Nur ei­ne of­fe­ne Zu­sam­men­ar­beit kann Cy­ber-Kri­mi­nel­le auf­hal­ten

Computerwoche - - Technik - Von Mar­tin Bay­er, De­pu­ty Edi­to­ri­al Di­rec­tor

Rund 55 Mil­li­ar­den Eu­ro Scha­den ha­ben Ha­cker im ver­gan­ge­nen Jahr hier­zu­lan­de ver­ur­sacht, rech­net der ITK-Bran­chen­ver­band Bit­kom vor. Nur wenn Un­ter­neh­men, Be­hör­den und Ge­setz­ge­ber an ei­nem Strang zö­gen, las­se sich ver­hin­dern, dass die Di­gi­ta­li­sie­rung in ei­nem Se­cu­ri­ty-De­sas­ter en­de.

Un­ter­neh­men müs­sen viel mehr für ih­re di­gi­ta­le Si­cher­heit tun“, warn­te Bit­kom-Prä­si­dent Achim Berg und ver­wies im glei­chen Atem­zug auf ei­ne ak­tu­el­le Stu­die, für die über 1000 Ge­schäfts­füh­rer und Si­cher­heits­ver­ant­wort­li­che quer durch al­le Bran­chen be­fragt wur­den. Dem­zu­fol­ge sind mehr als die Hälf­te der Fir­men in Deutsch­land (53 Pro­zent) in den ver­gan­ge­nen bei­den Jah­ren Op­fer von Wirt­schafts­spio­na­ge, Sa­bo­ta­ge oder Da­ten­dieb­stahl ge­wor­den. Den da­durch ent­stan­de­nen Scha­den be­zif­fern die Ex­per­ten auf rund 55 Mil­li­ar­den Eu­ro pro Jahr. „Die Stu­die zeigt, dass die Ge­fahr für Un­ter­neh­men al­ler Bran­chen und je­der Grö­ße re­al ist“, kon­sta­tier­te Berg. Je­der kön­ne Op­fer wer­den.

Ob­wohl Se­cu­ri­ty-Ex­per­ten be­reits seit Jah­ren vor stei­gen­den Si­cher­heits­ri­si­ken und Ge­fah- ren im Cy­ber-Raum war­nen und mehr An­stren­gun­gen für IT-Si­cher­heit an­mah­nen, hat sich die Si­tua­ti­on nicht ent­schärft. Ver­gli­chen mit ei­ner ers­ten Stu­die vor zwei Jah­ren ist der An­teil der Be­trof­fe­nen ge­stie­gen, von 51 auf 53 Pro­zent. Der von den Cy­ber-Kri­mi­nel­len an­ge­rich­te­te Scha­den ist so­gar um rund acht Pro­zent von 51 auf 55 Mil­li­ar­den Eu­ro jähr­lich ge­wach­sen.

„Un­glaub­li­che Scha­dens­bi­lanz“

Hans-Ge­org Maa­ßen, Prä­si­dent des Bun­des­amts für Ver­fas­sungs­schutz (BfV), sprach mit Blick auf die­se Zah­len von ei­ner un­glaub­li­chen Scha­dens­bi­lanz. Die Sum­me kom­me fast an den Staats­haus­halt des Frei­staats Bay­ern mit 58 Mil­li­ar­den Eu­ro her­an. In Zei­ten von Di­gi­ta­li­sie­rung und In­dus­trie 4.0 müs­se man be­son­de­res Au­gen­merk auf die Ab­wehr von Spio­na­ge­an­grif­fen auf die deut­sche Wirt­schaft rich­ten, mahn­te Maa­ßen. „Im Sin­ne ei­nes ganz­heit­li­chen und nach­hal­ti­gen Wirt­schafts­schut­zes ge­hö­ren da­zu nicht al­lein IT-be­zo­ge­ne Maß­nah­men, son­dern ri­si­ko­mi­ni­mie­ren­de Plä­ne in den Be­rei­chen Or­ga­ni­sa­ti­on, Per­so­nal und Sen­si­bi­li­sie­rung.“Wich­tig sei dar­über hin­aus auch die in­ten­si­ve Zu­sam­men­ar­beit zwi­schen Wirt­schaft und Be­hör­den so­wie den Be­hör­den un­ter­ein­an­der.

