Cyberangriffe sind neues Geschäftsrisiko
Viele Unternehmen sind nicht ausreichend vorbereitet auf Attacken aus der digitalen Welt. Die Folgen sind weitreichend.
DÜSSELDORF (frin) Wer auf der Suche nach einer Urlaubslektüre ist oder einfach verstehen will, welche Auswirkungen Hackerangriffe auf die Infrastruktur haben können, der sollte das Buch „Blackout“von Marc Elsberg lesen. Der Österreicher beschreibt darin einen breit angelegten Anschlag auf das europäische Stromnetz – und dessen Folgen.
Was sich liest wie Fiktion, ist für viele Experten gar nicht so unvorstellbar wie es zunächst vielleicht klingt. „Der Cyber-Geist ist aus der Flasche“, sagt Wolfgang Ischinger, Chef der Münchner Sicherheitskonferenz. In jedem zukünftigen militärischen Konflikt würden Cyberattacken eine Rolle spielen.
Doch es geht ja längst nicht mehr nur um mögliche Kriege und Konflikte, auch Unternehmen und Privatpersonen sind immer häufiger von den Angriffen aus dem Internet betroffen. Zuletzt hatte eine Cyberattacke unter anderem den Atomreaktor in Tschernobyl, den russischen Ölkonzern Rosneft, aber auch Unternehmen wie Metro oder Beiersdorf getroffen. Dies habe zum Ausfall der IT- und Telefonsysteme geführt, hieß es bei Beiersdorf. Andere Unternehmen wie Henkel haben vorsichtshalber die Sicherheitsmaßnahmen erhöht.
Der Angriff erfolgte mittels einer Erpresser-Software namens „Petya“. Sie setzt Computer außer Gefecht, indem sie deren Festplatten verschlüsselt. Zugang erhalten Geschädigte erst nach Zahlung von 300 Dollar in der Cyberwährung Bitcoin
Profiteure der Cyberattacken dürften die Versicherungen sein: Der US-Konzern AIG kündigte bereits an, sein Geschäft mit CyberPolicen in Europa ausbauen zu wollen. „In Deutschland liegt unser Marktanteil bei rund einem Prozent. Es gibt also Platz für Wachstum“, sagte Mitteleuropa-Chef Alexander Nagler dem „Handelsblatt“. In den USA versichert der Konzern bereits seit 1999 Cyberrisiken. Auf dem deutschen Markt sei Cybersicherheit jedoch erst seit zwei Jahren ein größeres Thema, hieß es.
Dies bestätigt auch eine Studie, die die Versicherungsbörse Lloyds of London mit der Beratung KPMG und der Anwaltskanzlei DAC Beachcroft herausgegeben hat. Demnach unterschätzen viele Unternehmen noch die langfristigen Kosten von Cyberangriffen. Dabei müssten sie sich auf einen Abgang von Kunden, fallende Aktienkurse und mögliche weitere Konsequenzen einstellen, heißt es. „Es fehlt an Verständnis dafür, was ein Cyberangriff eigentlich ist“, sagte Lloyds-Chefin Inga Beale. Lloyds of London bietet Versicherungen gegen Cyberangriffe an und hat nach eigenen Angaben einen Marktanteil von 20 bis 25 Prozent.
Welche Folgen ein Cyberangriff hat, erlebte 2016 das Neusser Lukaskrankenhaus, bei dem durch eine Unachtsamkeit eine Schadsoftware den Betrieb lahmlegte. Tagelang musste die Klinik ohne Computer arbeiten. Es entstand ein Schaden von knapp einer Million Euro. „Mit Viren kennen wir uns aus, aber nicht mit Computerviren“, scherzte Nikolaus Krämer, Geschäftsführer des Krankenhaus, zuletzt bei einem Symposium der NRW.Bank zum Thema Cybersicherheit. Da war der Spuk glücklicherweise lange vorbei.
Nachdem zuletzt auch in Großbritannien viele Kliniken von einem Cyberangriff mit dem Erpressungstrojaner „Wanna Cry“betroffen waren, müssen sich große Krankenhäuser und Kliniken in Deutschland künftig intensiver um die Sicherheit ihrer IT-Infrastruktur kümmern. Ab Ende Juni gelten nach dem IT-Sicherheitsgesetz auch Krankenhäuser als „kritische Infrastruktur“. Betroffen seien aber „nur die großen Pötte“, erklärte Matthias Fischer vom Bundesinnenministerium gestern.
Die neuen Regeln gelten für insgesamt 110 Krankenhäuser und Kliniken, die mindestens 30.000 Behandlungsfälle im Jahr vorweisen. Das Lukaskrankenhaus würde nicht zu diesen Kliniken zählen.
Bislang basierte die Sicherung der IT-Systeme in Krankenhäusern weitgehend auf Freiwilligkeit. Künftig müssen sie etwa eine Kontaktstelle für IT-Sicherheitsfragen rund um die Uhr unterhalten und „erhebliche Störungen“an das Bundesamt für Sicherheit in der Informationstechnik melden.