Zur Suche
Cybersicherheit

Oft im Fadenkreuz, zu selten vorbereitet

Kleine und mittelständische Unternehmen des produzierenden Gewerbes gelten oft als Hidden Champions. Dass sie dadurch für Hacker besonders interessant sind, ist vielen nicht bewusst. Die Folgen können buchstäblich vernichtend sein.

Lesedauer
© B4LLS / Getty Images

Ohne funktionierende IT kommt heutzutage kaum noch ein Unternehmen aus. Umso gravierender sind die Folgen, wenn die Technik durch einen Hackerangriff lahmgelegt ist.

Ein Freitag im Mai 2019. Als Nesa Meta sei­nen Rechner starten will, merkt er, dass etwas nicht stimmt. „Wir haben die Systeme hoch­gefahren, dann kam schon die Meldung der Ha­cker“, erinnert sich der damalige Geschäftsführer des Schweizer Fensterherstellers Swisswindows. Die unbekannten Angreifer hatten alle 120 Server des Unternehmens mithilfe eines berüchtigten Verschlüsselungstrojaners gekapert. 

„Der Ryuk-Trojaner hat uns erwischt“, sagt Meta. Und zwar so richtig. Die rund 170 Mitarbeiter des Mittelständ­lers können keine E-Mails mehr verschicken, keine Kundentermine mehr einsehen und die Produktion liegt brach. Umgerechnet 650.000 Euro in Bitcoins soll die Firma zahlen, damit die Hacker die Systeme freigeben. Doch ein Lösegeld kommt für das Management nicht infrage. „Uns war sofort klar, dass wir mit Tätern nicht verhandeln wollen“, erzählt Meta. Auch die inzwischen eingeschalteten Sicherheits­behörden hätten ihnen von einer Lösegeldzahlung abgeraten, sagt Meta. 

Hackerangriff mündet in Konkurs

Was folgt, ist eine Betriebsunterbrechung von mehr als einem Monat. Weil auch die Backups fast vollständig verschlüsselt sind, müssen alle Sys­teme von Spezialisten neu aufgesetzt werden. Die Stammdaten sind größtenteils verloren: Kunden­daten, Maschinendaten, Verträge – all das müssen die Mitarbeiter aufwendig von Hand neu eingeben.  

Doch damit ist der Albtraum nicht zu Ende. Nur wenige Kunden hätten Verständnis für die dra­matische Lage gezeigt, berichtet Meta. So gesellen sich zu den Kosten für die Wiederherstellung der Systeme und zum Produktionsausfall auch Ver­tragsstrafen in erheblicher Größenordnung. „Durch den Angriff ist uns ein millionenschwerer Schaden entstanden.“ Zu viel für den Mittelständler. „Der Cyberangriff hat uns die Existenz genommen.“ Rund sieben Monate nach der Attacke meldet das Unternehmen Konkurs an.

Viele Firmen unterschätzen die Gefahr

Das Beispiel des Schweizer Fensterherstellers ist drastisch – und es macht deutlich, wohin ein erfolgreicher Cyberangriff im schlimmsten Fall führen kann. Umso beunruhigender, wie das produzierende Gewerbe in Deutschland mit der Bedrohung durch Cyberkriminalität umgeht. Nach einer Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) ist sich eine Mehrzahl der kleinen und mittelgroßen Unternehmen in diesem Sektor zwar grundsätzlich der Gefahr bewusst, die von Hackern ausgeht: 56 Prozent schätzen sie als hoch bis sehr hoch ein. Wenn es jedoch um den eigenen Betrieb geht, sind viele der 500 befragten Entscheider aus Maschinen­bau, Elektro-, Chemie-, Lebensmittelindustrie sowie der Kunststoffverarbeitung wesentlich zuversichtlicher: Für sich selbst stufen nur noch 42 Prozent das Risiko einer Cyberattacke als sehr hoch beziehungsweise hoch ein.

Das Risiko ist da, aber mein Unternehmen wird es schon nicht treffen. Wie kommen die Verantwortlichen darauf? Hier spielen vor allem zwei Argumente eine Rolle. Zum einen meinen die Verantwortlichen, ihre Compu­tersysteme umfassend gegen Cyberangriffe geschützt zu haben. Zum anderen halten sich viele für zu klein und unbedeutend, um für Hacker interessant zu sein. Insbesondere die letztgenannte Einschätzung ist für Sicher­heitsexperten bestenfalls leichtsinnig. 

Auch kleine Firmen sind im Fadenkreuz von Kriminellen

„Hoch­professionelle Angriffe von Cyberkriminellen mit Ransomware etwa, Verschlüsselung und Diebstahl von Daten und Firmengeheimnis­sen und deren Verkauf oder Veröffentlichung sind eine reale Gefahr geworden“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Nach Aussage des BSI, der Cybersicherheitsbehörde des Bundes, werden auch kleine und mittelständische Unternehmen Opfer von Cyberangriffen. 

Vor allem dann, wenn sie über gefragte Alleinstellungsmerkmale im Markt verfügen – etwa Maschinenbauer, die spezielle Komponenten herstellen. Das belegt auch die Forsa-Umfrage: Während jedes vierte Unternehmen mindestens einen Angriff erlebt hat, ist es im Maschinenbau und in der Chemi­eindustrie beinahe jedes dritte (siehe Grafik).

