Smartphone, Computer, Internet – sie sind längst selbstverständlicher Bestandteil des Alltags der Menschen geworden. Die Digitalisierung hat unser Leben in allen seinen Bereichen erfasst und vieles erleichtert – und verbilligt. Um nur ein Beispiel zu nennen: Kostete früher ein längeres Ferngespräch ins Ausland ein kleines Vermögen, kann man heute mit digitalen Endgeräten über unterschiedliche Diensteanbieter kostenfrei stundenlang mit dem anderen Ende der Welt telefonieren. Auch in der Wirtschaft hat die Digitalisierung Kosten reduziert, weil die Effizienz gesteigert wurde. Prozesse werden automatisiert und vernetzt. Nicht nur in der Industrie, sondern zunehmend auch im Dienstleistungsbereich. Die Corona-Pandemie hat den Prozess der Digitalisierung aller Lebensbereiche noch weiter beschleunigt.
Doch die schöne neue Welt der Digitalisierung hat auch ihre Schattenseiten. Die Rede soll hier nicht sein von den unerwünschten gesellschaftlichen Effekten und der möglichen Gefährdung der Demokratie durch die neuen Technologien. Wir wollen den Fokus auf die Gefahren richten, die durch das Internet direkt ins Haus und vor allem in die Betriebe eindringen können. Denn auch Kriminelle haben die Business Opportunities, die sich ihnen durch die Digitalisierung bieten, erkannt. Das Schlagwort ist Cybercrime. Nach der Definition des Bundeskriminalamtes sind dies im engeren Sinne Straftaten, die sich gegen das Internet, informationstechnische Systeme oder deren Daten richten. Ein relativ neues Phänomen, das erst vor etwa zwanzig Jahren aufgetaucht ist. Jeder und jede kann davon betroffen sein, etwa durch Identitätsdiebstahl und die missbräuchliche Verwendung der gestohlenen Daten im Internet. Attacken richten sich vor allem gegen Unternehmen und öffentliche Einrichtungen.
Anfang Juli 2021 sah sich der Landrat im Landkreis Anhalt-Bitterfeld gezwungen, den Cyberkatastrophenfall auszurufen, den ersten in der Geschichte der Bundesrepublik. Hacker hatten die komplette Verwaltung des Landkreises lahmgelegt. Immer häufiger kommt es vor, dass durch sogenannte Ransomware, die in die IT-Infrastruktur von Unternehmen, öffentliche Verwaltungen oder Einrichtungen der kritischen Infrastruktur wie Krankenhäuser und Wasserwerke eingeschleust wird, die Systeme dieser Einrichtungen verschlüsselt werden, um dann die Opfer zu erpressen. Erst nach Zahlung hoher Beträge in Kryptowährungen sollen die Daten wieder freigegeben werden. Das Bundeskriminalamt (BKA), das im April 2020 eine größere Abteilung Cybercrime eingerichtet hat, um der zunehmenden Verlagerung der Kriminalität ins Netz Herr zu werden, sieht diese Straftaten als eine der primären Bedrohungen für Unternehmen und öffentliche Einrichtungen an. Sie haben das höchste Schadenpotenzial. Denn es fallen hohe Kosten durch die Betriebsunterbrechung und die Datenwiederherstellung an.
Außerdem stellen sich Haftungsfragen, wenn Daten von Kundinnen und Kunden erbeutet wurden. Die zusätzlichen Kosten für die notwendige PR- und Krisenkommunikation sowie Marketingmaßnahmen, um den Reputationsverlust aufzufangen, sparen sich hingegen viele Unternehmen. Sie zahlen die von den Kriminellen geforderte Summe und zeigen die Erpressung nicht an, um keinen Imageschaden zu riskieren. Das BKA geht in diesem Bereich von einer hohen Dunkelziffer aus. Zur Anzeige gebracht wurden im Jahr 2020 insgesamt 108.000 Cybercrime-Delikte, was eine Steigerung gegenüber dem Vorjahr um 7,9 Prozent bedeutet. Auch ohne die nicht bekannt gewordenen Fälle eine sehr hohe Zahl. Obwohl der Trend laut BKA verstärkt zum „Big Game“ geht, das heißt, vor allem große Unternehmen und öffentliche Einrichtungen ins Visier von Cyber-Kriminellen genommen werden, sind auch kleine und mittlere Unternehmen ein Target der Verbrecher. Laut BKA war 2018/19 jedes neunte kleine Unternehmen von mindesten einem Ransomware-Angriff betroffen. Die Schäden für die Wirtschaft insgesamt sind immens. Die durchschnittlichen Kosten, um sich von einer solchen Attacke zu erholen, beziffert das Unternehmen Cisco auf 84.000 US-Dollar pro Unternehmen. Die Allianz für Cybersicherheit geht davon aus, dass durch Angriffe auf IT-Systeme in Deutschland jährlich Schäden in zweistelliger Milliardenhöhe entstehen. Die Firma Cisco schätzt, dass 2021 alle 11 Sekunden eine Cyberattacke auf Unternehmen erfolgt.
