Auch deswegen hat das Bundesinnenministerium vor allem Betreiber kritischer Infrastrukturen – also Unternehmen aus den Branchen Energie, Telekommunikation, Transport, Banken und Versicherungen – aufgefordert, brancheneigene Krisenreaktionszentren einzurichten.
Zumindest die Versicherer haben reagiert: Rund um die Uhr melden hier die Mitgliedsunternehmen einer zentralen Stelle Anomalien, die sie im Web beobachten. Der Einrichtung wird Modellcharakter für sämtliche Branchen zugeschrieben.
Denn „zu glauben, man sei sicher, weil man angeblich nicht über sensible Daten verfügt oder nicht der Weltmarktführer ist, ist naiv”, sagt Secunet-Vorstand Koelzer.
So zahlte etwa der Betreiber eines Online-Shops für Sportbekleidung kürzlich hohes Lehrgeld für seine Naivität. Ein Erpresser forderte ihn per E-Mail auf, ihm Geld zu überweisen. Andernfalls mache er seine „Web-Seite platt“.
Die E-Mail landete im Spam-Filter, der Unternehmer reagierte nicht. Daraufhin überzog der Erpresser die Web-Seite so lange mit scheinbaren Anfragen, bis sie für Kunden nicht mehr erreichbar war. Wäre das im Vorweihnachtsgeschäft passiert, sagt der Mittelständler, hätte ihn dies seine Existenz gekostet.
Keine Standartlösungen
Damit ihnen eine ähnliche Erfahrung erspart bleibt, planen laut einer Studie des US-Marktforschers IDC fast drei Viertel von 200 befragten deutschen Unternehmen, das Budget ihrer IT-Abteilungen aufzustocken.
Doch Geld allein genügt nicht: Zu jedem Sicherheitspaket gehört eine umfassende Bedrohungsanalyse: Welche Daten im Unternehmen sind sensibel? Auf welchem Wege könnten Angreifer versuchen, an die Daten zu kommen? „Jede Firma hat eine andere Struktur und damit andere Schwächen“, sagt Secunet-Vorstand Koelzer. „Standardlösungen gibt es nicht.“
Zwar hätten auch kleine und mittlere Unternehmen jüngst technisch aufgerüstet, Firewalls, Viren-Scanner oder Anti-Spam-Lösungen installiert, sagt Katrin Böhme von „Deutschland sicher im Netz“, einer Initiative von Unternehmen, Vereinen und Branchenverbänden.
Auch hätten viele Mittelständler einen Datenschutzbeauftragten bestellt. Damit sei es jedoch nicht getan: „Aber welche Daten für die Konkurrenz interessant sind, weiß nicht der Datenschutzbeauftragte, sondern die Chefetage.“