Mehr als 100 Milliarden Euro Schaden durch Hacker 

Der Trugschluss, nicht groß oder spannend genug für Hacker zu sein, kann mindestens sehr teuer werden. Dabei muss es nicht so dra­matisch enden wie im Fall von Swisswindows. Doch bereits eine Woche Betriebsunterbre­chung kann bei einem produzierenden Mit­telständler schnell zu finanziellen Schäden in fünfstelliger Höhe führen – mindestens. Folge­kosten für die Wiederherstellung der Daten, Rechtsberatung und Krisenkommunikation hinzugerechnet, kann sich der Schaden leicht verdreifachen.

Das Bundeskriminalamt (BKA) und der IT-Branchenverband Bitkom beziffern die Schäden durch Hacker in der deutschen Wirtschaft auf hochgerechnet 103 Milliarden Euro (2019). Gegenüber dem Vorjahr sei dies nahezu eine Verdopplung, schreibt das BKA in seinem Lagebild Cybercrime.

Rund 117 Millionen neue Schadprogramme – in nur einem Jahr

Auch die Versicherer beobachten einen Trend zu höheren Schäden durch Cyberkriminalität. In einer Analyse hat der Industrieversicherer AGCS kürzlich mehr als 1.700 Schadenmeldungen bei mehreren Versicherern über einen Zeitraum von fünf Jahren ausgewertet. Demnach lag der Gesamt­schaden in der Cyberversicherung zwischen 2015 und 2020 bei 660 Millionen Euro, mit jährlich steigender Tendenz. Der weit über­wiegende Teil (85 Prozent) geht auf kriminelle Hacker zurück. Ein weiteres Indiz dafür, wie dynamisch sich die Cyberkriminalität entwi­ckelt: Das BSI zählt binnen eines Jahres mehr als 117 Millionen neue Schadprogramme, das entspricht rund 320.000 pro Tag.

Ist das produzierende Gewerbe angesichts dieser wachsenden Bedrohung also wirklich so gut geschützt, wie die Entscheider meinen? Drei von vier sind der Auffassung, in ausrei­chendem Maße in den Schutz vor Internetkriminalität investiert zu haben. Auch ihre Auskünfte in der Forsa-Studie zu Sicherheitsmaßnahmen legen diesen Schluss zunächst nahe. Demnach machen viele Mittelständler vieles richtig: Sie vergeben Administratoren-Rechte nur an we­nige Mitarbeiter, spielen automatisch Sicherheits-Updates ein. Sicherungskopien werden wöchentlich erstellt und ohne Netzzugang aufbewahrt, damit sie bei einem Angriff nicht in Mitleidenschaft gezogen werden. 

IT-Sicherheitskonzepte sind unzureichend

Doch nur eine knappe Mehrheit hat ein schriftliches Konzept für den Notfall in der Schublade oder einen externen Dienstleister damit betraut. Und bei allen technisch und ad­ministrativ aufwendigen Vorkehrungen – oft kommen die Hacker auf den vermeintlich ein­fachsten Wegen ins System: über E-Mails. So verschaffen sich die Kriminellen mit weitem Abstand am häufigsten über das Mailsystem Zugang zu ihren Opfern.

Auch Emotet, für das BSI bis zu ihrer Zerstörung Anfang 2021 die gefährlichste Schadsoftware der Welt, fand ihren Weg per Mail in die Firmensysteme. Diese Funktionsweise ist mit Emotet aber nicht verschwunden, sondern wird weiter genutzt: Öffnet der Nutzer die Dateien im Anhang, ist es bereits zu spät: Das Programm kann weitere Schadsoftware nachladen und die Angreifer übernehmen die Kontrolle über die infizierten Rech­ner. Inzwischen nutzen die Kriminellen ihren Zugang nicht mehr nur, um Daten zu verschlüsseln und Lösegeld dafür zu verlangen, sondern immer häufiger auch, um interne Informationen zu kopieren und zu stehlen. „Auch für KMU gilt des­halb: Voraussetzung einer erfolgreichen Digitalisierung ist die Informationssi­cherheit", mahnt BSI-Chef Schönbohm.

Fingierte Hackerangriffe offenbaren gravierende Mängel 

Nicht zuletzt deshalb bewerten unabhängige IT-Sicherheitsexperten die Bemühungen der Unternehmen, sich gegen Cyberangriffe zu schützen, als unzureichend. Als Berater und so genannter White-Hat-Hacker prüft Michael Wiesner seit vielen Jahren die IT-Sicherheit in Unternehmen. Sein nüchternes Urteil: Die Firmen investieren weder finanziell noch personell merklich mehr in Cyberschutz. „Ich sehe keinen Kulturwandel", sagt er. 

Defizite gibt es vor allem in Sensibilisierung gegen Phishing-Angriffe, wie er in einer aktuellen Untersuchung von 40 KMU des produ­zierenden Gewerbes für den GDV herausgefunden hat. Mit seiner Phishing-Mail kam er bei jedem zweiten Unternehmen an die Zugänge und Pass­wörter gleich mehrerer Mitarbeiter – in einem Unternehmen fielen sogar gleich dutzende Angestellte auf die Mail herein. Hinzu kommen demnach Sicherheitslü­cken in internen IT-Systemen sowie feh­lendes Informationssicherheits- und Vorfallmanagement. Das durchschnittliche Sicherheitsniveau bewertet Wiesner als unzureichend, das resultierende Risiko, Opfer eines Angriffs zu werden, als mittel bis hoch.

Firmen tun nur das Notwendigste 

Laut Forsa-Studie will lediglich jeder zweite Betrieb den IT-Schutz in den kommenden zwei Jahren ausbauen. Für Wiesner ist das ange­sichts der dynamischen Entwicklung der Angriffe zu wenig. „Die Firmen tun das, was absolut notwendig ist – mehr aber auch nicht."

Text: Simon Frost