"Bestenfalls unterirdisch": Cybersicherheit in deutschen Unternehmen

Nürnberg - Haben Kriminelle im Netz zugeschlagen und erpressen ein Unternehmen, wird oft Mark Semmler gerufen. Der Fachmann für Cybersicherheit ist entsetzt, wie wenig sich Firmen schützen und sagt: Es wäre gar nicht so schwer, solche teuren Attacken von vorneherein zu verhindern.

Dass Mark Semmler einmal erhebliche Teile seines Lebens vor Computerbildschirmen verbringen würde, war schon recht früh klar. Ende der 80er Jahre, mitten in der Pubertät, kaufte er sich seinen ersten Rechner.

Das lustvolle Herumexperiementieren mit Soft- und Hardware war damals noch ein recht exklusives Hobby, PCs wenig verbreitet, das Internet vielen gänzlich unbekannt. Semmler war natürlich trotzdem schon „drin“, hat sich über ein Modem eingewählt, mit Computerfreaks auf der ganzen Welt Kontakt aufgenommen.

Allerdings nur einen Monat lang. Dann nämlich stellte die deutsche Post Semmlers Eltern eine Rechnung über satte 300 Mark – Ausflüge ins Internet waren damals noch ungemein teuer. Zu teuer, fanden seine Eltern und kassierten das Modem erst mal ein.

"Hacken an sich ist nichts Böses"

Heute hindert den 47-Jährigen niemand mehr daran, seine Begeisterung für digitale Technik auszuleben. Im Gegenteil, längst hat er seine Leidenschaft zum Beruf gemacht und kümmert sich mit seiner in Nürnberg ansässigen Firma um Unternehmen, die ihre IT-Sicherheit verbessern wollen. Oder um jene, die bereits Opfer von Hackern geworden sind.

„Hacken an sich ist gar nichts Böses, sondern nur der kreative Umgang mit Sicherheitstechnik, sagt Semmler, der ursprünglich nicht aus Nürnberg, sondern aus dem Rheingau stammt. Allerdings eine Art der Kreativität mit der sich viel Geld verdienen lässt – gerade auch auf illegalen Wegen. „Ich will nach dem Aufstehen noch in den Spiegel schauen können“, erklärt er, warum eine Karriere im kriminellen Milieu für ihn nie infrage kam. Außerdem dominierten dort inzwischen mafiöse Strukturen, der Betrieb sei straff organisiert.

Das bekommen auch seine Kunden zu spüren. Der Informatiker erzählt von einem Betreiber von Rechenzentren, der Anfang des Jahres bei ihm Hilfe gesucht hat. Das Unternehmen war Opfer eines Angriffs mit sogenannter Ransomware geworden, gewissermaßen eine Erpressersoftware.

Horrorszenario für Unternehmen

Die Methode ist beliebt, nicht übermäßig kompliziert und lässt sich in großem Stil organisieren. „Die Angreifer verschaffen sich über eine Sicherheitslücke Zugang ins System, erlangen den höchsten Admin-Status und rollen Schadsoftware auf das gesamte IT-System aus“, fasst Semmler das Grundprinzip zusammen. Die Hacker verschlüsseln dann das ganze System, sodass niemand aus ihnen mehr auf die im System gespeicherten Daten zugreifen kann.

Gefragter Experte, wenn es um die Sicherheit von IT-Systemen geht: Mark Semmler. © imago images/Becker&Bredel

Ein Horrorszenario für alle Unternehmen. Wichtige E-Mails, Kundendaten, Kontakte, Produktionssoftware – nichts ist mehr verfügbar. Mit einer Meldung verkünden die Hacker ihre Anwesenheit und stellen meist eine Lösegeldforderung. Etwa fünf bis sieben Prozent des Jahresumsatzes hätte sich da eingebürgert, sagt Semmler. „Und meistens bedeutet so ein Angriff für die Unternehmen, dass man etwas zahlt oder pleite ist.“ Von seinem Kunden Anfang des Jahres haben die Täter 1,5 Millionen Euro gefordert.

„Man kann die auch anrufen und mit denen verhandeln. Die sind organisiert wie ein normaler Betrieb, die haben Öffnungszeiten und machen Mittagspause“, berichtet der Experte über die Parallelwelt der Hacker. Die Banden säßen oft in Russland.

