Es ist eine E-Mail, wie sie Dutzende Male pro Woche eintrudelt im Posteingang eines Büroangestellten. Ein neuer Lieferant will auf sich aufmerksam machen, im Anhang findet sich eine Datei im PDF-Format. Eine ganz normale Sache. Oder?
Ein wenig wundert sich der Sachbearbeiter schon, als sich die Datei nach einem Doppelklick nicht öffnet. Doch dann geht er einfach über zur nächsten E-Mail. War wohl kaputt, das PDF. Ist ja nichts passiert.
Er hat ja keine Ahnung!
Das PDF ist kein Angebot, es ist schädliche Software, die sich unbemerkt einnistet auf dem Rechner des ahnungslosen Sachbearbeiters - ein Virus. Nun sucht die bösartige Software von dem befallenen Rechner aus im Firmennetz nach weiteren Schwachstellen. Sehr vorsichtig, um ja keine Aufmerksamkeit auf sich zu ziehen. Und wird schließlich fündig.
Was Vorfälle wie dieser an finanziellem Schaden auslösen können, lässt sich alljährlich nachlesen im Report des Ponemon Institute, einem auf IT-Sicherheit spezialisierten Think Tank, der von großen US-Firmen finanziert wird. Vor kurzem ist die neue Ausgabe erschienen. Knapp vier Millionen Euro kostet es demnach im Durchschnitt für ein größeres deutsches Unternehmen, wenn es einen solchen Sicherheitsvorfall gegeben hat. Bei kleineren Firmen liegt die Schadenssumme darunter, eine Million kommt aber schnell zusammen.
Treffen kann es jeden. Doch während große Firmen eigene IT-Abteilungen unterhalten, stehen kleine und mittlere Unternehmen oft viel schlechter da. "Die IT" besteht nicht selten aus wenigen notorisch überlasteten Computerleuten. Die hätten eigentlich schon genug damit zu tun, die Systeme überhaupt am Laufen zu halten. Und nun sollen sie den Laden auch noch vor Hackern schützen. Teure Schutzmaßnahmen, kostspielige individuelle Beratung können sich die Kleineren kaum leisten, sagt Christian Schaaf, Chef der Sicherheitsfirma Corporate Trust.
Bei einer erfolgreichen Cyberattacke können zum Beispiel Kreditkartendaten der Kunden gestohlen werden, E-Mail-Adressen samt Passwörtern oder Firmengeheimnisse: Konstruktionszeichnungen, Herstellungsverfahren. Oder die Angreifer verschlüsseln alle wichtigen Daten und verlangen ein Lösegeld - Ausgang ungewiss, auch wenn das Geld bezahlt wird.
Der Schutz vor Angriffen aus dem Netz wird ständig wichtiger. Um die Produktivität zu erhöhen, verknüpfen die Unternehmen alles mit allem: Roboter fordern selbständig Bauteile an, Zulieferer sind an die internen Systeme angebunden. Und auch die Hersteller der Produktionsmaschinen haben nicht selten Zugriff darauf, etwa für vorausschauende Wartung.
Das machen sich auch die Angreifer zunutze. "Bei dem, was uns bevorsteht, wird es immer interessanter, wer mit wem im Bett ist", sagt Schaaf. Doch noch immer herrscht bei vielen Unternehmen Sorglosigkeit. Obwohl mittlerweile fast alle Unternehmen bereits IT-Sicherheitsvorfälle erlebt haben - in verschiedenen Studien ist von 70 bis 97 Prozent die Rede - hat sich nur bei einem Teil von ihnen daraufhin wirklich etwas geändert.
"Die Hidden Champions fühlen sich zu sicher."
Das liegt auch daran, dass die Betroffenen nicht gerne darüber sprechen, wenn sie Opfer eines Cyberangriffs geworden sind. Die Dimension des Problems bleibt so verborgen: "Man redet nicht gerne darüber, wenn ein Arzt drei Tage lang seine Praxis schließen muss", sagt Hanno Pingsmann. Der Start-up-Unternehmer hat ein Vergleichsportal für Cyber-Versicherungen aufgebaut. Das Beste wäre natürlich, wenn man die gar nicht bräuchte. Doch viele Kleinbetriebe und Mittelständler tun noch immer viel zu wenig für die Sicherheit ihrer Daten, wie eine Befragung im Auftrag von Pingsmanns Firma Cyberdirekt unter deutschen Unternehmen ergab: Nur zwei Drittel der kleineren und mittleren Unternehmen sicherten regelmäßig ihre Daten, nur 40 Prozent verschlüsselten persönliche Daten, nur 27 Prozent schulten ihre Mitarbeiter: "Da gibt es einen extremen Nachholbedarf", sagt Pingsmann.
