(verpd) Wirtschaftsspionage, Sabotage und Datendiebstahl kommen den Unternehmen hierzulande teuer zu stehen. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) hatte den dadurch entstandenen Schaden bereits für das Jahr 2017 auf 55 Milliarden Euro in Deutschland geschätzt. Andere Schätzungen gehen von Dunkelziffern bis zu 100 Milliarden aus. Experten verdeutlichten im Rahmen einer Fachkonferenz das aktuelle Bedrohungspotenzial.
Große Unternehmen sind in Teilen gut gegen Cyberkriminalität aufgestellt. Doch auch kleine Firmen verfügen über wichtige Daten, die zu schützen sind. Das erklärte Hans-Wilhelm Dünn, Präsident Cyber-Sicherheitsrats Deutschland e.V., jüngst auf einer Konferenz mit dem Titel „Cyberrisks for Critical Infrastructures“.
Fast 100 Tage bleibt ein Cyberangriff im Schnitt unentdeckt
Als Beispiel wurde unter anderem eine Tierpension genannt. Wer hier sein Haustier abgibt, hinterlässt im Regelfall viele persönliche Daten wie E-Mail-Adressen, Urlaubszeiten und nicht selten auch Indikatoren zum Einkommen. Für Phishing, Ransomeware und ähnliche kriminelle Aktivitäten bietet auch ein solch kleines Unternehmen einige Ansatzpunkte. Cybersicherheit müsse eine gesamtgesellschaftliche Aufgabe für Wirtschaft, Staat und Wissenschaft sein.
Von den Sicherheitsproblemen in der IT-Technik sind Experten nach Einschätzung von Dr. Michael Kreutzer vom Fraunhofer Institut für Sichere Informationstechnologie rund 80 Prozent bekannt, werden aber nicht entsprechend behoben.
„Wir sehen uns einer riesigen Welle von Lücken gegenüber, die man hätte fixen können, es aber nicht getan hat“, sagte Kreutzer. Im Durchschnitt werde ein Cyberangriff erst nach 99 Tagen bemerkt. Dank zunehmender Achtsamkeit habe sich dieser Zeitraum damit bereits von unlängst noch 150 Tagen verkürzt.
Neue Tricks
Kreutzer nannte eine Reihe von Beispielen für Sicherheitslücken. Neu sei beispielsweise die Erpressung, nachdem die E-Mail-Adresse massenhaft in Newslettern eingetragen worden sei. „Das funktioniert nicht über Botnetze oder Netzwerke, sondern über eine Technik, die für 20 Dollar im Darknet zu kaufen ist“, so Kreutzer.
Für die Betroffenen gebe es wenige Schutzmechanismen. Neu sei auch das Abfangen von E-Mails, die PDF-Dateien mit Rechnungen beinhalten. Letztere würden dann mit neuer Kontonummer versehen und mit der Original-E-Mail an den Empfänger versendet, der die Manipulation nicht erkennen könne.
Die Folgen von Wirtschaftsspionage, Sabotage und Datendiebstahl sind für die davon betroffenen Unternehmen oft dramatisch. Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) hatte den dadurch entstandenen Schaden 2017 auf 55 Milliarden Euro geschätzt. Danach waren 53 Prozent der Unternehmen innerhalb der letzten zwei Jahre Opfer von Cybercrime.
Facebook & Co.
Viele Cyberangriffe werden nach wie vor erst durch falsches Handeln von Mitarbeitern möglich. Henning Voß, Referent Wirtschaftsschutz vom Landesverfassungsschutz Nordrhein-Westfalen (NRW), warnte davor, dass unvorsichtig mit vermeintlich unwichtigen Daten umgegangen werde.
Über soziale Medien – Karrierenetzwerke oder auch die privaten Netzwerke – bekämen Angreifer eine Fülle von Informationen, die sie für Social Engineering ausnutzen würden. Seien private Interessen erst einmal bekannt, folgten manipulierte E-Mails mit Schadsoftware. Voß wie auch andere Experten der Konferenz empfahlen, Notfallpläne aufzustellen. Laut einer Bitkom-Studie mangelt es daran in noch mehr als jedem zweiten Unternehmen.
Diese Pläne sollten physisch in der Schublade liegen und auch den Umgang mit Fehlern im Betrieb regeln, sagte Kriminalhauptkommissar Peter Vahrenhorst vom Kompetenzzentrum Cyber-Crime des Landeskriminalamtes NRW. Da Cyberangriffe zeitkritisch seien, sei es wichtig, dass die Mitarbeiter sich trauten, in Notfallsituationen zu regieren. Dies gelte auch, wenn sie selbst falsch gehandelt hätten, so Vahrenhorst.
Es gibt keinen 100-prozentigen Cyberschutz
Doch trotz aller verfügbaren Schutzmaßnahmen gibt es keine 100-prozentige Sicherheit vor Cyberkriminellen. Versicherer bieten daher entsprechende Cyberversicherungen an, damit ein erfolgter Cyberangriff nicht zum Desaster für die betroffene Firma wird.
Neben finanziellen Schäden und einem Imageverlust kann ein solcher Cyberangriff Schadenersatz-Forderungen von Dritten und sogar ein Bußgeld nach sich ziehen, wenn man beispielsweise eigene Kunden nicht darüber informiert, dass ihre Daten durch so einen Angriff gestohlen wurden.
Mit einer Cyberpolice lassen sich unter anderem die Kosten durch Datendiebstähle, Betriebsunterbrechungen und für den Schadenersatz an Dritte abdecken. Zudem bieten viele Versicherer ihren Kunden mit Cyberpolicen im Ernstfall einen umfangreichen Service wie die Vermittlung und Kostenübernahme von IT-Experten, spezialisierten Anwälten und Krisenkommunikatoren, um auch die sonstigen Folgen eines Cyberangriffs klein zu halten.