Das ist kein Klacks: 4,2 Millionen Euro kostet ein Datendiebstahl oder -missbrauch im Schnitt in Deutschland. Errechnet hat das der IT-Konzern IBM in Zusammenarbeit mit dem Ponemon Institute im jüngst veröffentlichen Report "Cost of a data breach". Am höchsten sind die Schäden demnach in der Industrie, dort kostet ein Datenleck bis zu 5,6 Millionen Euro. Man sollte also meinen, dass bei all den Berichten über Verschlüsselungstrojaner, Schadsoftware und Internetbetrügereien deutsche Betriebe nun alles unternehmen, um sich besser gegen Cyberangriffe aller Art zu schützen.
Vor einem Forum für Cybersecurity, veranstaltet vom Bundesverband Deutscher Mittelstand, kamen vergangenen Monat eine Reihe von Experten in München zusammen: Dina Treu, Vizepräsidentin des Verbands, Sergej Epp von der Sicherheitsfirma Palo Alto Networks, Thorsten Delbrouck, Informationssicherheitschef beim Technologiekonzern Giesecke+Devrient, und Steffen Siguda, in gleicher Funktion bei Osram tätig. Deren Erfahrungen zeigen eher, dass deutsche Unternehmen weiterhin Nachholbedarf haben. Aber auch die Rahmenbedingungen sind eine Herausforderung.
"Manche inhabergeführten Unternehmen und Mittelständler verfügen bereits über umfassende Cyber-Sicherheitssysteme, während andere das Thema vor sich her schieben", sagt Dina Treu. Leider gibt es immer noch Unternehmer, die das Internet als Trend betrachten, den es zu beobachten gilt. Das reicht aber nicht. Nach wie vor unterschätzen Unternehmer die Gefahr einer Cyberattacke: Laut dem Cyber Security Report 2018 der Unternehmensberatung Deloitte und des Instituts Allensbach sinkt das Risikobewusstsein sogar. 47 Prozent der Befragten erklärten, ihr Unternehmen sei selten oder nie einem IT-Angriff ausgesetzt, im Vorjahr waren es 40 Prozent. Rund ein Drittel der Führungskräfte geht allerdings davon aus, dass Angriffe häufig unbemerkt bleiben. Und rund 60 Prozent halten das Risiko, dass ihre Firma durch einen Hackerangriff gravierend geschädigt werden könnte, für gering oder sehr gering. "Viele haben noch nicht verstanden, dass der Erfolg in digitalen Geschäftsmodellen auch eine gute Cybersicherheit voraussetzt", sagt Sergej Epp.
Um Mittelständlern zu mehr Bewusstsein zu verhelfen, führe der Verband Gespräche in unterschiedlichen Formaten und beteilige sich an Veranstaltungen, sagt Treu. "Wir bieten Unternehmern und Spezialisten Raum für ausführlichen Erfahrungsaustausch: um neue Einblicke zu bekommen, neue Akteure kennen zu lernen, die eventuell Entscheidungsprozesse oder die Planung nächster Schritte unterstützen können."
Eine konkrete Maßnahme für mehr Sicherheit ist etwa, dass Unternehmensbereiche wie Forschung & Entwicklung und Informationssicherheit zusammenrücken. "Wir versuchen, bei allen Projekten von Anfang an dabei zu sein und das Geschäftsmodell zu unterstützen", so Thorsten Delbrouck. Im ersten Impuls dürfe man dann nicht sagen, jenes Projekt gehe nicht, weil es zu gefährlich sei. Die erste Antwort müsse sein: Ja, das können wir machen - aber dann müssen wir auch jenes machen für die nötige Sicherheit.
