Obwohl das Bewusstsein gewachsen ist, vertrauen einige Firmenchefs schon aus Sparsamkeit darauf, dass Daten mit Standardprogrammen ausreichend geschützt sind. „Die klassischen Themen wie Virenschutz und Firewall sind abgesichert, aber was den erweiterten Schutz angeht, ist die Investitionsbereitschaft gerade im Mittelstand noch zögerlich“, sagt IDC-Experte Zacher.
Ein Fehler. Aufwendigere Programme bieten zwar keinen vollkommenen, aber doch deutlich besseren Schutz als Standardlösungen. Aktuelle Virenscanner und andere Schutzprogramme etwa aktualisieren sich heute mehrmals am Tag. Das müssen sie auch, denn die virtuelle Armada wird immer unübersichtlicher. Im Juni berichtete der Sicherheitsanbieter Check Point von nicht weniger als 2420 aktiven Schädlingsfamilien, die Netzwerke von Unternehmen angreifen. Die Zahl der Programme, die schädliche oder zumindest unerwünschte Funktionen ausführen, war damit seit April um 21 und seit Jahresbeginn sogar um 61 Prozent gestiegen. Viele Virenstämme, die selbst Experten gestern noch unbekannt waren, bedrohen heute schon Unternehmen.
Nicht nur die Zahl, auch die Qualität der Angriffe wächst. Längst attackieren nicht mehr nur Hobbyhacker, sondern auch professionelle Cyberkriminelle im Auftrag ausländischer Regierungen Unternehmen. Deren Betriebsgeheimnisse lagern nicht mehr im Tresor, sondern in der digitalen Datenwolke.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Und es dürfte noch gefährlicher werden: Schon in fünf Jahren wird das Internet der Dinge weltweit vermutlich Milliarden Maschinen, Sensoren und Geräte miteinander verbinden. Dann verwandelt sich selbst die einfache Straßenlaterne in einen Computer, der das Licht zum Beispiel bei Nebel automatisch heller scheinen lässt. All diese Geräte sind potenzielle Opfer. „Alles, was durch eine IP-Adresse in einem Netzwerk identifizierbar ist und Rechenleistung hat, ist betroffen“, sagt Analyst Zacher. Um die Bedrohung in den Griff zu bekommen, haben bereits rund 45 Prozent der Unternehmen ihre IT-Sicherheit teilweise oder komplett an externe Dienstleister ausgelagert. Das ist nicht ohne Risiko, denn damit machen sie sich abhängig von Fremden. „Mittelfristig aber geht an dieser Entwicklung kein Weg dran vorbei“, sagt Zacher. Gerade kleine Unternehmen sind überfordert, wenn sie die Verteidigung aus eigener Kraft organisieren.
Die ausgewählten Dienstleister sollten bereits Erfahrung im Aufbau solcher Strukturen haben und diese durch entsprechende Referenzen nachweisen. Die Kosten richten sich nach der bereits vorhandenen IT-Struktur. Etabliert haben sich Abrechnungsmodelle, bei denen Unternehmen pro IT-Arbeitsplatz eine monatliche Gebühr bezahlen. Die beginnt bei rund 20 Euro. Ein wichtiger Hinweis sind Zertifizierungen, wie sie das Bundesamt für Sicherheit in der Informationstechnik verleiht. Im Optimalfall unterzieht sich der Sicherheitsanbieter einer solchen Prüfung regelmäßig, denn Cyberkriminelle entwickeln nahezu täglich neue Angriffsszenarien.
Auch der Gesetzgeber hat die Dimension der Bedrohung erkannt. Er zieht die Zügel an und erlässt ständig neue IT-Pflichten, die Nichttechniker nicht immer im Blick haben, wie Rechtsanwalt Markus Wulf weiß: „Künftig kommen weitere Pflichten hinzu, etwa durch die ausdrücklich formulierte Pflicht zur Pseudonymisierung und Verschlüsselung. Zuwiderhandlungen sind mit Geldbußen bis zu zehn Millionen Euro bedroht“, so der Fachanwalt für IT-Recht und Partner bei der Kanzlei SKW Schwarz.
Für die IT-Sicherheitsexperten ist der Wandel eine Genugtuung. Früher galten sie als die Kellerkinder der Branche, versteckt, im Stillen werkelnd, wenig beachtet und eher lästig. Heute stehen sie in vielen Unternehmen in der ersten Reihe – anerkannt, angesehen und unverzichtbar.