Ende November musste die Universität Duisburg Essen einen Hackerangriff auf ihre IT-Systeme melden: Die Angreifer hatten die komplette IT-Infrastruktur der Universität lahmgelegt, nichts funktionierte mehr: E-Mails kamen nicht mehr an, Telefone standen still, die IT-Dienstleistungen für Forscher und Studierende waren komplett offline.
Der Angriff war typisch für eine Welle von Attacken, die aktuell auch die deutsche Wirtschaft trifft: Erpresser versuchen, die digitale Infrastruktur der Firmen per Angriff lahmzulegen und verlangen Lösegeld. Die Folgen für die Wirtschaft sind gravierend: Eine Umfrage des finnischen Sicherheitsanbieters WithSecureTM unter deutschen IT-Entscheidern ergibt, dass fast die Hälfte der Manager den Ruin ihrer Firmen fürchtet, falls die Angreifer erfolgreich sind.
Sicherheitsexperte Rüdiger Trost von WithSecure Deutschland kommentiert: „IT-Entscheider haben privilegierte Einblicke in den Status quo der Cybersecurity. Wir sehen hier wie bei einem Seismografen, was hinter den Kulissen wirklich los ist. Das Ergebnis ist alarmierend. Es braucht nicht immer TNT wie bei den Nordstream-Pipelines, um Europa zu destabilisieren.“
Hackerangriffe auf Firmen treffen nicht nur die Unternehmen selbst, warnt Trost. Angriffe auf Firmen, die die Versorgung mit Energie, Wasser oder Lebensmitteln sicherstellen, haben das Potenzial, ganze Volkswirtschaften kurzzeitig zu destabilisieren. Für Rolf Schumann, Chief Digital Officer, Schwarz Gruppe, sind Hackerangriffe auf die über 12.000 Lidl-Filialen des Discounters der Alltag.
Die Schwarz Gruppe kaufte Ende 2021 die israelische IT-Sicherheitsfirma XM Cyber, ein auf den ersten Blick ungewöhnlicher Einkauf für einen Lebensmittel-Discounter. Doch Schumann sieht den Kauf als eine notwendige Investition in die Versorgungssicherheit deutscher Großstädte: „Wenn man eine Größe hat wie wir, haben Sie einen gewissen Anteil an der Versorgung, den wir sicherstellen müssen“, sagte der Sicherheitsexperte Anfang Dezember auf dem WELT SUMMIT Digital Security. „Wir sehen uns als kritische Infrastruktur.“
Ernstfall testen
Die Schwarz-Gruppe hat deswegen inzwischen Trainings für den Ernstfall, hat Worst-Case-Szenarien für den Ausfall der IT vorbereitet – und testet sich ständig selbst, durch Test-Angriffe auf die eigene IT. „Wir wollen permanent unsere eigene Sicherheit infrage stellen.
„Damit ist die Schwarz-Gruppe vielen Firmen in Deutschland weit voraus. „Mindestens 15 Prozent der IT-Budgets sollten in Sicherheit investiert werden“, kommentierte Iris Plöger, Digitalisierungsexpertin des Bundes der deutschen Industrie, auf dem Gipfel. De facto seien es aktuell aber im Schnitt unter zehn Prozent.
Das Problembewusstsein der Unternehmen sei noch nicht ausgeprägt genug. „Es ist eine Budgetfrage, es ist auch eine Frage, wie viele Fachkräfte ich habe.“ Deswegen seien auch Auflagen zur Cybersicherheit aus der Politik nur begrenzt hilfreich. Viele Firmen seien sich der Bedrohung zwar bewusst, sie seien aber schlicht nicht in der Lage, auf die wachsende Bedrohung adäquat zu reagieren.
Doch diejenigen Unternehmen, die hier an Gehältern oder Investitionen in Software sparen, riskieren den eigenen Bestand. „Die Zahl der Angriffe ist auf einem neuen Allzeithoch“, sagte Paul Kaffsack, Gründer der Münchner Sicherheitsfirma Myra Security.
„Sogenannte Verfügbarkeitsangriffe haben sich von 2021 zu 2022 verdoppelt.“ Sei es aus politischen Gründen, zur Rache oder zur Erpressung, die Attacken nehmen zu – ebenso wie die Zahl möglicher Schwachpunkte in der Firmen-IT, da die Firmen vermehrt auf Home-Office einerseits, auf industrielle Vernetzung andererseits setzen.
„Wir müssen von vornherein Sicherheit by Design einplanen“, sagt Kaffsack. In der Autoindustrie sei es eine Selbstverständlichkeit, den Unfall vorzubereiten und zu testen, Airbags und Crashstrukturen einzuplanen. In der Unternehmens-IT würde dagegen noch zu oft erst im Nachhinein Sicherheitsmerkmale in der Software eingebaut.
Klassische Modelle nicht zeitgemäß
Eine ähnliche Vorsorge für den Crash müsse auch in der IT-Planung der Unternehmen selbstverständlich werden.“ Insbesondere in der Pandemie wurde schnell umgeplant, wurde IT-Sicherheit teilweise auch vernachlässigt – das fällt uns jetzt auf die Füße.“
Wilhelm Dolle, Cybersicherheitschef von KPMG, kommentierte, dass das Problem noch immer unterschätzt wird. „Wird genug getan? Nein.“ Die Vorbereitung auf Angriffe auf die IT sei eine unglamouröse Fleißarbeit. Die Verantwortlichkeit dafür sei oft nicht hoch genug in der Managementstruktur der deutschen Unternehmen angesiedelt.
Klassische IT-Sicherheitsmodelle, bei denen vor allem das Firmennetzwerk gegen Zugriffe von außen abgeschottet wird, seien zudem in Zeiten der Vernetzung und Industrie 4.0 nicht mehr zeitgemäß. „Die Firmen öffnen technisch ihre Perimeter für Zulieferer, für Vernetzung von Fabriken, diese Löcher können Angreifer ausnutzen.“
Deswegen sei die Konzentration auf die Prävention von Angriffen allein nicht ausreichend. „Wir sind noch schlecht darin, rechtzeitig zu merken, dass man erfolgreich angegriffen wurde. Schlecht darin, darauf dann sinnvoll schnell zu reagieren.“ Für die Firmen müsse der erfolgreiche Angriff Teil der Planung werden – inklusive Notfall-Tests, bei denen ohne vorherige Ankündigung ausprobiert wird, ob etwa Back-ups funktionieren, welche Personen im Ernstfall verantwortlich sind, wie lange im Fall der Fälle eine Wiederaufnahme des Geschäftsbetriebs dauert.
„Wenn der Fall eingetreten ist, müssen die Pläne bereits da sein“, kommentiert Manuel Höferlin, IT-Experte der FDP-Bundestagsfraktion, auf dem Sicherheitsgipfel. Er fordert: „Wir müssen besser werden in der Resilienz.“ Das gelte insbesondere für die Betreiber kritischer Infrastruktur.
Höferlin regt deswegen ein Cybersicherheitsgesetz 3.0 an, das Betreiber dieser Infrastrukturen zur Vorsorge verpflichtet und unabhängige Stellen zur Beratung der Firmen im Ernstfall schafft. Insbesondere das Bundesamt für Sicherheit in der Informationstechnik, das bislang dem Innenministerium zugeordnet ist, solle künftig unabhängiger agieren können.