Hackerangriffe auf Unternehmen

Von Jana Ballweber

Deutsche Unternehmen glauben, dass sie gut auf Cyberangriffe vorbereitet sind. Die Realität sieht oft anders aus. Mit zwei Gesetzen will die Regierung die Lage in den Griff bekommen.

Daten der hannoverschen Verkehrsbetriebe tauchen im Darknet auf, eine Ransomware-Attacke legt die Werkstatt-Kette ATU lahm, Microsoft werden die Zugangsschlüssel für die eigenen Anwendungen entwendet. Diese Vorfälle stellen nur einen kleinen Teil des Nachrichtenstroms zum Thema Cybersicherheit dar, der allein im vergangenen Monat viele Branchen und Behörden in Atem hält. Doch wirklich Neuigkeitswert haben viele Schlagzeilen gar nicht mehr. Obwohl die Auswirkungen von Cyberangriffen für Unternehmen, Behörden und Verbraucher:innen oftmals gravierend sind, sind derartige Attacken mittlerweile omnipräsent. Beinahe täglich werden neue Sicherheitslücken, neue Angriffe, neue Betroffene bekannt.

Die Angegriffenen scheinen den Attacken häufig schutzlos ausgeliefert zu sein. „Gerade bei kleinen und mittleren Unternehmen herrscht beim Thema Cybersicherheit oft immer noch Ignoranz“, sagt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen. „In vielen Geschäftsleitungen ist die Bedrohung noch nicht angekommen. Cybersicherheit wird oftmals in erster Linie als Kostenfaktor gesehen.“

In der Verwaltung sieht es Kipker zufolge nicht viel besser aus: „Behörden bieten viele Angriffsvektoren. Sie setzen oft auf standardisierte Software, die Mitarbeiter sind nicht geschult. Gerade auf kommunaler Ebene sind die Behörden angreifbar, wie der Fall im Landkreis Anhalt-Bitterfeld zeigt, wo Verwaltungsleistungen über Monate hinweg nicht zur Verfügung standen.“

Grund sei bei Behörden nicht zuletzt fehlende Regulierung. Die gebe es in ausreichendem Maßstab bislang nur für Unternehmen, die der sogenannten kritischen Infrastruktur zugerechnet werden: „Dort herrscht ein ausreichend großes Bewusstsein für die Bedrohung. Hier sind vor allem auch finanzielle Mittel vorhanden, um die gesetzlichen Vorgaben zu erfüllen“, so Kipker.

Obwohl Angriffe zunehmen und es wohl kaum noch Unternehmen gebe, die nicht auf die eine oder andere Weise schon einmal mit Angriffen auf ihre IT-Infrastruktur konfrontiert gewesen seien, herrsche in den Chefetagen der deutschen Wirtschaft großes Selbstbewusstsein, berichtet Klaus Bürg, Vizepräsident für Zentral- und Osteuropa beim IT-Sicherheitskonzern Palo Alto Networks. „Wir haben branchenübergreifend 500 deutsche CEOs befragt, vom Mittelstand bis zum Dax-Konzern war alles dabei. Fast vierzig Prozent der Befragten gaben an, ein umfassendes Verständnis für die Cybersicherheit in ihrem Konzern zu haben“, berichtet Bürg. Weitere 47 Prozent hätten von einem sehr guten oder guten Verständnis gesprochen.

Damit liegen die deutschen Managerinnen und Manager bei der Eigeneinschätzung deutlich über ihren Kolleginnen und Kollegen in Frankreich und Großbritannien, wo Palo Alto Networks die Umfrage ebenfalls durchführte. So gaben beispielsweise nur 15 Prozent der britischen CEOs an, die Cybersicherheit in ihrem Konzern vollständig zu verstehen. Über 90 Prozent der deutschen CEOs seien zuversichtlich, dass ihr Unternehmen umfassend gegen Cyberangriffe abgesichert ist.

Das Selbstbewusstsein in der deutschen Wirtschaft beim Thema Cybersicherheit habe seiner Erfahrung nach wenig mit dem tatsächlichen Zustand in den Unternehmen zu tun, sagt Bürg. Mit 203 Milliarden Euro Schaden allein 2022 bewege sich die deutsche Wirtschaft gemessen an ihrer Größe im Vergleich mit anderen Ländern im oberen Drittel. Der Optimismus rührt Bürg zufolge vermutlich daher, dass in den vergangenen Jahren in Unternehmen schon viel in Cybersicherheit investiert worden sei. Die Verantwortlichen empfinden ihre Vorbereitung auf die Bedrohungslage so als besser, als sie in der Realität tatsächlich sei – vor allem, da sich die Investitionssummen in Deutschland nicht von denen in anderen Staaten unterschieden.

