Nahezu jede Firma in Deutschland ist im vergangenen Jahr Opfer einer Cyberattacke geworden. In einer vom IT-Branchenverband Bitkom durchgeführten Studie antworteten neun von zehn befragten Firmen, dass sie attackiert wurden. Damit ist die Bedrohung aus dem Netz endgültig in der deutschen Wirtschaft angekommen. Bitkom führt die Befragung alle zwei Jahre durch. Noch 2017 sahen sich nur 50 Prozent der Befragten als von Cyberangriffen betroffen.
Am meisten Schaden haben demnach Ransomware-Attacken angerichtet. Dabei verschlüsseln gut organisierte kriminelle Banden wichtige Daten eines Unternehmens, um anschließend für die Freigabe Lösegeld zu fordern. Solche Angriffe sind besonders kostspielig, weil sie in der Regel zu längeren Produktionsausfällen führen. Selbst wenn Lösegeld gezahlt wird, muss oft das ganze System neu aufgesetzt werden, um einen neuerlichen Befall zu verhindern.
Verdopplung des Schadens binnen zwei Jahren
Aber auch andere Formen von Cyber-Vorfällen hätten zu großen Schadenssummen geführt. So gaben zahlreiche Unternehmen an, dass sie durch Diebstahl von geistigem Eigentum deutliche Umsatzeinbußen hatten. Zusammengerechnet kommt die Studie auf eine Schadenssumme von rund 220 Milliarden Euro. Das ist mehr als doppelt so viel wie bei der letzten derartigen Befragung 2019, damals lag die Gesamtsumme bei rund 100 Milliarden Euro.
Am meisten Sorge machen den deutschen Unternehmern die Ransomware-Angriffe, dicht gefolgt von Angriffen mit Zero-Day-Sicherheitslücken, also Lücken, für die es (noch) keine Verteidigung gibt, weil sie nur den Hackern, aber nicht den Herstellern bekannt sind. Ebenfalls besorgt sind die Firmen über Angriffe mit Spionagesoftware und mit Quantencomputern. Deren Entwicklung steht allerdings noch ganz am Anfang.
Quantencomputer sind für die meisten Unternehmen eher ein unrealistisches Bedrohungsszenario, sagt Hauke Gierow vom Bochumer IT-Sicherheitsunternehmen G-Data. Stattdessen seien es meist Basisfehler, die Unternehmen verwundbar machten: Schlecht geschützte Fernwartungssysteme, schlechte Passwörter, fehlende Segmentierung von Netzwerken, um Angreifern die Ausbreitung im System zu erschweren sowie mangelnde Vorbereitung auf den Ernstfall, etwa die Schulung von Mitarbeitern.
Sicherheitsrisiko Mensch
Denn bei vielen Angriffen setzen die Hacker nicht auf ausgeklügelte Zero-Day-Schwachstellen, um in das System einzudringen. Stattdessen überzeugen sie Mitarbeiter der Firmen durch manipulierte E-Mails (Phishing), oder durch falsche Angaben am Telefon, ihnen Passwörter zu verraten, und sie sozusagen freiwillig ins System zu lassen: Social Engineering nennen Experten dieses Vorgehen.
Auch die Arbeitsbedingungen während der Corona-Pandemie haben den Unternehmen zufolge negativen Einfluss auf die IT-Sicherheit gehabt. Über 50 Prozent der Firmen gaben an, dass es mindestens ein Mal zu einem IT-Sicherheitsvorfall kam, der auf die Arbeit im Home-Office zurückzuführen war.
Einige Zahlen aus der Studie sind allerdings mit Vorsicht zu genießen. Oft geben sie mehr das Bauchgefühl von befragten Führungskräften in Unternehmen wieder als harte Fakten. So glauben 40 Prozent der Befragten, dass die Cyberangriffe auf sie von Hobby-Hackern durchgeführt würden.
Einige wichtige Angriffsarten tauchen zudem gar nicht auf. In einer ähnlichen Studie kam das US-amerikanische FBI 2020 zu der Einschätzung, dass sogenannte Business-E-Mail-Compromises (BEC), also gefälschte E-Mails, mit denen sich Hacker in Rechnungsstellungsprozesse einklinken, für den größten wirtschaftlichen Schaden sorgen. Auch in Deutschland überweisen Angestellte so nichtsahnend regelmäßig hohe Beträge auf Konten von Betrügern. In der Bitkom-Studie dagegen kommt dieses Szenario nicht einmal vor.