Die Situation ist ernst. Der Generalsekretär von Interpol Professor Dr. Jürgen Stock hält die globale Lage für besorgniserregend. Seit 2020 habe sich eine kriminelle Parallelpandemie entwickelt. Die Verbrecher seien hochspezialisiert und bestens ausgestattet. Er schätzt, dass sie mit Erpressungen 350 Millionen Euro inzwischen erlöst haben könnten. Der Bundesverband Bitkom fordert, Cybersicherheit zu einem politischen Schwerpunkt zu machen. Die Sicherheit von Informationstechnologien entscheide wesentlich über den Erfolg, die Strahlkraft sowie die digitale Souveränität des Wirtschaftsstandorts Deutschland.
Die Politik ist nicht untätig geblieben. Aufgrund der verschärften Bedrohungslage hat die Bundesregierung Anfang September (endlich!) eine Cybersicherheitsstrategie beschlossen. Zudem gibt es zahlreiche Behörden und Institutionen, die sich die Cybersicherheit auf die Fahnen geschrieben haben: Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 2012 die Plattform Allianz für Cybersicherheit ins Leben gerufen, die Unternehmen, Verbände, Behörden und Organisationen vernetzen will. Auch in den Ländern sind entsprechende Initiativen entstanden. Seit Mitte 2021 gibt es in Nordrhein-Westfalen ein Kompetenzzentrum für Cybersicherheit in der Wirtschaft, ähnliche Stellen existieren bereits u.a. in Baden-Württemberg (Cybersicherheitsagentur) und in Hessen (CyberCompetencecenter). Schon 2006 gründete sich die Initiative Deutschland sicher im Netz e.V. als gemeinnütziges Bündnis, um insbesondere Verbrauchern und kleinen Unternehmen konkrete Hilfestellung zu geben.
Trotz der Beratungs- und Hilfsangebote hinken gerade die kleinen und mittleren Unternehmen (KMU) den geforderten und stets steigenden Sicherheitsanforderungen in Sachen IT-Infrastruktur hinterher. Das stellt der jüngste Jahresbericht der „Initiative Deutschland sicher im Netz“ fest ebenso wie das „Netzwerk Mittelstand Digital“, das 2012 vom Bundesministerium für Wirtschaft und Energie aus der Taufe gehoben wurde, um die digitale Transformation der KMU zu unterstützen. In seiner aktuellen Bestandsaufnahme zur digitalen Sicherheit heißt es, noch immer zu wenige KMU ergriffen Maßnahmen, um die IT-Sicherheit zu erhöhen. Die größten Hürden sind der hohe Investitionsbedarf, Zeitmangel und das Fehlen von Standards. Der Branchenverband Bitkom ermittelte in einer aktuellen repräsentativen Umfrage, dass die Investitionsbereitschaft in die Digitalisierungskompetenz der Belegschaft 2020 sogar abgenommen hat. Dies ist insofern besonders gravierend, als es neben unsicheren IT-Systemen vor allem der „Faktor Mensch“ ist, der Cyberkriminellen das Leben leicht macht. Mittelstand Digital zitiert Befragungen aus den Jahren 2011 und 2017, die zu dem Ergebnis kamen, dass IT-Probleme und Schadensfälle in KMU hauptsächlich durch Irrtum, Nachlässigkeit oder Unwissen der eigenen Mitarbeiter verursacht würden. 90 Prozent der Schadprogramme gelangen immer noch als Anhang oder Link in einer E-Mail in betriebliche Systeme.
Fachleute sind sich einig, dass der größte Teil der Cyberangriffe (80 bis 90 Prozent) mit bekannter Technologie zu bekämpfen sind – wenn sie denn durch die Menschen angewandt würde. Das menschliche Unvermögen beruht oftmals nicht nur auf fehlender Schulung, sondern auch einem fehlenden Bewusstsein – auch auf mancher Chefetage. Laut einer Erhebung des Bundesamts für Sicherheit in der Informationstechnik von 2018 zur Cyber-Sicherheit verstanden weniger als ein Drittel der Institutionen Cyber-Sicherheit als Chance für Innovation. Nur in jeder zweiten Institution fiel das Thema Informationssicherheit in den unmittelbaren Aufgabenbereich der Leitung.
Was kann man tun, um diese Situation zu verändern und den KMU auf die Sprünge zu helfen? Dr. Haya Shulman, Trägerin des Deutschen IT-Sicherheitspreises und Direktorin der Cybersecurity, Analytics and Defences am Fraunhofer-Institut Darmstadt, plädiert dafür, mehr in Sicherheit zu investieren und die IT-Sicherheit gesetzlich verpflichtend zu machen. Das Risiko eines nachlässigen IT-Schutzes betrifft im Worst case nicht nur das eigene Unternehmen, sondern auch Partnerunternehmen und Kundinnen und Kunden, deren Daten im System hinterlegt sind. Insofern tragen die Unternehmen Verantwortung dafür, ihre Daten und die Daten ihrer Kundinnen und Kunden zu schützen. Viele kleine und mittlere Unternehmerinnen und Unternehmer unterschätzen immer noch die Gefahr durch Hacker. Shulman sieht aber auch die IT-Hersteller in der Pflicht. Es sei wichtig, dass sie sichere Produkte herstellten, benötigt würden automatisierte Lösungen. Damit könnte das wesentliche Einfallstor für Kriminelle aus dem digitalen Raum geschlossen werden: der Risikofaktor Mensch.
Dr. Daniela Rüther
Prof. Dr. Karsten Rudolph