Der Angriff erfolgte wohl per Mail, ein Angestellter hatte nicht richtig aufgepasst. Und schon war die komplette Produktion lahmgelegt - über Wochen. Mitarbeiter mussten nach Hause geschickt werden, Hardware musste ausgetauscht werden. Die Polizei war eingeschaltet, IT-Spezialisten kümmerten sich vor Ort, um die Schadsoftware wieder aus den Programmen des Unternehmens zu bekommen. "Das hat einen immensen Schaden angerichtet", sagt Nina Reitsam von der Industrie- und Handelskammer (IHK) Schwaben. Sie erzählt von dem Beispiel, um zu verdeutlichen, wie gefährlich Cyber-Angriffe für Unternehmen sind, nicht nur für große. Die Industrie- und Handelskammer hat gerade eine Studie zu dem Thema erstellt: Mehr als ein Drittel der befragten Unternehmen aus Schwaben war schon einmal Opfer einer Cyber-Attacke.
Die Studie ist noch nicht veröffentlicht, sie soll die Unternehmen sensibilisieren, dass im Internet Gefahr droht. Das ist inzwischen schon deutlicher in den Köpfen der Verantwortlichen angekommen, als es noch vor ein paar Jahren der Fall war: 85 Prozent der befragten Firmen sehen in Cyber-Angriffen eine relevante Gefährdung. Trotzdem, heißt es von Seiten der IHK und anderer Experten, müssten die Unternehmen noch mehr in Prävention und Schutz vor Attacken investieren. Bei einer IT-Sicherheitskonferenz in den Räumen der IHK in Augsburg hatte Oliver Wolf vom auf Sicherheitssoftware spezialisierten Unternehmen Kaspersky Labs erst berichtet, dass viele Unternehmer noch eine gefährliche Denkweise an den Tag legen: "Es ist schon immer gut gegangen." Und es werde schon auch weiter gut gehen. Dabei merkten viele Firmen erst, dass sie Opfer eines Angriffs geworden sind, sagte Timo Heinrich vom Cyber-Allianz-Zentrum Bayern, wenn die Konkurrenz plötzlich mit dem selben Produkt auf den Markt kommt. "Bloß deutlich billiger."
Achtung, wenn vom Staat eine E-Mail kommt! Es könnten Kriminelle dahinterstecken. Deutschlands oberste Cyberwächter warnen vor schwer zu enttarnendem Spam.
Schutz ist also notwendig, sei es wegen Betriebsspionage oder auch Erpressung: Wie im Fall des Schadtrojaners "emotet", der das Unternehmen lahm legte, von dem Nina Reitsam erzählt, steckt oft die Absicht Krimineller dahinter, Geld zu kassieren. Falls ein Unternehmen zahlt, würden die Systeme wieder hochgefahren, so lautet das nicht unbedingt vertrauenswürdige Versprechen. Sinnvoller sei es, sagt die IHK-Leiterin des Geschäftsfelds Industrie, Innovation und Digitalisierung, die Polizei einzuschalten.
Wissensdefizite bei Mitarbeitern sind laut der Studie das höchste Risiko für die IT-Sicherheit eines Unternehmens - so sehen es 72 Prozent der befragten Unternehmen. Nur 28 Prozent denken, dass die fehlende technische Absicherung das größere Problem sei. Knapp 240 Unternehmen aus Industrie, Handel und Dienstleistung haben bei der Studie mitgewirkt - laut IHK ein repräsentativer Querschnitt durch die schwäbische Wirtschaft.
Tatsächlich sind es oft die Mitarbeiter, die eine Mail erhalten, darin auf einen Link klicken oder einen Anhang öffnen, und so das Tor für die Cyberattacke öffnen. Einige Unternehmen arbeiten inzwischen mit Fake-Phishing-Mails, um ihre Angestellten zu sensibilisieren: Das Unternehmen schickt also selbst Mails, um zu testen, ob die Mitarbeiter die Gefahr dahinter erkennen. Und um sie darauf aufmerksam zu machen, künftig vorsichtiger zu sein, falls nicht. Regelmäßige Backups, sichere Passwörter oder auch Datenverschlüsselung gehören aber auch dazu, um eine Firma nachhaltig zu schützen. "Es ist wie bei Einbrechern: Wenn man an seinem Haus ein besseres Schloss oder eine solidere Haustür hat als ein anderes Haus zwei Straßen weiter, trifft es einen selbst vielleicht nicht", sagt Reitsam.
Mittlere und große Unternehmen sind laut Umfrage von Cyber-Angriffen etwas stärker betroffen als kleine Firmen mit weniger als 50 Mitarbeitern. Unternehmen aus den Bereichen Handel, Industrie und Energie werden häufiger als andere Branchen angegriffen. "Es kann aber wirklich alle treffen, auch Krankenhäuser und öffentliche Verwaltungen", sagt Reitsam. Das Problem sei, da sind sich Experten wie Wolf und Reitsam einig, dass IT-Sicherheit nicht zum Kerngeschäft vieler Unternehmen zähle. "Es ist natürlich immer unschön, sich Gedanken zu machen, was passieren könnte", sagt Wolf von Kaspersky Labs. Die Unternehmen müssten aber erkennen, dass sie Mitarbeiter mit entsprechendem Wissen einstellen oder eine externe IT-Sicherheitsfirma beauftragen müssten - auch wenn das nicht zum Tagesgeschäft gehöre. Und man nicht jeden Angriff abwehren könne.