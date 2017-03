Es war Glück, dass in diesem Fall nur geringer Schaden entstanden ist. Über Cyberattacken, die weniger glimpflich abgelaufen sind, redet jedoch kaum ein Firmenchef oder IT-Verantwortlicher. Meist aus Scham verschweigen sie, Opfer eines Angriffs aus dem Web geworden zu sein. Sie fürchten die Häme von Konkurrenten und Geschäftspartnern. Und nicht zuletzt steht das gute Image des Unternehmens auf dem Spiel.

HamburgDen unscheinbar grauen USB-Stick auf dem Firmenparkplatz neben seinem Auto hätte Klaus Bertram fast übersehen. Doch die Aufschrift „Gehälter/vertraulich“ weckte dann doch die Neugier des Mitarbeiters eines mittelständischen Chemiebetriebs, der seinen wahren Namen nicht gerne in der Zeitung lesen möchte. Bertram steckt den Datenträger im Büro in seinen Computer. Der Bildschirm blieb allerdings leer. Wie enttäuschend. Ein paar Tage später entdeckte die IT-Abteilung des Unternehmens im Firmennetz einen bis dahin unbekannten Virus. Nachforschungen ergaben, dass sogenannte Malware durch den USB-Stick ins Computernetzwerk gekommen war.

Doch Cyberopfer befinden sich in guter Gesellschaft. Laut dem „Cyber Readiness Report 2017“, den das Marktforschungsinstitut Forrester Consulting erstellt hat, wurde im vergangenen Jahr jedes zweite deutsche Unternehmen mindestens einmal aus dem Netz angegriffen. Der dadurch entstandene Schaden beläuft sich nach Schätzungen des Branchenverbands Bitkom auf 51 Milliarden Euro. Und die Einschläge kommen näher: Laut dem Sicherheitsanbieter Check Point existieren mehr als 2.400 aktive Schädlingsfamilien, die Netzwerke von Firmen angreifen. Die meisten digitalen Attacken betreffen mittelständische Betriebe. Gleichzeitig haben diese in puncto Sicherheitsmaßnahmen den größten Aufholbedarf, so der Verband.

Nach Ermittlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zielen 61 Prozent aller Cyberangriffe auf Mittelständler ab. Im Visier haben die Cyberkriminellen vor allem Maschinen- und Anlagenbauer. Besonders gefährdet sind auch Chemie- und Pharmaunternehmen sowie Elektrotechnik- und Fahrzeugbau-Unternehmen. „Entscheidend für die Gefährdung eines Mittelständlers ist nicht seine Betriebsgröße, sondern seine Innovationskraft und der Wert seiner Daten“, stellt Sicherheitsexperte Tim Berghoff vom Bochumer IT-Security-Unternehmen G Data fest. Dazu zählten zum Beispiel Patente, Konstruktionspläne und Kundendaten.

Zugenommen haben nach Erkenntnissen von Berghoff vor allem Cyber-Erpressungen. 2016 sei das „Ransomware-Jahr“ gewesen. Die Bedrohung durch Attacken Krimineller, die Computer infizieren, sperren und dann Geld dafür verlangen, ihn wieder freizuschalten, ist laut dem Threat-Report des US-amerikanischen Herstellers von Antivirus-, Netzwerk- und Computersicherheitssoftware McAfee zuletzt um 18 Prozent gestiegen. Ein weiterer Cybercrime-Trend: CEO-Fraud. Dabei gibt sich der Kriminelle gegenüber Mitarbeitern als Chef einer Kundenfirma aus und versucht, sich eine größere Auslandsüberweisung zu erschleichen. „Diese Angriffswelle rollt auf den deutschen Mittelstand zu.“ Auf ihn hätten es viele Cybergangster abgesehen, „weil hier in vielen Betrieben die Schutzhüllen löchrig sind“, so Tim Berghoff.

Auch Udo Ungeheuer, Präsident des VDI, konstatiert, dass in kleinen und mittleren Unternehmen „die notwendigen Sicherheitsstrukturen oft fehlen“. Damit nicht genug. Häufig gehen die Security-Verantwortliche auch falsch vor – so die Erfahrung von Jörg Asma, Cybersecurity-Experte des Beratungshauses CSC Deutschland: „Viele Mittelständler investieren zuerst in technische Lösungen und schauen dann erst ihre internen Geschäftsabläufe an. Das ist die falsche Vorgehensweise. Umgekehrt ist es richtig.“

Sicherheitstools von der Stange

Die drei wichtigsten Komponenten eines Sicherheitskonzepts sind für den IT-Experten: Menschen, Prozesse und die Technologie. „Und zwar in dieser Reihenfolge.“ Asma schaut sich dazu zuerst an, wie das Unternehmen wirtschaftlich aufgestellt ist und welche Risikoprofile es gibt. Er klärt zum Beispiel die Frage, ob Mitarbeiter Geräte sowohl betrieblich als auch privat nutzen oder ungeprüfte Datenträger verwenden können. Tim Berghoff: „Das ist gerade in Kleinbetrieben eine Schwachstelle, die leicht ausgenutzt werden kann.“

Oder existieren Geschäftsverbindungen zu asiatischen oder russischen Firmen? „Bei einem Joint Venture in China würde ich meine deutsche Zentrale abschotten“, empfiehlt Asma. Zu häufig seien schon sensible Daten aus Betrieben in Mittelfranken oder Nordhessen heimlich nach Bangkok der Bangalore abgezogen worden.

Im zweiten und dritten Schritt analysiert er die bisherige IT-Security-Praxis des Betriebs und entwickelt eine Sicherheitsstrategie. Was muss geschützt werden? Wie machen wir das? Dazu gehöre auch ein Notfallplan. Was mache ich, wenn ich einen Cyberangriff entdecke?

Berater Asma ärgert sich, dass Chefs kleiner und mittlerer Firmen allzu häufig zu IT-Security-Tools von der Stange greifen. „Mittelständler brauchen Maßanzüge“, betont er. Statt auf die von Marktforschungshäusern wie Meta Group oder Gartner publizierten Listen angeblich bester Security-Programme zu starren, sollten sie ihre Prozesse analysieren und an diesen entlang passende Tools installieren: „Was aus Katalogen kommt, ist meistens zu groß oder zu klein oder zu eng.“