Hackerangriffe: Die unterschätzte Gefahr aus dem Netz

Es vergeht kein Tag, an dem sie es nicht versuchen: Hacker greifen Unternehmen, Institutionen und Behörden an, um sensible Daten zu stehlen, die IT des Angegriffenen lahmzulegen oder Lösegelder zu erpressen. Vor allem kleine und mittlere Unternehmen sind solchen Angriffen oftmals schutzlos ausgeliefert. Sie haben weder das Personal noch die Mittel, um sich gegen derartige Attacken zu wappnen, so scheint es. Doch auch ohne großes IT-Team können Unternehmer:innen das Risiko minimieren, gehackt zu werden – wenn sie ein paar einfache Regeln beachten.
Von Sven Frohwein
„Bei vielen Unternehmen fehlt schlicht das Verständnis“, sagt Sebastian Barchnicki, Sprecher der Geschäftsführung bei DIGITAL.SICHER.NRW. Das Kompetenzzentrum des Landes Nordrhein-Westfalen wurde im Frühjahr 2021 auf den Weg gebracht. Die Idee dahinter: kleine und mittlere Unternehmen auf die Risiken der digitalen Welt aufmerksam machen – oder wie DIGITAL.SICHER.NRW mit Sitz in Bochum und Bonn es nennt: „Wir unterstützen kleine sowie mittlere Betriebe bei der digitalen Selbstverteidigung.“
Laut einer aktuellen Studie des IT-Branchenverbands BITKOM entstehen in deutschen Unternehmen jedes Jahr Schäden in Höhe von 203 Milliarden Euro durch Angriffe auf die IT-Infrastruktur. In den Jahren 2018/2019 waren es gerade einmal 103 Milliarden Euro. 84 Prozent der Unternehmen waren laut BITKOM betroffen, weitere neun Prozent gehen davon aus, Opfer eines Angriffs geworden zu sein. Dabei sind die Angriffe aus Russland und China zuletzt sprunghaft angestiegen: 43 Prozent der betroffenen Unternehmen haben nach der Studie mindestens eine Attacke aus China identifiziert, 2021 waren es 30 Prozent. 36 Prozent haben Urheber in Russland ausgemacht (2021: 23 Prozent).
„Es ist einfach ein Trugschluss zu glauben, dass es sich für Angreifer nicht lohne, in kleine und mittlere Unternehmen einzubrechen.“
„Die Großen haben die Ressourcen, sich um das Thema IT-Sicherheit zu kümmern, viele kleine und mittlere Betriebe nicht“, sagt Friederike Schneider, stellvertretende Geschäftsführerin des Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum. Und es gibt laut Schneider noch ein Problem – und zwar in den Köpfen der Unternehmer:innen: „Es wird nur mit Schreckensszenarien gearbeitet. Man kann IT-Sicherheit auch positiv verankern“, so Schneider. Wer auf IT-Sicherheit setze, der investiere in die Zukunftsfähigkeit seiner eigenen Firma. „Es ist einfach ein Trugschluss zu glauben, dass es sich für Angreifer nicht lohne, in kleine und mittlere Unternehmen einzubrechen“, sagt Schneider. Oft seien aber nicht nur Unternehmen betroffen, sondern auch Institutionen und die öffentliche Verwaltung.
barchnicki (1)
Warnen davor, Hackerangriffe auf die leichte Schulter zu nehmen: Friederike Schneider, stellvertretende Geschäftsführerin des Horst-Görtz-Instituts für ITSicherheit der Ruhr-Universität Bochum, und Sebastian Barchnicki, Sprecher der Geschäftsführung von DIGITAL.SICHER.NRW, dem Kompetenzzentrum für Cybersicherheit des Landes NRW. Foto: Anna Kalweit
Wie das Beispiel der Stadtverwaltung Witten zeigt: Im Oktober 2021 wurden bei einem Hackerangriff auf die Verwaltung sämtliche Daten zerstört, selbst die Sicherungsfestplatten wurden bei der Attacke gelöscht, die Kommunikation war nachhaltig gestört: kein Telefon, kein Internet, keine E-Mails. Angestellte der Stadtverwaltung telefonierten über ihre privaten Handys und brachten eigene Notebooks mit zur Arbeit, Notizen wurden wieder handgeschrieben, Gebühren in bar entgegengenommen und längst veraltete Arbeitsmittel wie Stempel, Bleistift und Quittungsblöcke hatten wieder Konjunktur. Das IT-System der Stadt musste komplett neu aufgesetzt – und natürlich umfänglich gesichert werden. Eineinhalb Monate später funktionierte die Kommunikation per E-Mail wieder und erst kurz vor Weihnachten konnten Bürger: innen wieder online Termine beim Standesamt und in der Bürgerberatung vereinbaren. Gut drei Monate dauerte es, bis das Ratsinformationssystem wieder arbeitete.