Noch scheint je­doch vie­les Theo­rie. Nach wie vor fal­len Un­ter­neh­men im­mer raf­fi­nier­te­ren Ha­cker-An­grif­fen zum Op­fer. Da­bei sind die In­ter­es­sen der An­grei­fer breit ge­fä­chert. In je­dem sechs­ten Un­ter­neh­men (17 Pro­zent) wur­den der Bit­kom-Stu­die zu­fol­ge in den ver­gan­ge­nen zwei Jah­ren sen­si­ble Da­ten ge­stoh­len. Vor al­lem Kom­mu­ni­ka­ti­ons­da­ten wie

E-Mails (41 Pro­zent) oder Fi­nanz­da­ten (36 Pro­zent) sei­en in die Hän­de der An­grei­fer ge­fal­len. In 17 Pro­zent der Fäl­le von Da­ten­dieb­stahl wur­den Kun­den­da­ten ent­wen­det, in elf Pro­zent Pa­ten­te oder In­for­ma­tio­nen aus For­schung und Ent­wick­lung, in zehn Pro­zent Mit­ar­bei­ter­da­ten.

Vie­le wis­sen gar nicht, ob sie be­trof­fen sind

Auch der Dieb­stahl von Hard­ware ist ein nicht zu un­ter­schät­zen­des Pro­blem. Knapp ei­nem Drit­tel al­ler Un­ter­neh­men (30 Pro­zent) wur­den in den ver­gan­ge­nen bei­den Jah­ren IT- oder Te­le­kom­mu­ni­ka­ti­ons­ge­rä­te wie Note­books und Smart­pho­nes ge­stoh­len. Al­ler­dings ist da­bei in der Re­gel un­klar, ob die Tä­ter die Ge­rä­te selbst oder die dar­auf ge­spei­cher­ten Da­ten im Vi­sier hat­ten. Rund je­des fünf­te Un­ter­neh­men be­rich­te­te, Op­fer von So­ci­al En­gi­nee­ring ge­wor­den zu sein. Da­bei ver­su­chen die An­grei­fer, Mit­ar­bei­ter zu ma­ni­pu­lie­ren, um an sen­si­ble In­for­ma­tio­nen wie Pass­wör­ter oder Zu­gangs­ken­nun­gen zu kom­men, mit de­ren Hil­fe dann im nächs­ten Schritt zum Bei­spiel Schad­soft­ware auf die Fir­men­rech­ner ein­ge­schleust wer­den kann.

Je­des ach­te Un­ter­neh­men (zwölf Pro­zent) wur­de Op­fer von di­gi­ta­ler Sa­bo­ta­ge, durch die bei­spiels­wei­se die Pro­duk­ti­on ge­stört wur­de. Auf­fäl­lig ist an die­ser Stel­le die ho­he Dun­kel­zif­fer: So ga­ben wei­te­re 29 Pro­zent der Be­frag­ten an, ver­mut­lich von di­gi­ta­ler Sa­bo­ta­ge be­trof­fen ge­we­sen zu sein. Die­se Zahl macht deut­lich, wie an­fäl­lig of­fen­bar Pro­duk­ti­ons­an­la­gen hier­zu­lan­de ge­gen Cy­ber-Atta­cken sind und wie un­si­cher die Ver­ant­wort­li­chen hin­sicht­lich des das dar­aus re­sul­tie­ren­den Ge­fah­ren- und Ri­si­ko­po­ten­zi­als re­agie­ren.

