Simran Mann
Referentin für Sicherheitspolitik bei dem Digitalverband Bitkom
Windräder, die plötzlich für die Fernwartung nicht mehr erreichbar sind, weil das Satellitennetzwerk ausfällt, oder Produktionshallen, die über mehrere Tage stillstehen, weil die Firmen-IT lahmgelegt ist – die Folgen von Hackerangriffen können für Unternehmen nicht nur teuer werden, sondern sogar existenz- bedrohend. Mehr als 200 Milliarden Euro Schaden entstehen der deutschen Wirtschaft jährlich durch Sabotage, Spionage und Datendiebstahl. Praktisch jedes Unternehmen ist davon betroffen, unabhängig von Größe und Branche.
Die Angriffe, auf die sich die Unternehmen einstellen müssen, sind vielfältig.
Besonders häufig wird die IT-Infrastruktur mit sogenannten DDoS-Attacken lahmgelegt. Vereinfacht gesagt, werden so viele Anfragen von außen an die Firmen- server gestellt, dass diese unter der Last zusammenbrechen. Noch gefährlicher ist, wenn Schadsoftware in das Firmennetzwerk eingeschleust wird. Dabei kann es sich um Programme handeln, die gezielt Daten nach außen spielen – und womöglich die Daten im Unternehmen noch verschlüsseln und unbrauchbar machen und ein „Lösegeld“ fordern, sogenannte Ransomware. Diese beiden Angriffsszenarien zeigen, dass eine Abwehr von Cyberangriffen an zwei Stellen ansetzen sollte: Zum einen braucht es technische Vorkehrungen, die Angriffe unmöglich machen oder zumindest erschweren. Zum anderen muss der Mensch noch stärker in den Mittelpunkt gerückt werden, denn die eigenen Mitarbeiterinnen und Mitarbeiter sind immer noch sehr häufig das Einfallstor für Cyberkriminelle, indem sie in Mails einen vermeintlich harmlosen Anhang öffnen oder auf einen unverfänglichen Link klicken.
Dabei werden diese Attacken immer professioneller, weil die Angreifer vorher das Umfeld auskundschaften und dafür sorgen, dass in den Mails Details eingearbeitet sind, die diese glaubwürdig erscheinen lassen. Dazu wird häufig auch Social Engineering genutzt. Dabei besorgen sich die Cyberkriminellen über Telefonanrufe oder Mailanfragen – oder über Kontakte auf Messen und Veranstaltungen – Informationen, die sie dann für die Phishing-Mails oder Angriffe mit Schadprogrammen nutzen. Die Verantwortlichen in den Unternehmen müssen sich gegen Cyberangriffe besser wappnen als bisher, denn mit der wachsenden Bedeutung von digitalen Technologien werden diese auch immer interessanter für Attacken. Ein erfolg- reicher Schutz erfordert aber auch Geld. Bisher werden im Durchschnitt weniger als zehn Prozent des IT-Budgets für IT-Sicherheit ausgegeben. Eigentlich sollten es 20 Prozent sein, empfehlen das Bundes-amt für Sicherheit in der Informationstechnologie und Bitkom gleichermaßen. Wenn man sich die möglichen Schäden für das gesamte Unternehmen durch einen erfolgreichen Cyberangriff ansieht, dann dürfte das gut investiertes Geld sein.