Die Ergebnisse decken sich mit Erkenntnissen anderer Experten der Branche. "Die Hidden Champions fühlen sich zu sicher", sagt Mike Hart. Der Amerikaner ist für die Geschäfte der US-Firma FireEye in Zentral- und Osteuropa verantwortlich. FireEye gilt als einer der führenden Spezialisten im Kampf gegen Cyberangriffe auf Unternehmen und Regierungseinrichtungen, die Unternehmenstochter Mandiant ist in der Branche als Feuerwehr bekannt, die man holt, wenn es einen erwischt hat.
Früher sei es Cyberkriminellen vor allem um Geld gegangen, sagt Hart, das sei oft auch noch so. Mittlerweile aber gebe es zwei neue Angriffsszenarien: Bei groß angelegten Attacken wird erst einmal gar nichts erbeutet oder zerstört. Es gehe, sagt Hart, um eine Art Machbarkeitsstudie. Funktioniert ein Angriff? Und schließlich die geopolitische Dimension: Mehr und mehr Attacken hätten das Ziel, die kritische Infrastruktur anzugreifen - Energie- oder Wasserversorgung, Behörden, Krankenhäuser - oder auch Wahlen zu beeinflussen.
In vielen Firmen aber werde die IT immer noch als lästiges Beiwerk verstanden, die Frage nach der Sicherheit nicht oder nicht nachdrücklich genug gestellt. Das wird vor allem zum Problem, wenn Zulieferer und andere Dienstleister aufs firmeninterne Netz zugreifen oder wichtige Daten bei sich speichern. Eine ganze Reihe von Autoherstellern hat das gerade erfahren. Pläne für die Gestaltung von Fabriken, Geheimhaltungsvereinbarungen und viele andere sensible Daten unter anderen von Toyota, Tesla und VW waren im Internet frei zu lesen. Die undichte Stelle: ein kleineres kanadisches Robotik-Unternehmen.
Schafft es ein Angreifer nicht, ein Unternehmen direkt zu attackieren, versucht er es immer öfter bei dessen Zulieferern. Die meisten Angriffe seien zwar großflächig und nutzten bekannte Schwachstellen aus, wie Hanno Pingsmann sagt. Gegen solche Attacken kann man sich mit vertretbarem Aufwand verteidigen. Es gibt aber auch die ausgefeilten Versuche, an Informationen zu kommen. Sie völlig zu verhindern, das gestehen Sicherheitsexperten durch die Bank ein, ist keine Frage der Machbarkeit, sondern des Aufwandes.
"Das größte Cyberrisiko sitzt vor dem Bildschirm."
Was aber bedeutet das für die Firmen? Ist eh egal? Mitnichten. Sie müssen identifizieren, welche Daten keinesfalls in fremde Hände gelangen dürfen. Das können alle möglichen Daten sein, je nach Branche und je nach Art der Firma. Diese Daten gilt es dann mit dem größtmöglichen Schutz zu versehen, zum Beispiel durch ein komplett separiertes internes Netz.
Aber schon die großflächigen Angriffe kommen mitunter ziemlich raffiniert daher. Besonders fies war die Attacke, die unter dem Namen Notpetya bekannt wurde. Hackern war es gelungen, in die Server des ukrainischen Herstellers einer Finanzsoftware-Firma einzudringen. Dort hatten sie Updates für das Programm mit ihrem Erpressungstrojaner verseucht. Wer das Update einspielte, lief Gefahr, angesteckt zu werden. "Dabei hat man den Leuten eingebläut, Sicherheitsupdates zu installieren", sagt Sven Welschen von der US-IT-Sicherheitsfirma Crowdstrike. "Wer als erster gepatcht hat, wurde bestraft." Denn der Patch, der Flicken, wie man Updates auch nennt, war eben verseucht.
Welschen rät, sich auch um die Lieferkette zu kümmern, das Sicherheitskonzept müsse mit den Zulieferern zusammen entwickelt werden. Doch wie sollen Mittelständler das hinkriegen? Für sie ist vielleicht ein neuer Service von Corporate Trust und deren Tochter CyDis eine Lösung. Für weniger als 100 Euro untersucht eine Software automatisch die öffentlich zugänglichen Systeme eines potenziellen Partners auf Schwachstellen und wirft am Ende einen Wert aus. Etwa 50 einzelne Faktoren werden dabei derzeit geprüft, bis Jahresende sollen es 100 sein.
Eines allerdings ist damit nicht zu verhindern, ein Problem, lange bekannt in der IT-Branche, aber ungelöst: "Das größte Cyberrisiko", sagt Sicherheitsexperte Welschen, "sitzt vor dem Bildschirm".