. Die Differenz erklärt sich aus einem Trugschluss, dem Unternehmen oftmals erliegen: Dass Ausgaben in die IT-Sicherheit keinen unmittelbar sichtbaren Nutzen haben. Hinzu kommt die Vorstellung, dass das eigene Unternehmen nicht wichtig oder bekannt genug sei, um zum Ziel zu werden. Kommt es nicht zu einem Angriff, dann werden wichtige Ausgaben eventuell wieder zurückgefahren. Das ist ein strategischer Fehler, denn genau diese Investitionen können überlebenswichtig sein.
Längst sind die Angreifer keine Amateure, die zum Spaß ein Netzwerk hacken. Sie agieren sehr strukturiert und bieten ihr Können wie eine Art Dienstleister über das Darknet an. Ihr Vorgehen ist für Laien oft nicht zu durchschauen oder liegt außerhalb der Vorstellungskraft. Es gibt inzwischen Millionen von Ransomware-Varianten – sie heißen etwa Ryuk Dreamon, Ragnar Locker, Crysis, RansomEXX, Clop, Netwalker, WastedLocker, Egregor, Netwalker, Nefilim, CryptoMix, Sodinokibi, SymmyWare und DoppelPaymer. Allein die Schwachstelle Log4Shell, deren Ausmaß erst in den kommenden Wochen und Monaten feststehen wird, zeigt die Aktualität des Themas. Es ist auch in Zukunft damit zu rechnen, dass uns schwere Wellen von Ransomware-Angriffen bevorstehen. Denn täglich kommen mehr als 11.500 neue Schadprogramme auf den Markt.
Durch Phishing-Attacken via Mail, sollen Mitarbeitende zur Preisgabe von Zugangsdaten oder zur Öffnung von Schaddokumenten verleitet werden – zum Beispiel mit täuschend echtem Schriftverkehr, versandt von einer ähnlichen Mailadresse wie jener der Führungskraft, welche die Buchhaltung um Überweisung einer Zahlung bittet. Durch das so genannte Vishing („Voice Phishing“), einem Trickbetrug via Telefon, sollen Menschen sensible Daten übermitteln oder physische Überlassungen von Wertgegenständen einleiten. Durch das Smishing („SMS Phishing“) suchen Kriminelle Zugang über Mobiltelefone. Da Menschen auf ihren Smartphones Nachrichten häufig nur oberflächlich lesen, bieten Nachlässigkeiten zusätzliche Angriffspunkte. Schlussendlich steigt auch die Gefahr vor Angriffen mit sogenannten Deep Fakes. Mit Hilfe von Künstlicher Intelligenz lassen sich Videos, Bilder oder Profile täuschend echt darstellen. Für Personalabteilungen, die bei der Kandidatensuche häufig in Sozialen Medien unterwegs sind, droht hier Gefahr: Gefakte Profile, inklusive einer durch die KI gesteuerten Interaktion und anschließendem Bewerbungsschreiben, bieten ein mögliches Einfallstor für Schadsoftware.
Der „Faktor Mensch“ gilt gemeinhin als vermeintlich schwächstes Glied der Sicherheitskette. 41 Prozent der Unternehmen geben an, dass es im letzten Jahr entsprechende Angriffsversuche per Social Engineering gab.
Sollte es den Angreifern gelingen ein System zu kompromittieren, so müssen Mitarbeitende verstehen, dass Sie Opfer und nicht Täterin oder Täter sind. Dies setzt eine Fehlerkultur mit Toleranz und Problembewusstsein voraus. Betroffene sollten daher unterstützt und positiv gestärkt werden. Andernfalls melden Mitarbeitende entsprechende Vorfälle zu spät oder auch gar nicht, was den Schaden erhöht. 59 Prozent der Unternehmen geben zudem an, dass IT-Sicherheitsvorfälle im Zusammenhang mit der Tätigkeit im Homeoffice stehen. Die Endgeräte müssen daher gesichert, die Kommunikationskanäle zum Unternehmen geschützt und die Belegschaft für Gefahren sensibilisiert werden.