Kom­mis­sar Zu­fall

Dass im Auf­bau funk­tio­nie­ren­der IT-Se­cu­ri­ty­Struk­tu­ren in deut­schen Un­ter­neh­men vie­les im Ar­gen liegt, zeigt auch die Art und Wei­se, wie die Un­ter­neh­men auf Da­ten­dieb­stahl und Sa­bo­ta­ge auf­merk­sam wer­den. Drei von zehn be­trof­fe­nen Un­ter­neh­men ga­ben an, nur zu­fäl­lig auf ent­spre­chen­de Vor­fäl­le ge­sto­ßen zu sein. 37 Pro­zent der Be­frag­ten er­klär­ten, in­ter­ne Ein­zel­per­so­nen hät­ten die ent­schei­den­den Hin­wei­se zur Auf­de­ckung ge­ge­ben, und je 28 Pro­zent sag­ten, die ei­ge­ne in­ter­ne Re­vi­si­on be­zie­hungs­wei­se un­ter­neh­men­s­ex­ter­ne Per­so­nen hät­ten Alarm ge­schla­gen.

IT-Si­cher­heits­tech­nik selbst scheint bei der Er­ken­nung kei­ne Rol­le zu spie­len. Le­dig­lich ein Pro­zent der Un­ter­neh­men gab an, durch ei­ge­ne Si­cher­heits­sys­te­me, den Vi­ren­scan­ner be­zie­hungs­wei­se die Fi­re­wall auf si­cher­heits­re­le­van­te Vor­gän­ge auf­merk­sam ge­wor­den zu sein. Ob die Tech­nik selbst ver­sagt oder falsch ein­ge­setzt wird, lässt sich an die­ser Stel­le al­ler­dings nicht ge­nau sa­gen.

Die ei­ge­nen Mit­ar­bei­ter hel­fen zwar, IT-Si­cher­heits­vor­fäl­le auf­zu­klä­ren, sind aber am häu­figs­ten auch die Tä­ter. 62 Pro­zent der Un­ter­neh­men, die in den ver­gan­ge­nen zwei Jah­ren Op­fer von Spio­na­ge, Sa­bo­ta­ge oder Da­ten­dieb­stahl wur­den, ha­ben die Tä­ter im Kreis ak­tu­el­ler und ehe­ma­li­ger Mit­ar­bei­ter iden­ti­fi­ziert. Gut vier von zehn be­trof­fe­nen Un­ter­neh­men (41 Pro­zent) ma­chen Wett­be­wer­ber, Kun­den, Lie­fe­ran­ten oder Di­enst­leis­ter für die An­grif­fe ver­ant­wort­lich, 21 Pro­zent ge­ben Hob­by­Ha­ckern und sie­ben Pro­zent Per­so­nen aus der or­ga­ni­sier­ten Kri­mi­na­li­tät die Schuld. Aus­län­di­sche Nach­rich­ten­diens­te wur­den in drei Pro­zent der Un­ter­neh­men als Tä­ter iden­ti­fi­ziert. Sie­ben Pro­zent der Un­ter­neh­men ga­ben an, dass die Tä­ter un­be­kannt wa­ren.

Mit­ar­bei­ter wer­den zu Tä­tern

Ein gu­tes Drit­tel der von An­grif­fen be­trof­fe­nen Un­ter­neh­men (37 Pro­zent) be­rich­te­te, dass die Tä­ter aus Deutsch­land ka­men. Der Groß­teil der An­grif­fe wird je­doch aus dem Aus­land ge­steu­ert: 23 Pro­zent der Un­ter­neh­men iden­ti­fi­zier­ten die Tä­ter in Ost­eu­ro­pa, 20 Pro­zent in Chi­na und 18 Pro­zent in Russ­land. Da­nach fol­gen die

USA (15 Pro­zent), west­eu­ro­päi­sche Län­der (zwölf Pro­zent) und Ja­pan (sie­ben Pro­zent).

