Sowohl die Menge als auch die Schwere von Cyber-Angriffe hat in den vergangenen zwei Jahren dramatisch zugenommen.
Andreas Burkert
Kleine und mittelständische Unternehmen vernachlässigen ihre IT-Sicherheit und sind damit ein beliebtes Ziel von Cyberkriminellen. Wie sich das Risiko verringern lässt, diskutierten vor kurzem Experten im Rahmen der „Forward IT“.
Cyberkriminelle mögen den deutschen Mittelstand. Denn sie verfügen häufig nicht über das Bewusstsein, das Wissen und die finanziellen Mittel, um sich ausreichend zu schützen. „Die IT-Affinität in KMU ist ausgesprochen hoch“, weiß der Beauftragte der Landesregierung für Mittelstand und Handwerk, Peter Hofelich, und mahnt anlässlich der soeben stattgefundenen Veranstaltung „Forward IT“, dass „auf der anderen Seite das Budget für IT-Sicherheit dort besonders gering ist.“. Laut einer Studie des Bundesministeriums für Wirtschaft und Technologie liegt es bei 14 Prozent vom Gesamt-IT-Budget der Unternehmen. Und es kommt noch schlimmer.
Auch die Dringlichkeit, mit der sicherheitsrelevante Vorfälle behandelt würden, liegt im Mittelstand unter dem Durchschnitt: Gerade einmal 5 Prozent der kleinen und mittleren Unternehmen meldeten einen sicherheitsrelevanten Übergriff auf ihre IT-Infrastruktur an die Behörden, berichtete Jürgen Fauth, Kriminaloberrat beim Landeskriminalamt – die meisten der Betroffenen melden diese Vorfälle aus Angst vor Reputationsverlust nicht.
Cyber-Angriffe werden deutlich steigen
Zugleich ist die Zahl erfolgreicher Cyber-Attacken deutlich gestiegen. „Sowohl die Menge als auch die Schwere der Angriffe hat in den vergangenen zwei Jahren dramatisch zugenommen“, erklärte Dirk Wittkopp, Geschäftsführer der IBM Research & Development GmbH. 25 Prozent aller KMU sind nach Angaben des Landeskriminalamtes in den vergangenen zwei Jahren Opfer einer Cyber-Attacke geworden.
Experten gehen davon aus, dass sich die Zahl der Angriffe tendenziell noch erhöhen wird. Besorgniserregend seien in Zusammenhang mit IT-Sicherheit nicht so sehr die Aktivitäten von Hackern, sondern die organisierte Wirtschaftsspionage und die Cyber-Kriminalität. So habe sich in den letzten Jahren ein veritabler Schwarzmarkt für den Handel mit Datenpaketen entwickelt, betonte Cybercrime-Experte Fauth.
Ein integriertes IT-Sicherheitskonzept notwendig
Doch die Experten lieferten nicht nur eine Bestandsaufnahme der aktuellen Herausforderungen, sondern zeigten auch Lösungsansätze auf. Einig waren sich alle Anwesenden darin, dass ein integriertes IT-Sicherheitskonzept notwendig ist, um künftige Bedrohungen abzuwehren. Neue Technologien zu meiden oder gar zu verbieten, sei dabei keine Option, sagte Dirk Fox, Geschäftsführer von Secorvo Security Consulting und Mitglied des Vorstands beim Karlsruher CyberForum. Sie sinnvoll zu regeln und unter Umständen auch zu begrenzen, dagegen schon.
Weitere Artikel zum Thema |
Entsprechende Initiativen dürften nicht allein von der IT-Abteilung ausgehen, sondern müssten als strategische Aufgaben begriffen werden. „IT-Sicherheit ist eine Querschnittsaufgabe, die Management, Recht und Informatik gemeinsam vorantreiben müssen“, sagte Prof. Dr. Andreas Oberweis vom Karlsruher Forschungszentrum Informatik (FZI). Darüber hinaus müsse auch das Netzwerk eines Unternehmens in die IT-Sicherheitsstrategie einbezogen werden. „Es reicht nicht aus, das eigene Unternehmen gegen Angriffe abzusichern“, sagte Dirk Wittkopp. Auch Partner und Zulieferer könnten Opfer einer Web-Attacke sein und unbeabsichtigt Malware in ein Unternehmen einschleusen. Generell gilt: Wer sich frühzeitig gegen einen möglichen Angriff rüstet, geht mit hoher Wahrscheinlichkeit ohne größeren Schaden aus einem Cyber-Angriff hervor.
Wer sich nicht ausreichend schützt, kann haftbar gemacht werden
Einig waren sich alle Experten darin, dass IT-Sicherheit künftig einen noch höheren Stellenwert in den Unternehmen einnehmen werde. „Wenn man gegenrechnet, was ein erfolgreicher Angriff die Unternehmen kostet, dann sind die Investitionen in IT-Sicherheit allemal gerechtfertigt“, sagte Dr. Simone Rehm, Leiterin des Zentralbereichs IT + Prozesse bei TRUMPF in Ditzingen. Nicht nur der finanzielle Verlust – laut einer Umfrage von Kaspersky Lab liegt er für KMU pro Angriff bei 70.000 Euro – kommt die Unternehmen teuer zu stehen.
Auch der Imageverlust ist im Falle eines erfolgreichen Angriffs beträchtlich. Hinzu kommen rechtliche Risiken. Denn wer sich nicht ausreichend gegen einen Cyber-Angriff schützt, der kann im Zweifelsfall haftbar gemacht werden. „Sorglosigkeit im Umgang mit IT-Sicherheit kann zum Haftungsrisiko werden“, erklärte Dr. Dirk Heckmann, Professor für Öffentliches Recht, Sicherheitsrecht und Internetrecht an der Universität Passau.