Unternehmen müssen Cybersicherheit als Qualitätsmerkmal begreifen und nicht als lästige Kostenposition. Ein zentrales Problem ist dabei, dass Cybersicherheit noch immer rein technisch und als Aufgabe der IT-Abteilung verstanden wird. Es ist jedoch Aufgabe der gesamten Belegschaft am Schutz mitzuwirken. Sind IT-Geräte erst einmal infiziert zählt jede Sekunde, gerade um einen großflächigen Schaden durch Ransomware abzuwenden. Allein in den ersten drei Sekunden eines Angriffs kann sich eine Ransomware ausbreiten und Zugriff auf ungesicherte Systeme nehmen. Herkömmliche Technologie benötigt jedoch durchschnittlich rund eine Minute, um die Malware zu erkennen.
Dabei muss der Schaden nicht unmittelbar ersichtlich sein. Ransomware kann lange inaktiv bleiben und das System nach Angriffspunkten erkunden. Sie sendet erbeutete Daten an die Kriminellen. Auf Kommando können diese beginnen, alles auf einmal zu verschlüsseln. Dies zeigt nochmals die Wichtigkeit in IT-Sicherheit zu investieren. Die Risiken im Cyberraum lassen sich jedoch trotz größtmöglicher Vorsicht und Sorgfalt nicht vollständig beseitigen. Eine Cyberversicherung könnte als weiterer Aspekt im Rahmen eines ganzheitlichen Risikomanagements und Bestandteil der adäquaten Sicherheitsarchitektur gesehen werden. Versicherer haben jedoch erkannt, dass ein gewisses Niveau in puncto IT-Sicherheit im Unternehmen vorhanden sein muss, bevor eine Cyberversicherung überhaupt abgeschlossen werden kann.
Ist das System dann doch einmal befallen, sollten schnellstmöglich externe Ratgeber, wie IT-Dienstleister, hinzugezogen werden. Meist geht es den Angreifern um das schnelle Geld, welches sie gegen die Freigabe von Daten oder das nicht Veröffentlichen von Daten verlangen. Dabei ist eine Zahlung nicht immer zu empfehlen. Mit Hilfe der IT-Dienstleister kann oft festgestellt werden, ob Systeme zu retten oder sensible Informationen auf einschlägigen Foren bereits veröffentlicht sind. In diesem Fall entfällt der Erpressungsgrund. Auch ist davon auszugehen, dass es nicht bei einmaligen Zahlungen bleibt.
Unternehmen müssen für Angriffe vorsorgen, unter anderem mit eingespielten Abläufen bei Schadenslagen. Sie sollten eine zentrale Anlaufstelle für die Meldung von Vorfällen sowie eine ständig erreichbare IT-Hotline einrichten und klare Ansprechpartner auf der Führungsebene benennen. Weiterhin sollten alle Mitarbeitenden im Meldeverfahren und in Erstmaßnahmen geschult werden, wobei diese stets bekannt und eingeübt sein müssen. Sind Anomalien im System erst erkannt, können sie untersucht und möglicherweise behoben oder durch einen Krisenstab, mit entsprechenden Maßnahmen durch IT-Dienstleister, angegangen werden.
Der Schutz der Unternehmen ist schließlich jedoch auch eine Aufgabe für die Politik. Über 99 Prozent der Unternehmen fordern eine verstärkte Zusammenarbeit der EU in Sachen Cybersicherheit beziehungsweise ein konsequenteres Vorgehen bei Attacken aus dem Ausland sowie den Austausch zu IT-Sicherheitsthemen zwischen Staat und Wirtschaft zu forcieren. Über 94 Prozent fordern zudem staatliche Förderungen für die IT-Sicherheit, insbesondere im Home-Office. Auch das ist eine zentrale Investition, die sich unzählige Mal auszahlen dürfte – denn schon stehen unternehmerische Existenzen auf dem Spiel.
Crisis Prevention 1/2022
Stephan Ursuleac
Referent Verteidigung & öffentliche Sicherheit
Digitalverband Bitkom e.V., Berlin
E-Mail: S.Ursuleac@bitkom.org