Die unheimliche Bedrohung aus dem Netz
Die Angriffe kommen meist unbemerkt über die Computerleitungen. Cyberkriminalität zählt zu den an meisten unterschätzten Gefahren. Die Schäden sind aber enorm: Rund 54 Milliarden Euro sind es allein in deutschen Unternehmen – pro Jahr!
So manchem der Besucher des RP-Sicherheitsforums „Sicherheit in Deutschland“, die am Nachmittag in das Konferenzzentrum der Rheinischen Post gekommen waren, stockte der Atem: Da hatte sich soeben der IT-Spezialist der Münsteraner Firma ISN Technologies, Lukasz Wrobel, mit ein paar Klicks einen Überblick über die Serverstrukturen bei einer Stadtverwaltung verschafft. Auf einen echten Angriff hat dabei der Spezialist an diesem Tag verzichtet, macht aber klar, dass für Hacker die Überwindung der Sicherheitsmechanismen keine wirkliche Herausforderung darstellt.
Thomas Tschersich von TSystems International nimmt auch bei diesem Thema kein Blatt vor den Mund: „Bei Cyberangriffen tendiert der technische Aufwand für die Angreifer gegen null – zumal Hacker mittlerweile sogar eigene Suchmaschinen wie Shodan nutzen, die anfällige Netze automatisch aufspüren. Und das Entdeckungsrisiko ist für sie sehr gering, wenn man es nicht gerade mit einem Anfänger zu tun hat.“
Erschreckend sind vor allem die Dimensionen der HackerAngriffe, vor allem auf Firmen. Dr. Christian Endreß vom NRW-Verband „Allianz für Sicherheit in der Wirtschaft“(ASW) berichtet, dass allein an Rhein und Ruhr über 400.000 Unternehmen bereits digital angegriffen wurden: „Das sind über 50 Prozent der Unternehmen – und die Dunkelziffer der tatsächlich betroffenen Firmen ist hoch.“
Auch der Wirtschaftsanwalt Klaus M. Brisch (DWF Germany Rechtsanwaltsgesellschaft) legt ernüchternde Zahlen vor: „Die Schäden durch Cyberangriffe belaufen sich in Deutschland jährlich auf rund 54 Milliarden Euro, europaweit kommen wir auf 327 Milliarden Euro. Wir wissen etwa, dass in Großbritannien inzwischen über 50 Prozent der Unternehmen schon mal Opfer eines Cyberangriffes geworden sind.“Bedeutet das etwa, dass die anderen britischen Firmen, die bislang noch nicht Schäden gemeldet haben, nicht betroffen sind? Die Antwort des international gefragten Juristen ist ernüchternd: „Die anderen Unternehmen glauben nur, sicher zu sein – sie sind es aber nicht. Wir brauchen daher auch in Deutschland eine Cybersicherheitsstruktur für Unternehmen.“
Wie dramatisch die Folgen einer Cyberattacke sein können, macht Hans-Wilhelm Dünn vom Cyber-Sicherheitsrat Deutschland anhand von Zahlen deutlich: „Bei einem Ausfall der IT-Infrastruktur bekommen mittelständische Unternehmen im Durchschnitt nach zwei Tagen Liquiditätsprobleme.“Viele Firmen merken indes nicht einmal, dass man aus ihren Computern wichtige Informationen absaugt. „Die Unternehmen merken im Schnitt erst nach 218 Tagen, dass sie infiltriert sind.“
Die Messe Essen, die mit der Sicherheitsmesse Security Essen immer wieder wichtige Impulse für die Sicherheitsbranche liefert, kennt die Problematik genau: „In diesem Jahr werden wir deshalb mit fachlicher Unterstützung des BSI (Bundesamt für Sicherheit in der Informationstechnik) eine gesonderte Konferenz zu Cybersecurity anbieten“, bekräftigt Geschäftsführer Oliver P. Kuhrt. T-Systems-Experte Thomas Tschersich sieht aber nicht im Mangel an IT-Spezialisten das Hauptproblem, sondern beklagt die generelle „digitale Ignoranz“: „Die meisten Menschen etwa benutzen ihre Smartphones wie Telefone – dabei sind das Computer, auf die ebenfalls ein Virenschutz gehört. Die meisten Sicherheitslücken entstehen in diesem Bereich, weil die Anwender schlichtweg ihre Betriebssysteme nicht regelmäßig updaten.“
Bedrohungsfelder werden aber in den nächsten Jahren vor allem mit neuen, internetfähigen Geräten wie Kühlschränken und anderen Smarthome-Geräten eröffnet: „Hier ist es nur eine Frage der Zeit, wann es zur Kastastrophe kommt.“
Terrorismus-Experte Rolf Tophoven weist darauf hin, dass Terroristen Bomben und Sprenggürtel bislang vor allem dafür nutzen, um Aufmerksamkeit für sich zu schaffen. „Das wird sich in der Zukunft noch stärker in Richtung Cyberguerilla ändern und erweitern.“
„Ich bin deshalb davon überzeugt, dass Cybersicherheit in den nächsten Jahren zu einem der herausfordernden Themen für die Sicherheit in Deutschland werden wird“, ergänzt Endreß. Er verweist dabei nicht nur auf Angriffe, die vor allem aus dem russischen Raum kommen, sondern auch auf das Darknet: „Dort lässt sich problemlos nahezu alles bestellen, vom Betäubungsmittel bis zur Schusswaffe. Der moderne Bankräuber braucht allerdings keine Schusswaffe mehr, dafür reichen ein Computer und das Wissen um digitale Sicherheitslücken.“
Auch Jens Washausen (Geos Germany) warnt vor den systemischen Risiken, insbesonde- re für Firmen: „Die Qualität der Software ist vor allem im deutschen Mittelstand erschreckend schlecht – das kann für viele Unternehmen desaströse Folgen haben. Aber solange Vorstände ausschließlich ihre IT-Abteilung fragen, werden sie die Risiken nicht erkennen – hier gibt es nahezu immer dieselbe Antwort, dass alles in Ordnung sei.“
Uwe Gerstenberg und Stefan Bisanz von Consulting Plus sehen deshalb vor allem das Management in der Pflicht. „Entscheider haben oft keine Ahnung vom Thema Cybersicherheit. Sie vertrauen hier den Menschen, aber ohne zu kontrollieren – und natürlich gibt es in Deutschland zudem zu wenig Fachkräfte, die sich mit dem Thema auskennen“, so Gerstenberg. „Außerdem bekämpfen wir vorrangig die Computerviren anstelle der Menschen, die diese entwickeln. Gleichzeitig sind es die Menschen, die vor den Computern sitzen, die die Fehler machen. Unser Ansatz ist es daher, uns schwerpunktmäßig um die Menschen auf beiden Seiten zu kümmern“, erläutert Bisanz.
Klaus M. Brisch plädiert ebenfalls für einen Denkwechsel in den Unternehmen. „Das Management sieht Cybersecurity immer noch als Kostenfaktor – dabei ist es ein Nutzenfaktor. Denn in Zukunft werden Firmen ihren Vertragspartnern nachweisen müssen, dass ihre IT sicher ist – sonst wird es nicht zum Vertragsabschluss kommen.“