Robert Klatt
In Deutschland wurden drei Viertel aller Unternehmen Opfer eines Cyberangriffs. Der Gesamtschaden lag bei mindestens 102,9 Milliarden Euro.
Berlin (Deutschland). Cybervorfälle sind laut einer Studie der Allianz, für die 2.718 Personen aus über 100 Ländern, darunter CEOs und Führungskräfte, Risikomanager, Makler und Versicherungsexperten, befragt wurden, das größte Geschäftsrisiko für Unternehmen. IT-Vorfälle (39 % der Antworten) haben damit erstmals das Risiko einer Betriebsunterbrechung (37 % der Antworten) als wichtigstes Risiko abgelöst. „Das Allianz Risk Barometer 2020 zeigt, dass Cybergefahren und der Klimawandel die beiden großen Herausforderungen für Unternehmen im neuen Jahrzehnt sind“ erklärt Joachim Müller, CEO der AGCS.
Bestätigt wird diese Entwicklung durch eine Studie des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) laut der durch Sabotage, Datendiebstahl und Spionage 2019 ein Gesamtschaden von 102,9 Milliarden Euro in deutschen Unternehmen entstanden ist. Der Schaden hat sich damit innerhalb von zwei Jahren fast verdoppelt. Laut der Umfrage, an der 1.070 Unternehmen mit zehn oder mehr Mitarbeitern teilgenommen haben, waren drei Viertel (75 %) in den letzten zwei Jahren Opfer eines Cyberangriffs, weitere 13 Prozent vermuten dies. Vor zwei Jahren waren deutlich weniger Unternehmen (53 %) Opfer eines Angriffs.
„Umfang und Qualität der Angriffe auf Unternehmen haben dramatisch zugenommen. Die Freizeithacker von früher haben sich zu gut ausgerüsteten und technologisch oft sehr versierten Cyberbanden weiterentwickelt – zuweilen mit Staatsressourcen im Rücken“, erklärt Achim Berg, Bitkom-Präsident.
In vielen Unternehmen sind laut der Umfrage der Bitkom bereits sensible digitale Daten gestohlen (21 %) oder die digitale Kommunikation abgehört (13 %) worden. Gestohlen wurden dabei in den meisten Fällen Kommunikationsdaten wie E-Mails (46 %), Finanzdaten (26 %), Mitarbeiterdaten (25 %) und Kundendaten (23 %). Auch besonders wertvolle Geschäftsinformationen wie Marktanalysen oder Preisgestaltung wurden in einigen Unternehmen (12 %) entwendet. „Im globalen Wettbewerb kann jede Information über die Konkurrenz zum Vorteil werden – dafür greifen immer mehr Unternehmen zu kriminellen Mitteln“, erklärt Berg.
Dies ist insbesondere bei personenbezogenen bezogene Daten problematisch, weil durch deren Diebstahl nicht nur das Vertrauen der Kunden, Partner und Mitarbeiter sinkt, sondern im Rahmen der Datenschutzgrundverordnung (DSGVO) auch hohe Strafen verhängt werden können. Möglich sind bis zu 20 Millionen Euro oder alternativ vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens.
Neben den digitalen Angriffsvektoren traten in einigen Unternehmen (32 %) weiterhin auch analoge Formen des Datendiebstahls auf. Entwendet wurden dabei IT- oder Telekommunikationsgeräte, physische Dokumente, Maschinen und Bauteile sowie andere Objekte mit sensiblen Daten.
Ebenfalls stark zugenommen haben laut dem Bundeskriminalamt (BKA) und deren Kooperationspartner im German Competence Centre against Cybercrime e.V. (G4C) Distributed-Denial-of-Service-Angriffe (DDoS). Ausgeführt werden diese Angriffe in den meisten Fällen durch sogenannte Bad Bots. Dabei handelt es sich um mit Schadsoftware infizierte Computer oder Internet-of-Things-Hardware (IoT), die zu einem sogenannten Botnetz zusammengeschlossen sind. Je nach verwendeter Technik und Größe des Botnetzes kann ein solcher Angriff zu erhöhten Ladezeiten von Webseiten oder in der Cloud gehosteten Infrastrukturen führen oder im Extremfall sogar einen Totalausfall der Dienste verursachen.