Be­hör­den blei­ben au­ßen vor

Be­mer­ken die Un­ter­neh­men, dass Cy­berK­ri­mi­nel­le in die ei­ge­ne IT-In­fra­struk­tur ein­ge­drun­gen sind, wer­den die­se Fäl­le un­ter­sucht – das zu­min­dest ist ei­ne gu­te Nach­richt. Le­dig­lich drei Pro­zent der Un­ter­neh­men räum­ten ein, ent­spre­chen­de Si­cher­heits­vor­fäl­le auf sich be­ru­hen zu las­sen und kei­ne wei­te­ren Re­cher­chen an­zu­sto­ßen. Vor zwei Jah­ren re­agier­te noch je­des zehn­te Un­ter­neh­men mit ei­ner sol­chen Vo­gel-Strauß-Po­li­tik. 46 Pro­zent der Un­ter­neh­men lei­ten ei­ne in­ter­ne Un­ter­su­chung ein, ex­ter­ne Spe­zia­lis­ten wur­den von 34 Pro­zent hin­zu­ge­zo­gen.

Als kri­tisch wird von Ex­per­ten al­ler­dings die weit­ver­brei­te­te Pra­xis be­ur­teilt, Be­hör­den au­ßen vor zu las­sen. Nicht ein­mal je­des drit­te be­trof­fe­ne Un­ter­neh­men (31 Pro­zent) wen­det sich laut Bit­kom an Be­hör­den und bit­tet um Un­ter­stüt­zung bei der Auf­klä­rung. Haupt­grund für die­se Zu­rück­hal­tung ist die Angst vor Ima­ge­schä­den (41 Pro­zent). Je­des drit­te Un­ter­neh­men er­klär­te, man ha­be auf ei­ne ent­spre­chen­de In­for­ma­ti­on ver­zich­tet, weil man Angst vor ne­ga­ti­ven Kon­se­quen­zen ha­be (35 Pro­zent). Die Tä­ter wür­den oh­ne­hin nicht ge­fasst (34 Pro­zent), au­ßer­dem sei der Auf­wand zu hoch (29 Pro­zent). „Nur wenn Un­ter­neh­men An­grif­fe mel­den, kön­nen die Si­cher­heits­be­hör­den ein rea­li­täts­na­hes La­ge­bild er­stel­len und Ab­wehr­stra­te­gi­en ent­wi­ckeln“, kri­ti­sier­te Ver­fas­sungs­schutz-Chef Maa­ßen das Miss­trau­en. „Es gilt der Grund­satz ,Need to sha­re‘, wenn wir ge­mein­sam die deut­sche Volks­wirt­schaft wi­der­stands­fä­hi­ger ge­gen Wirt­schafts­spio­na­ge ma­chen wol­len.“

An­ge­sichts der Stu­di­en­er­geb­nis­se ap­pel­lier­ten Ver­tre­ter des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) an deut­sche Un­ter­neh­mer, In­for­ma­ti­ons­si­cher­heit mit höchs­ter Prio­ri­tät zu be­han­deln und mit den staat­li­chen Be­hör­den zu­sam­men­zu­ar­bei­ten. „Die ho­he Zahl der be­trof­fe­nen Un­ter­neh­men zeigt deut­lich, dass wir auf dem Ge­biet der Cy­ber-Si­cher­heit in Deutsch­land noch Nach­hol­be­darf ha­ben“, warn­te BSI-Prä­si­dent Ar­ne Schön­bohm. Zwar sei­en die gro­ßen Kon­zer­ne und ins­be­son­de­re die Be­trei­ber kri­ti­scher In­fra­struk­tu­ren wie Strom­ver­sor­ger oder Was­ser­wer­ke in al­ler Re­gel gut auf­ge­stellt, vie­le klei­ne und mitt­le­re Un­ter­neh­men aber wür­den die Be­dro­hun­gen nicht ernst ge­nug neh­men. „In­for­ma­ti­ons­si­cher­heit ist die Vor­aus­set­zung ei­ner er­folg­rei­chen Di­gi­ta­li­sie­rung“, so Schön­bohm. „Des­halb muss IT-Si­cher­heit Chef­sa­che sein!“

