Ist Ihnen auch schon passiert? Virus auf dem Notebook, Ransomware auf dem PC, Handy gehackt, Phishing Mails täglich, mit gestohlener Identität fünfstellig im Netz eingekauft … Bevor wir jetzt über die bösen Geheimdienste und Hacker-Farmen fremder Mächte reden, ein Blick vor die eigene Haustür: Auch 2021 war laut Hasso-Plattner-Institut das beliebteste Passwort in Deutschland – worauf tippen Sie?
An zweiter Stelle: „Passwort“. Da muss man sich dann nicht wundern. Schon rein privat macht so ein Cyber-Angriff unnötigen Ärger, auch wenn er meist nicht so gravierende Folgen wie in der Industrie hat. Wenn in einem Unternehmen die Daten weg sind, ist oft auch der Umsatz und der Kunde weg. Oder die Produktion steht still und damit der Cashflow, während viele Kosten nicht nur munter weiterlaufen, sondern schlagartig zunehmen, weil man sich unter anderem teure Berater ins Haus holen muss, die den Schaden beheben.
Im Schnitt kostet im Jahr 2022 so ein Cyber-Angriff ein deutsches Unternehmen circa 19.000 Euro. Bei der Cyber-Sicherheit sparen, spart also nicht wirklich, sondern kostet. Und Versicherungen übernehmen in den seltensten Fällen diese Kosten, weil sie meist unzureichende Sicherheitsmaßnahmen nachweisen können. Was die Cyber-Sicherheit angeht, sind wir in weiten Teilen noch ein Entwicklungsland. Das nutzen Cyber-Terroristen weidlich aus.
Allein die Angriffe der letzten drei Monate trafen namhafte deutsche Unternehmen. Anfang Oktober hat es Hipp getroffen, den Babynahrungshersteller. Cyber-Angriffe auf die Lebensmittelindustrie sind besonders unmoralisch und gefährlich. Man denke nur: Ein Hacker hackt sich unbemerkt ins Produktionssystem ein, das die Rezepturen an die betreffenden Maschinen gibt. Dann kommt am Ende der Produktionsstraße ein Produkt heraus, das keiner haben will.
Weitere Prominenz, die in den letzten Wochen angegriffen wurde: Semikron, der Nürnberger Elektronikhersteller; Knauf, der Baustofflieferant; Continental, der Kfz-Zulieferer. Und es trifft nicht nur Unternehmen der Wirtschaft, sondern auch öffentliche Einrichtungen, zum Beispiel die Stadtreinigung Kassel oder den Caritas-Verband München-Freising. Auch der TÜV, das Fraunhofer-Institut und eine deutsche Hochschule wurden jüngst angegriffen.
Selten findet man dabei heraus, was die wahren Gründe solcher Angriffe waren. Es geht nicht immer um Ransom, also Lösegeld, sondern mangels feststellbarer Motive wohl einfach um die pure, destruktive Lust an der Zerstörung. Oder ist es negative Aufmerksamkeit? Verschobene Rachelust? Es wäre recht interessant, einmal ein forensisches Psychogramm eines typischen Hackers zu erstellen: Wie ticken Terroristen? Was motiviert sie? Virtuelle Mordlust? Eine schwere Kindheit? Reine Raserei? So viel Talent, Skills und Wissen – und dann nutzt man es nur, um andere zu schädigen. Oder ist es einfach so, wie Kriminalisten abwiegelnd sagen: Was motiviert Menschen, im Stadtpark ihre Kippe auf den Rasen zu werfen? So ist der Mensch nun mal: schlecht.
Cyber-Angriffe sind laut Allianz-Umfrage 2022 nach Einschätzung der befragten Unternehmen das größte Geschäftsrisiko. An zweiter Stelle folgen Betriebsunterbrechungen, an dritter Naturkatastrophen (die Studie wurde noch vor Ukraine-Invasion, Inflation und Gaspreis-Schock durchgeführt). Was an dieser Studie überrascht: Klimawandel und Fachkräftemangel schätzen die befragten Unternehmen so schwach ein, dass sie auf den hinteren Plätzen der Risiken landen. Wie so oft: Die Medien machen Panik, die Wirtschaft winkt ab.
Das schwächste Glied in der Wertschöpfungskette ist, was Cyber-Attacken angeht – auf wen tippen Sie?
Natürlich, leider: der Mittelstand. Jeder modern geführte Konzern leistet sich inzwischen nicht nur die übliche IT-Abteilung, sondern eine eigene Abteilung Cyber-Sicherheit. Damit man gegen Angriffe gerüstet ist. Seltsamerweise erfolgen sie dann kaum noch. Wie einer der Experten sagte: So eine Abteilung kann eine IT-Festung bauen – und niemand greift eine Festung an, solange er weichere Ziele finden kann. Wer keine Angriffe erlebt, muss keine abwehren. Warum sind kleinere Unternehmen leichte Ziele?
Weil bei vielen in der Produktion zum Beispiel tatsächlich noch Windows XP läuft, das seit Januar 2016 nicht mehr unterstützt wird. Für Hacker ein Kinderspiel. Natürlich kostet es, einen kompletten Shop Floor mit Windows 11 auszustatten. Doch wie gesagt: Gehackt zu werden, kostet mehr. Wobei die anfangs erwähnten 19.000 Euro konservativ geschätzt sind. Wenn einmal eine gehackte Produktion für mehrere Tage stillsteht, kostet das eher sechsstellig. Warum ist der deutsche Mittelstand so schwach geschützt?
Das liegt sicher auch am Fachkräftemangel. Gute IT-Expertinnen und -Experten sind schwer zu kriegen. Anders gesagt, da wir hier an einer Universität sind: IT ist und bleibt eine Ausbildung mit Zukunft. Um nicht zu sagen: IT ist die Zukunft.