Um die Lage der Cybersicherheit in der deutschen Wirtschaft tatsächlich zu verbessern, arbeiten Bundesregierung und EU derzeit an verschiedenen Gesetzen, die die Vorgaben für viele Unternehmen verschärfen sollen. Mit dem „Cyber Resilience Act“ will die EU Produkte mit digitalen Elementen wie Smart-Home-Anwendungen oder automatisierte Fahrzeuge strenger regulieren.

„Ein guter Ansatz“, findet IT-Sicherheitsexperte Kipker. An einigen Stellen müsste seiner Ansicht nach zwar noch nachgearbeitet werden, zum Beispiel müsse klarer geregelt werden, für welchen Zeitraum Anbieter gezwungen sind, Sicherheitsupdates für ihre Produkte zur Verfügung zu stellen. Doch insgesamt sei die EU hier auf einem guten Weg.

Ganz anders die Bundesregierung. Zwei Gesetzesentwürfe zu IT-Sicherheit verhandelt die Ampelkoalition derzeit. Beide sollen die Vorgaben für Unternehmen genauer regeln. Doch Kipker befürchtet Chaos: „Mit der Umsetzung der NIS2-Richtlinie und dem Kritis-Dachgesetz steuern wir auf erhebliche Probleme zu. So wie die Entwürfe derzeit ausgestaltet sind, bleibt vollkommen unklar, was für wen gilt.“

Auch Klaus Bürg sieht die Unternehmen durch die neuen Richtlinien unter Druck: „Die Regulatorik nehmen viele Unternehmen in Deutschland als Orientierung, um Entscheidungen für oder gegen eine Investition zu treffen.“ Viele Unternehmen hätten aber Schwierigkeiten, die Regulatorik in ihrer Gänze zu verstehen. Was in Richtlinien wie NIS2 beschrieben werde, seien sehr komplexe Themenfelder. „Viele Unternehmen verstehen den Grund und das Ziel der Regulatorik, tun sich in der Interpretation und in der folgerichtigen Umsetzung aber schwer“, so Bürg.

Dabei seien die Regeln selbst eigentlich relativ leicht, so Kipker: „Die Besonderheit im Technikrecht besteht darin, dass nicht gesetzlich festgelegt wird, dass man diese oder jene Software einsetzen muss. Es ist eher von ‚angemessenen Maßnahmen‘ oder dem ‚Stand der Technik‘ die Rede.“ Anders könne ein Regelwerk auch gar nicht mit der technischen Weiterentwicklung Schritt halten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Branchenverbände legen dann gemeinsam fest, welche Standards für welche Anlagen gelten.

Für das BSI sehen die Gesetzesentwürfe in Zukunft eine noch größere Rolle vor. Kommt es hart auf hart, und ein wichtiges Unternehmen ist mit einem Sicherheitsvorfall konfrontiert, soll es der Behörde gestattet sein, Firmenleitungen vorübergehend abzusetzen und die Kontrolle zu übernehmen. Ein fragwürdiges Vorgehen, ist das BSI doch dem Bundesinnenministerium unterstellt und politisch nicht unabhängig.

Im Koalitionsvertrag hatten SPD, FDP und Grüne sich eigentlich darauf geeignet, das BSI unabhängiger zu machen. Ein Vorschlag, der derzeit politisch nicht durchsetzbar sei, berichtet Kipker. „Ich sehe hier dringenden Handlungsbedarf. Unternehmen müssen mit dem BSI sensible Daten austauschen. Gleichzeitig ist das Innenministerium aber auch für Polizei und Geheimdienste zuständig, die an Informationen über Schwachstellen in Software interessiert sind, um sie beispielsweise für Überwachung und Strafverfolgung auszunutzen.“

Zwei Interessen, die schwer miteinander vereinbar sind, denn das konsequente Schließen von Sicherheitslücken gilt Fachleuten als einziger Weg, um die IT-Sicherheitslage insgesamt zu verbessern.

Auf die Politik allein können Unternehmen sich bei ihrer eigenen Sicherheit also nicht verlassen. Regulierung sei aber trotzdem gut, um bei Unternehmen ein Bewusstsein für Cybersicherheit zu schaffen, betont Kipker. Er wirbt dafür, Cybersicherheit nicht nur als Kostenfaktor zu sehen: „Unternehmen sind unattraktiv, wenn sie Sicherheitsprobleme haben. Kunden wollen sichere Produkte, andere Unternehmen wollen mit vertrauenswürdigen und zuverlässigen Partnern zusammenarbeiten.“ Wer seine IT nicht im Griff hat, habe einen deutlichen Wettbewerbsnachteil.