Verantwortlich für die Cyberangriffe sind laut der Bitkom-Studie verschiedene Gefahrenquellen. Mehr als jedes fünfte Unternehmen (22 %) wurde durch sogenanntes Social Engineering attackiert. Es handelt sich dabei um eine Manipulationstechnik, mit der Kriminelle Mitarbeiter eines Unternehmens dazu bewegen, Schadsoftware auf Computer eines Unternehmens zu installieren oder interne Daten wie Passwörter herauszugeben. „Spionage und Sabotage gefährden den Wirtschaftsstandort Deutschland. Die Aufklärung solcher Verdachtsfälle ist eine der Kernkompetenzen des Verfassungsschutzes“, kommentiert Michael Niemeier, Vizepräsident des Bundesamtes für Verfassungsschutz (BfV) die Vorfälle.
Außerdem wurden in einem Drittel (33 %) der Unternehmen durch ehemalige Mitarbeiter vorsätzlich Schäden verursacht. Etwa ein Viertel (23 %) der Umfrageteilnehmer gab außerdem an, dass ehemalige Mitarbeiter unabsichtlich Schäden in der IT verursacht haben.
Hinzukommen gezielte Angriffe von Hackern, die versuchen Sicherheitsprobleme wie schwache Passwörter oder veraltete Software auszunutzen, um digital in Unternehmen einzubrechen. Die meisten Unternehmen (38 %) wurden laut eigenen Angaben lediglich wenig professionellen Einzeltätern attackiert. Es traten aber auch Angriffe durch organisierte Hackergruppen (21 %), konkurrierende Unternehmen (20 %) und ausländische Nachrichtendienste (12 %) auf.
Im Extremfall können Cyberangriffe auf Unternehmen und Organisation neben dem bereits angesprochenen Vertrauensverlust und den Bußgeldern im Rahmen des DSGVO auch zu Betriebsschließengen und sogar zu Todesfällen fällen. Ein prominentes Beispiel dafür ist der Angriffe auf die Funke Mediengruppe mit einem Trojaner, der dazu geführt hat, dass eine Reihe von Zeitungen über mehrere Tage nicht gedruckt werden konnte. Noch deutlicher werden die Risiken von Cyberangriffen aber am Uniklinikum Düsseldorf, wo eine Patientin in einem Rettungswagen verstarb, weil dieser aufgrund eines IT-Ausfalls umgeleitet werden musste.
In vielen Unternehmen (62 %) wurden laut der Umfrage der Bitkom kriminelle Handlungen durch aufmerksame Mitarbeiter aufgedeckt. Hinweise gab es außerdem durch interne Sicherheitssysteme (54 %) und durch Zufälle (28 %). „Gut geschulte Mitarbeiter sind der effektivste Schutz. So lässt sich unbeabsichtigten Schäden vorbeugen, Angriffe von außen werden besser abgewehrt und sind sie doch erfolgreich, lässt sich schnell gegensteuern“, erklärt Berg. Ein technisch ausgereiftes Sicherheitskonzept können aber auch gut geschulte Mitarbeiter nicht ersetzen. Es ist deshalb laut IT-Sicherheitsexperten von Root360 sinnvoll einen mehrgleisigen Ansatz zu nutzen, um das Sicherheitsniveau zu erhöhen.
Als problematisch bewerten die befragten Unternehmen die Arbeit der Strafverfolgungs- oder Aufsichtsbehörden. Lediglich bei einem kleinen Teil (13 %) der Umfrageteilnehmer gingen Hinweise auf mögliche Cyberangriffe von diesen staatlichen Stellen proaktiv ein. Die Unternehmen fordern daher fast einstimmig (96 %) eine bessere Unterstützung durch den Staat und dessen Behörden. „Staat und Behörden können Unternehmen noch besser bei der Gefahrenabwehr unterstützen, etwa durch ein umfassendes Lagebild und einen besseren Informationsaustausch. Das von der Bundesregierung geplante Cyber-Abwehrzentrum plus sollte möglichst schnell aufgebaut werden, um das vorhandene Wissen bestmöglich zu teilen und anzuwenden“, so Berg.
