Wirtschaft unterschätzt Gefahren
Unternehmen erleiden bereits Milliarden-Schäden durch Cyberkriminalität. Dennoch beobachten Experten eine mangelnde Sensibilität für das Thema in der Wirtschaft. Und staatliche Stellen seien zu mager ausgestattet, um den Gegnern auf Augenhöhe zu begegnen.
Eigentlich hat der Angriff durch die Schadsoftware „Wanna Cry“das Potenzial zum Weckruf. Mehr als 200.000 Computer waren weltweit – in rund 150 Ländern! – infiziert. Die Nutzer sollten Lösegeld zahlen, damit der Computer wieder freigeschaltet wird. Den Virus schleusten die Kriminellen über eine Sicherheitslücke in alten Windows-Systemen ein. Dieser Angriff im Mai war einer der prominentesten in einer Vielzahl ähnlicher Vorkommnisse. Dennoch beklagen Experten, dass das Bewusstsein für die Gefahr immer noch fehlt. „Das Thema wird noch nicht wirklich beachtet“, stellt Hans-Wilhelm Dünn, Generalsekretär des Cyber-Sicherheitsrates Deutschland e.V., in seinem Impulsvortrag beim RP-Wirtschaftsforum „Sicherheit in Deutschland“im Folkwang-Museum Essen fest. Das Thema sei hochkomplex. „Daher müssen wir Entscheider und Politiker dafür sensibilisieren.“
Das scheint dringend nötig, schaut man sich die Zahlen an. Im Bundeshaushalt seien 88,8 Millionen Euro für das Thema eingestellt. Das Bundesamt für Sicherheit (BSI) muss mit gerade einmal 680 Mitarbeitern auskommen. In Landesbehörden befassen sich im Schnitt weniger als zwei Mitarbeiter mit Wirtschaftsspionage.
Dabei schädigt Cyberkriminalität die Unternehmen immens. Deutsche mittelständische Unternehmen geraten – so Dünn – durchschnittlich nach zweieinhalb Tagen Betriebsausfall in Liquiditätsengpässe, also in eine unternehmensbedrohende Lage. Solche Ausfälle sind durch Hackerangriffe oder Ransomware (Erpressersoftware) schnell provoziert. „Cyberkriminalität verursacht in Deutschland Schäden von 55 bis 60 Milliarden Euro im Jahr“, warnt Dünn, weltweit seien es 970 Milliarden Euro. „Kriminelle verdienen im Darknet an Cyberkriminalität mehr als andere mit Drogen.“
Auch für Staaten, die Cyberspionage von regierungsnahen Hackerkollektiven oder den Nachrichtendiensten betreiben lassen, biete die virtuelle Welt eine lukrative Einnahmequelle. Hinter der globalen Ransomwareattacke Wanna Cry, die durch die Verschlüsselung von Daten Lösegeld erpresste, vermuten einige Cyberforensiker etwa die dem nordkoreanischen Regime nahestehende Lazarus-Gruppe. „Bei der Attribution solcher Angriffe muss man allerdings vorsichtig sein, der Cyberraum bietet ein hohes Maß an Anonymität und Verschleierung“, sagt Dünn. „Für Cyberangriffe verwenden Täter zum Beispiel Botnetze, also ein Netzwerk aus gekaperten und fremdgesteuerten Rechnern. Angriffe können so über Server von Krankenhäusern oder Schulen ausgeführt werden.“
„Unternehmen müssen endlich aus dem Dornröschenschlaf aufwachen, schließlich stehen Arbeitsplätze und ganze Unternehmensexistenzen auf dem Spiel“, appelliert Uwe Gerstenberg, Geschäftsführender Gesellschaft der consulting plus Unternehmensgruppe und Vorsitzender des Präsidiums der Deutschen Gesellschaft Zukunft und Sicherheit, an die Verantwortung der Entscheider in Unternehmen.
Die Gefahr lauert also hinter jeder Ecke. „Man kann unbemerkt von überall auf der Welt auf alles von Wert zugreifen“, kommentiert Dr. Frank M. Hülsberg, Senior Partner bei der Wirtschaftsprüfungsgesellschaft Warth & Klein Grant Thornton. Antwortversuche mit einer Cyberarmee, wie sie die Bundeswehr aufstellen will, sieht Hülsberg kritisch: „Wo sollen die Spezialisten für 14.000 Stellen herkommen? Und was dürfen die denn?“Im Inland dürfe die Bundeswehr ja nicht eingesetzt werden, und für Auslandseinsätze bedürfe es eines Bundestagsbeschlusses.
Doch auch in der Privatwirtschaft sieht es mager aus. Es gebe wenig Fähigkeiten in der deutschen Wirtschaft, konstatiert Wolfgang Straßer, Geschäftsführer des IT-Beratungsunternehmens @-yet. Er beobachtet einen „dramatischen Mangel an Erkenntnis in den Unternehmensleitungen“. Und sogar in den Fachabteilungen: „Der größte ‚Feind‘ der IT-Sicherheit sitzt im Vorstand und in der IT. Das Thema wird immer noch zu häufig als fürs eigene Unternehmen nicht so relevant eingestuft.“Unternehmen setzen hauptsächlich auf Firewall, Antiviren- und Antispamprogramme. Das sei die Abwehr der 90er-Jahre, während die Angriffe mit Mitteln von 2017 geschehen. „Mittelständler haben jetzt das Thema ganz oben auf die Tagesordnung gesetzt. Sie hängen aber 15 Jahre hinterher“, beklagt der Experte.
Dass Security und IT häufig nicht zusammenarbeiten, sondern sogar gegeneinander, bemerkt auch Detlev Weise, Geschäftsführer des Kommunikationsdienstleisters exploqii. Welchen Stellenwert man dem Thema zumesse, sei auch eine „Frage der Qualifikation der handelnden Akteure“. Christian Scherg, Geschäftsführender Gesellschafter der Krisen- und Sicherheitsberatung Revolvermänner GmbH und Präsident der Gesellschaft Zukunft und Sicherheit ist überzeugt: „Der zunehmende Strom an Bedrohungen verlangt von Unternehmen, tragfähige Brücken zu bauen: zwischen Prozessen, Abteilungen und Mitarbeitern. Nur so kann man zukünftig sicher seine unternehmerischen Ziele erreichen.“
Immerhin kann der Düsseldorfer Polizeipräsident Norbert Wesseler auf Erfolge verweisen, die auch in der Sicherheitsbranche Anerkennung finden. Die Spezialisten des Landeskriminalamtes seien gut mit der Polizei vernetzt – eine „gute Bündelung“, wie Straßer bestätigt. „Die Polizei bietet auch Beratung an“, erinnert Hülsberg. Unternehmen sollten sich mit den Behörden abstimmen. Eine Amtsermittlungspflicht hätten die staatlichen Behörden, wenn es zum Beispiel um Erpressung wie beim Virus Wanna Cry geht. „Das kann die Polizei aber nicht alles allein stemmen“, betont der Experte, „da ist Zusammenarbeit gefordert“.
„Man kann unbemerkt von überall auf der Welt auf alles von Wert
zugreifen“