„Soweit muss es nicht kommen“, sagt Sebastian Barchnicki von DIGITAL.SICHER.NRW. Das Kompetenzzentrum hat einen IT-Sicherheitskompass für kleine und mittlere Betriebe erstellt, der Punkt für Punkt erklärt, wie man das eigene Unternehmen widerstandsfähiger gegen Angriffe aus dem Netz macht. Das fängt bei sicheren Passwörtern an und hört nicht erst mit regelmäßigen Software-Updates auf, um mögliche Einfallstore zu schließen. „Für jedes Unternehmen ist es selbstverständlich, einen Zaun um das eigene Grundstück zu ziehen und am Ende eines Arbeitstages die Türen abzuschließen“, so Barchnicki. „Aber dass die eigene Website und das dahintersteckende Content-Management-System aktuell sein muss, ist vielen nicht bewusst. Dabei lässt sich mit wenig Aufwand viel erreichen.“
Aber auch große Unternehmen mit großer IT-Abteilung sind bei Hackerangriffen oft machtlos. Bei einem Angriff auf die Funke-Mediengruppe in Essen im Dezember 2020 verschlüsselten die Angreifer:innen die Daten des Medienkonzerns und forderten ein Lösegeld. Bei einer solchen Ransomware-Attacke wird Software in das Netzwerk des Angegriffenen eingeschleust, die die Daten des Unternehmens durch Verschlüsselung unbrauchbar macht. Die Folgen für Funke: Die Zeitungen der Mediengruppe mussten anfangs in Notausgaben erscheinen, sie wurden laut WAZ-Chefredaktion „quasi von Hand gebaut“, wie Spiegel Online damals berichtete.
Texte wurden telefonisch übermittelt, Fotos sehr aufwendig eingearbeitet. Eine internationale Hackergruppe soll hinter den Attacken stecken. Ermittler:innen in NRW haben die mutmaßlichen Drahtzieher des internationalen Netzwerks von Cyberkriminellen identifiziert. Den Verdächtigen werden mehr als 600 Angriffe auf Institutionen weltweit angelastet.
„Es ist entscheidend, sich im Falle eines Angriffs professionelle Hilfe zu holen.“
Die Funke Mediengruppe hat den Angriff sehr schnell publik gemacht. Viele Unternehmen scheuen allerdings genau diesen Schritt. Sie fürchten um ihren guten Ruf und haben Angst, Geschäftsparter:innen, Kund:innen und Lieferant:innen zu verlieren. „Dabei ist es umso wichtiger, im Falle eines Angriffs auch Partnerunternehmen zu informieren, damit der Schaden eingegrenzt werden kann“, sagt Sebastian Barchnicki. Ansonsten seien die Folgen meist noch größer. „Und es ist entscheidend, sich im Falle eines Angriffs professionelle Hilfe zu holen.“ Barchnicki empfiehlt, auch Anzeige bei der Polizei zu erstatten: „Das sorgt für Sichtbarkeit bei den Sicherheitsbehörden und hilft die Situation besser zu bewerten.“
Ein Wachstumsmarkt: Das Geschäft mit der IT-Sicherheit boomt seit Jahren. Auch hier hat der Branchenverband BITKOM Zahlen parat: „Für IT-Sicherheit wird in Deutschland derzeit so viel Geld ausgegeben wie noch nie zuvor“, heißt es in der Mitteilung des Verbandes. Die Ausgaben für Hardware, Software und Dienstleistungen im Bereich IT-Sicherheit werden sich allein im Jahr 2022 auf rund 7,8 Milliarden Euro belaufen, so BITKOM weiter – ein Plus von 13 Prozent im Vergleich zum Vorjahr. Eine Entwicklung, die längst noch nicht abgeschlossen ist: In den kommenden Jahren werden die Ausgaben für IT-Sicherheit weiter um jeweils rund zehn Prozent steigen, so BITKOM.
„Der Fachkräftemangel entwickelt sich zum Haupthindernis bei der digitalen Transformation.“
Und dann ist da noch der Fachkräftemangel: Laut dem IT-Verband fehlen in Deutschland zurzeit 137.000 IT-Expert:innen quer durch alle Branchen. Damit liegt die Zahl sogar über dem Vor-Corona-Jahr 2019 mit 124.000 unbesetzten Stellen. Den Unternehmen macht vor allem der demografische Wandel zu schaffen. Signifikant weniger Menschen mit IT-Qualifikationen kommen auf dem Arbeitsmarkt an, während Ältere aus den einschlägigen Berufen ausscheiden. BITKOM-Präsident Achim Berg geht sogar noch weiter: „Der Fachkräftemangel entwickelt sich zum Haupthindernis bei der digitalen Transformation.“ Ein Ausweg könnte ein neuer Ausbildungsberuf sein, sagt Friederike Schneider: „Es muss nicht immer ein Master sein, es braucht einen IHK-Abschluss Cybersicherheit. Und es muss uns gelingen, mehr Frauen für das Thema IT-Sicherheit zu begeistern.“
Hier setzt ewa, die Eurobits Women Academy, an. Das Projekt von eurobits e.V., dem europäischen Kompetenzzentrum für Sicherheit in der Informationstechnologie, möchte vor allem jungen Frauen das Thema IT-Sicherheit schmackhaft machen. „Zu wenig Förderung, zu wenige Vorbilder, zu wenige Studentinnen: Das sind nur drei der Gründe, warum die Frauenquote in IT-Berufen in Deutschland im internationalen Vergleich weit unter dem Durchschnitt liegt“, heißt es beim vom Land NRW geförderten Projekt. ewa möchte mit Beratung, Infoveranstaltungen und einer möglichst frühen Ansprache junger Frauen gegensteuern.
Doch nicht alles lässt sich mit genügend Fachkräften heilen. „In vielen Unternehmen fehlt eine ausgeprägte Fehlerkultur“, sagt Sebastian Barchnicki. „Das A und O ist die Mitarbeiter-Sensibilisierung: damit sie sich melden, wenn sie auf einen zweifelhaften Link geklickt oder einen E-Mail-Anhang geöffnet haben, den sie nicht zweifelsfrei zuordnen konnten – und sich nicht tatenlos ins Wochenende verabschieden.“ Das sei kein leichtes Unterfangen: „Die Komplexität der digitalen Welt wird weiter zunehmen. Wir müssen uns so schnell wie möglich um das Thema IT-Sicherheit kümmern.“