Um ih­re Ap­pel­le zu un­ter­mau­ern, ver­wei­sen die BSI-Ver­ant­wort­li­chen auf ak­tu­el­le Bei­spie­le, die das Scha­den­s­po­ten­zi­al durch Cy­berAn­grif­fe für die Wirt­schaft auf­zei­gen wür­den. So hät­ten mit „Wan­naC­ry“und „No­tPeya“in jüngs­ter Ver­gan­gen­heit zwei breit an­ge­leg­te Cy­ber-Atta­cken er­heb­li­chen volks­wirt­schaft­li­chen Scha­den an­ge­rich­tet. In et­li­chen Un­ter­neh­men sei es zu mas­si­ven und lang an­hal­ten­den Ein­schrän­kun­gen der Pro­duk­ti­on oder ge­schäfts­kri­ti­scher Pro­zes­se ge­kom­men. Die Be­hör­de for­der­te da­her al­le be­trof­fe­nen Un­ter­neh­men auf, schwer­wie­gen­de IT-Si­cher­heits­vor­fäl­le – ge­ge­be­nen­falls auch an­onym – zu

mel­den, und bie­tet mit dem Na­tio­na­len IT-La­ge­zen­trum so­wie der Al­li­anz für Cy­ber-Si­cher­heit auch An­lauf­stel­len für be­trof­fe­ne Un­ter­neh­men.

Es feh­len die nö­ti­gen Se­cu­ri­ty-Spe­zia­lis­ten

Das ist bit­ter nö­tig, denn auf Sei­ten der Un­ter­neh­men scheint es der­zeit schwie­rig zu sein, der Se­cu­ri­ty-Her­aus­for­de­run­gen Herr zu wer­den. So schlägt der VDE (Ver­band der Elek­tro­tech­nik Elek­tro­nik In­for­ma­ti­ons­tech­nik e. V.) Alarm, gera­de ein­mal 13 Pro­zent der hie­si­gen Un­ter­neh­men sä­hen sich in Sa­chen IT-Si­cher­heit gut ge­rüs­tet. Mit der Di­gi­ta­li­sie­rung wür­den die Pro­ble­me in Zu­kunft noch zu­neh­men. Für 88 Pro­zent der VDE-Mit­glieds­un­ter­neh­men sei die IT-Si­cher­heit zwar we­sent­li­che Vor­aus­set­zung für die Di­gi­ta­li­sie­rung, hieß es. „Die Crux ist je­doch, dass vie­le Un­ter­neh­men nicht aus­rei­chend IT-Spe­zia­lis­ten fin­den, die zum ei­nen die Di­gi­ta­li­sie­rung in­tern vor­an­trei­ben und zum an­de­ren die Or­ga­ni­sa­ti­on vor ex­ter­nen An­grif­fen schüt­zen“, er­klär­te VDEChef Ans­gar Hinz.

Die VDE-Un­ter­neh­men fürch­ten Hinz zu­fol­ge vor al­lem ei­nes: den mas­si­ven An­griff auf ih­re wert­volls­ten Di­vi­sio­nen For­schung und Ent­wick­lung, IT und Pro­duk­ti­on. Die Fol­gen wä­ren in ih­rem Um­fang kaum ab­seh­bar: Sys­tem- und Pro­duk­ti­ons­aus­fäl­le, Fehl­funk­tio­nen mit Fol­gen für Leib und Le­ben so­wie In­dus­trie­spio­na­ge. 71 Pro­zent der Un­ter­neh­men mit mehr als 5000 Mit­ar­bei­tern hät­ten dem Tech­no­lo­gie­ver­band zu­fol­ge be­reits zu­ge­ge­ben, Op­fer di­gi­ta­ler An­grif­fe ge­wor­den zu sein, doch die Dun­kel­zif­fer dürf­te weit­aus hö­her sein. Le­dig­lich zehn Pro­zent sei­en der Mei­nung, dass Deutsch­land im in­ter­na­tio­na­len Ver­gleich bei IT-Si­cher­heit ei­ne füh­ren­de Rol­le spie­le.