Ein Problem: In den Produktionsanlagen der Betriebe stehen viele Maschinen, die nie dafür gemacht waren, mit einem globalen Netzwerk mit Milliarden an Teilnehmern verbunden zu werden. Zudem hat die Qualität dessen, was Unternehmen herstellen, einen ganz anderen Lebenszyklus als die darin verbaute IT-Technologie, sagt Steffen Siguda. Letztere wird heute für drei Jahre entwickelt. Eine Produktionsanlage dagegen laufe bis zu 40 Jahre - und wer weiß heute schon, wie das Internet der Dinge im Jahr 2059 aussehen wird. Auch der Datenschutz, so wichtig er ist, kann zum Problem werden, gerade bei einer laufenden Attacke. Wenn Rechner untersucht werden müssen, könnte das personenbezogene Daten von Mitarbeitern und Kunden betreffen. Da prüfe erst der Datenschutzbeauftragte des Unternehmens, dann der Bereich Compliance und zuletzt der Betriebsrat, so Epp: "Bei Cyberangriffen kann ich forensische Maßnahmen in Deutschland nur selten schnell durchführen." Das bestätigt auch Delbrouck. Man könne zwar viele Widerstände lösen, "aber dann verlieren wir Zeit. Und das einzige, was wir bei solchen Angriffen nicht haben, ist Zeit."
Ein Grundmaß an Sicherheit lässt sich auch mit einfachen Maßnahmen erreichen
Laut dem IBM-Report brauchen Betriebe im Schnitt 170 Tage, um ein Datenleck zu erkennen und einzudämmen. So stelle sich auch die Frage, ob Regelungen wie die Datenschutz-Grundverordnung einen Standortvorteil für Deutschland und die EU bieten oder eher einen Nachteil im globalen Wettbewerb. "Wir müssen akzeptieren, dass wir in einer digitalen Welt leben und digitale Spuren hinterlassen", sagt der Sicherheits-Chef von Giesecke und Devrient. Natürlich müsse reguliert werden, wer was mit diesen digitalen Spuren machen darf. Aber wenn Deutschland bei künstlicher Intelligenz und anderen Technologien führend sein wolle, dürfe der Schutz der Daten kein Hemmnis sein. "Ich habe auch keine Lösung für das Problem. Aber es ist ein Problem."
Worin sich die Experten einig sind: Es gibt Maßnahmen, die Unternehmer beachten sollten, um zumindest ein Grundmaß an Sicherheit zu erreichen. Und diese Maßnahmen müssen auch kein großes Geld kosten. Unter anderem gehört dazu, alle IT-Systeme zu kennen, die im Betrieb genutzt werden; diese Systeme dann aktuell zu halten, Updates zu installieren; nur aktuelle Software kaufen, für die es einen Support gibt; Backup- und Notfall-Konzepte zu haben; eine Basiskonfiguration einzustellen. Wer ohnehin mit IT-Dienstleistern arbeitet, kann meist auch von jenen ein Sicherheitspaket kaufen.
Bleibt noch der Faktor Mensch. Unternehmen können testen, wie ihre Mitarbeiter reagieren, wenn eine betrügerische E-Mail eingeht. Mit entsprechenden Schulungen lassen sich die Klickraten erheblich senken, so Epp. Doch jeder einzelne infizierte E-Mail-Anhang oder betrügerische Text kann schon großen Schaden anrichten. Für die Führungsebene und IT-Experten ist es ein schmaler Grat, Mitarbeiter für das Problem zu sensibilisieren, ohne ihnen Angst vor jeder neuen E-Mail zu machen. Doch Betrugsmaschen laufen immer auf einen Identitätsdiebstahl hinaus. Osram-Sicherheitschef Siguda: "Es gibt allein bei E-Mail-Programmen vieles, das man einrichten kann, etwa zu definieren, wer darf in meinem Namen eine E-Mail von Osram verschicken. Allein dadurch verhindern wir pro Tag 3000 bis 5000 Angriffe."
In jeder dritten deutschen Firma allerdings beschäftigt sich die Geschäftsführung nicht so intensiv oder gar nicht mit Informationssicherheit, ermittelten die Autoren des Deloitte-Reports. Trotzdem sieht sich die Hälfte der Unternehmen insgesamt auf Gefahren so gut wie möglich vorbereitet. Solange sich dieser Widerspruch nicht auflöst, dürften die Schäden weiterhin hoch bleiben: Im internationalen Vergleich der IBM-Studie jedenfalls steht Deutschland auf dem dritten Platz der höchsten Kosten, hinter den USA und dem Mittleren Osten.