Letzten Herbst wurde Hipp von Hackern angegriffen. Der IT-Laie empfindet spontan Ekel: Hacker bedrohen einen Hersteller von Baby-Nahrung mit der Sabotage seiner Produktion? Was haben die gegen Babys? Waren die nicht mal selber eines? Alle Welt liebt Babys, Hacker eher nicht. Die kamen wohl nicht als Baby zur Welt, sondern als Gollum mit Maus in der Hand. Hipp ist kein Einzelfall.
Laut einschlägiger Studie erlebten 60 Prozent der befragten deutschen Unternehmen in den letzten 12 Monaten Cyber-Attacken; meist in der Form von Phishing, aber auch Ransomware und was es noch alles an wohlklingenden IT-Begriffen für Pest und Cholera gibt. Hacker waren schon vor Corona die Pestilenz des Internets; Corona hat das noch verschärft. Warum?
Natürlich: Millionen arbeiteten aus dem Homeoffice heraus und diese millionenfach genutzten externen Zugriffe auf Firmennetze steigerten stark die Gefahr auch von illegalen externen Zugriffen. Da ging eine neue, relativ wenig gesicherte dankbare offene Flanke für Hacker auf. Wobei die per Studie erhobenen 60 Prozent wohl eher konservativ geschätzt sind: Viele angegriffene Unternehmen und Organisationen würden einen überstandenen Angriff nicht einmal in einer gut anonymisierten Studie angeben, weil sie irrational unter Toxic Shame leiden oder ganz rational fürchten, dass sie damit Wasser auf die Mühlen der Konkurrenz geben respektive ihre Investoren und Geschäftspartner verschrecken würden. Spricht man mit den wenigen vorhandenen und sich allgemeinverständlich artikulierenden IT- und Cyber-Sicherheitsleuten, sagen die mehrheitlich: „Die Quote der Gehackten liegt eher bei 95 Prozent – also bei uns in der Branche, was man so von den Kollegen hört.“ Wobei dieser Prozentsatz ein zu pessimistisches Bild malt.
Denn natürlich wehren sich auch diese 95 Prozent nach Kräften. Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationsbranche, hat dankenswerterweise eine repräsentative Umfrage in der deutschen Logistik angestellt – was an sich bemerkenswert ist: Da hat ein führender Akteur der Wirtschaft verstanden, dass „Logistik“ im Gegensatz zur landläufigen Meinung kein Synonym für „Transport“, sondern vielmehr für „Versorgung“ ist. Wird die deutsche Logistik angegriffen, ist die deutsche Versorgung bedroht. Die Umfrage zeigt, dass dies von unserer Branche zumindest verstanden, wenn auch noch nicht ganz umgesetzt wurde. Denn Bitkom stellt fest, dass aufgrund des russischen Angriffs auf die Ukraine viele Unternehmen zusätzliche Maßnahmen gegen Cyber-Kriminelle ergriffen haben. Jedes zweite Logistikunternehmen hat demzufolge seine IT-Sicherheitsmaßnahmen verschärft. Nur jedes zweite? 8 von 10 geben an, dezidierte IT-Sicherheitsstandards zu pflegen; 7 von 10 schulen ihre Mitarbeiter regelmäßig in IT-Sicherheit; 63 Prozent führen regelmäßig IT-Sicherheits-Audits durch. Was auf den ersten Blick tröstlich und vernünftig klingt. Auf den zweiten fragt man sich dann doch: Und die anderen 2 von 10, 3 von 10 und 37 Prozent – warum nicht?
Man könnte meinen: „Weil es immer einige gibt, die den Schuss nicht gehört haben!“ Das stimmt, doch das verkennt den einzigartigen Charakter der Logistik, der spätestens seit Corona jedem klar sein dürfte, der mit gieriger Hand ins leere Klopapier-Regal griff: Wenn dem Einkauf ein Lieferant ausfällt, nimmt der Supply Manager einfach die Second Source. Doch exakt aus diesem Grund spricht man heute kaum noch vom Einkauf, sondern von Supply Chain Management: In den modernen Lieferketten reicht bereits der Ausfall eines einzigen kritischen, von Hackern angegriffenen Lieferkettenglieds – und die ganze Kette reißt. Corona-Lektion am Exempel Klopapier; Stichwort Cyber-Sicherheit in der Logistik. Man könnte sich nun ernsthaft streiten, ob Hacker nicht eine viel schlimmere Bedrohung unserer Versorgung sind als Corona, Naturkatastrophen und Kriege. Warum ist diese Bedrohung immer noch so bedrohlich?
Auch hier kennen wir die Antwort längst: Fachkräftemangel. Wir haben nicht nur ceteris paribus viel zu wenige IT-Fachkräfte, vielmehr ist das ceteris eben nicht paribus: Während wir noch immer viel zu wenige IT-Fachkräfte haben, steigt gleichzeitig die Nachfrage nach ihnen dramatisch. Kennen wir? Ja, aus anderen Branchen. Doch angesichts der IT-Branche fragt man sich dann doch: Das Internet ist das attraktivste Gadget der letzten drei Jahrzehnte – wenn nicht einmal eine so hoch attraktive Branche genügend Fachkräfte anzieht, wo sind die jungen Leute dann alle? Antwort: Die sind tatsächlich im Internet. Aber eher als Influencer, Surfer, Blogger, Hater und Troll (artikulierter Einspruch gegen dieses Vorurteil willkommen).
Doch genug der Ironie. Im Ernst: Wenn wir mal kurz ins Risk Management wechseln – was fällt uns spontan ein? Zunächst eine seltsame Beobachtung: Wenn politisch und medial von Lieferketten-Disruptionen gesprochen wird, dann eigentlich immer nur im Zusammenhang mit Corona, Naturkatastrophen, regionalen politischen Unruhen und dem Ukraine-Überfall. Von der Hacker-Epidemie sprechen nur wenige. Und noch viel weniger sprechen von den volkswirtschaftlichen Folgen. Wenn ein Hersteller wegen eines Hacker-Angriffs eine Woche nicht produzieren kann, läuft in Just-in-Time-Zeiten die nachgelagerte Supply Chain zwangsläufig trocken. Denn Pufferlager hat heutzutage kaum noch jemand und wenn, dann können sie keinen Wochenausfall puffern. Woher sollen auch die ganzen Lagerimmobilien kommen? Oder das Geld?
Doch darauf läuft es mittelfristig hinaus: Dass wir wieder wie in den 60er-Jahren noch aus Wiederaufbauzeiten riesige Material- und Warenlager vorhalten, wo eine Volkswirtschaft Milliarden Euro an Kapital praktisch nutzlos bindet.
Oder aber Bundes- und Landesregierung, Branchenverbände und Branchenvertreter, IT- und Cyber-Sicherheitsspezialisten treffen sich zu einer konzertierten Aktion, zu einer nationalen Kooperation, um im Sinne des Wortes Front zu machen gegen einen der gefährlichsten Feinde der Zukunft. Was spricht dagegen? Bequemlichkeit, Silo-Denke oder das Bundeskartellamt? Das Kartellamt kann Ausnahmen zulassen. Bei den beiden anderen Hindernissen bin ich mir im Hinblick auf Ausnahmen nicht so sicher.