Si­cher­heit braucht ei­ne Kul­tur der Of­fen­heit

„Wir brau­chen ei­ne Kul­tur der Of­fen­heit“, for­der­te des­halb Hinz. Nur ge­mein­sam kön­ne man den Ha­ckern Pa­ro­li bie­ten. Vor al­lem der deut­sche Wirt­schafts­mo­tor Mit­tel­stand müs­se in Si­cher­heits­tech­nik in­ves­tie­ren. „Wir wis­sen, dass vie­le klei­ne­re Un­ter­neh­men nicht über die Res­sour­cen für ei­ge­ne Com­pu­ter Emer­gen­cy Re­s­pon­se Teams (CERTs) ver­fü­gen“, kon­sta­tier­te Hinz. Mit CERT@VDE hat der Tech­no­lo­gie­ver­band des­halb ei­ne Platt­form zur Ko­or­di­na­ti­on von IT-Se­cu­ri­ty­Pro­ble­men im Be­reich In­dus­trie­au­to­ma­ti­on ins Le­ben ge­ru­fen. „Auf aus­drück­li­chen Wunsch des Mit­tel­stands“, be­ton­te der VDE-Chef. Auf ei­ner an­ony­men Platt­form könn­ten sich jetzt die Un­ter­neh­men ver­trau­ens­voll aus­tau­schen. Der VDE un­ter­stüt­ze sie flan­kie­rend im Rah­men ei­nes nicht­kom­mer­zi­el­len CERT bei der Ver­bes­se­rung ih­rer Cy­ber­se­cu­ri­ty.

Tat­säch­lich schei­nen neue We­ge nö­tig, um die IT-Si­cher­heit in deut­schen Un­ter­neh­men zu ver­bes­sern. Laut Bit­kom-Um­fra­ge ha­ben vie­le Fir­men zwar Maß­nah­men er­grif­fen, um sich bes­ser ge­gen An­grei­fer zu schüt­zen. Da­bei han­delt es sich je­doch meist um Klas­si­ker aus dem tech­ni­schen Ba­sis­schutz wie et­wa Pass­wör­ter, Fi­re­walls und Vi­ren­scan­ner so­wie re­gel­mä­ßi­ge Back­ups der Da­ten. An­spruchs­vol­le­re Maß­nah­men sei­en da­ge­gen eher sel­ten, bei­spiels­wei­se In­tru­si­on-De­tec­tion-Sys­te­me (20 Pro­zent) oder Pe­ne­tra­ti­ons­tests (17 Pro­zent).

Nul­lacht­fünf­zehn funk­tio­niert in Sa­chen Se­cu­ri­ty nicht

Auch im Be­reich der or­ga­ni­sa­to­ri­schen Si­cher­heit sind zu­meist Stan­dard­maß­nah­men ver­brei­tet, et­wa die Fest­le­gung von Zu­griffs­rech­ten für be­stimm­te In­for­ma­tio­nen (99 Pro­zent), die ein­deu­ti­ge Kenn­zeich­nung von Be­triebs­ge­heim­nis­sen (85 Pro­zent) oder die Fest­le­gung von Zu­tritts­rech­ten in be­stimm­te Un­ter­neh­mens­be­rei­che (81 Pro­zent).

Da­ge­gen set­ze nur ei­ne Min­der­heit auf Si­cher­heits-Zer­ti­fi­zie­run­gen (43 Pro­zent) oder re­gel­mä­ßi­ge Si­cher­heits-Au­dits durch ex­ter­ne Spe­zia­lis­ten (24 Pro­zent). Nach­hol­be­darf gibt es dem Bit­kom zu­fol­ge auch im Be­reich der per­so­nel­len Si­cher­heit. Nur 58 Pro­zent der Un­ter­neh­men füh­ren dem­nach Back­groun­dChecks bei Be­wer­bern für sen­si­ble Po­si­tio­nen durch, und nur je­de zwei­te Or­ga­ni­sa­ti­on hat ei­nen Si­cher­heits­ver­ant­wort­li­chen be­nannt (54 Pro­zent) oder schult Mit­ar­bei­ter zu Si­cher­heits­the­men (53 Pro­zent).

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.