Attacken zu spät erkannt

Zum Glück sind Unternehmen solchen Attacken zumindest theoretisch nicht schutzlos ausgeliefert. „Wenn man den Angriff rechtzeitig erkennt, kann man ihn abwehren. Mit etwas Glück, bekommt man die Täter relativ schnell wieder raus aus dem System“, erklärt Semmler. Aber: Nur in drei von 20 Fällen sei es ihm dieses Jahr gelungen, die Verschlüsselung zu verhindern. Fast immer werden die Attacken viel zu spät realisiert. „Der deutsche Mittelstand ist häufig gar nicht in der Lage, das rechtzeitig zu merken.“

Wenn Semmler auf die IT-Sicherheit deutscher Unternehmen zu sprechen kommt, schwingt blankes Entsetzen in seiner Stimme mit. „Bestenfalls unterirdisch“ seien die Vorkehrungen meistens. „Wenn man heute bösartige Mails in Firmen schickt, klicken 20 Prozent der Empfänger auf den Anhang.“ Und schon ist das System verseucht, oft mit schwerwiegenden und kostspieligen Folgen.

Schließlich kommen zum möglichen Lösegeld noch die Kosten für Experten wie Semmler, ein Betriebs- und Produktionsausfall, mögliche Kundenabgänge und vieles mehr.

Wie hoch der Schaden ist, der jedes Jahr durch Cyberkriminalität entsteht, lässt sich schwer abschätzen. Das Zentrum für Strategische und Internationale Studien (CSIS) geht von weltweit etwa 600 Milliarden Dollar pro Jahr aus. Der Branchenverband Bitkom hat 2019 über 1000 Geschäftsführer und Sicherheitsverantwortliche deutscher Unternehmen nach Schäden durch Cyberangriffe befragt.

11 Bilder

Wirtschaft

1.10.2020, 10:35 Uhr

Top Ten: Das sind die wertvollsten Unternehmen der Welt

Rechnet man die genannten Summen auf die deutsche Wirtschaft hoch, ergibt sich ein Gesamtschaden von rund 103 Milliarden Euro pro Jahr. Tendenz stark steigend. Die Vereinigung der Bayerischen Wirtschaft (VBW) räumt dagegen ein, keine Daten zum Thema IT-Sicherheit zu erheben. Auch über konkrete Schadenssummen sei nichts bekannt.

Vielleicht ein Zeichen dafür, dass das Thema Cybersicherheit noch immer unterschätzt wird. Dass das der Fall ist, davon ist Mark Semmler überzeugt. Zu oft werde nach dem Prinzip „möglichst schnell und billig“ verfahren. Gerade im Zuge der Corona-Pandemie war es vielen Unternehmen wichtig, ihre Mitarbeiter schnellstmöglich ins Homeoffice zu bekommen.

Schwachstelle ist der Mensch

Aus Sicherheitsaspekten äußerst problematisch. Gerade weil der Mensch sowieso oft die Schwachstelle in der Sicherheitsarchitektur ist. Eine Umfrage im Auftrag der deutschen Versicherungswirtschaft kommt zum Ergebnis, dass Passwörter an jedem vierten passwortgeschützen Arbeitsplatz keinerlei Mindestanforderungen brauchen. Nur 39 Prozent der befragten Angestellten haben schon einmal an einer Schulung zum Thema IT-Sicherheit teilgenommen.

Ernüchternde Zahlen, dabei ist es weder extrem kompliziert noch extrem teuer, ein Mindestmaß an Schutzwirkung zu erzielen, sagt Semmler: „Jedes Unternehmen braucht eine Datensicherung, die auch regelmäßig geprüft wird. Außerdem sollte man nicht Hinz und Kunz zum Administrator machen.“

Zudem empfiehlt er, wirksame Passwörter zu verwenden und einen Wiederanlaufplan vorzubereiten. Dann lässt sich das System nach einem Angriff schneller wieder hochfahren. Wenn dann auch noch regelmäßig Softwareupdates installiert werden, hat man einige Sicherheitslücken bereits geschlossen.

"Kosten darf es aber nichts"

Nach Semmlers Erfahrung verhindert bisweilen auch eine bestimmte Unternehmenskultur ein höheres Sicherheitsniveau: „Die Geschäftsführung fühlt sich für die IT oft nicht zuständig. Dabei braucht es klare Zielvorgaben.“ Zu oft wird die IT-Abteilung skeptisch beäugt und zu wenig in strategische Überlegungen einbezogen. „Die It‘ler sollen für Sicherheit sorgen, kosten darf es aber nichts und komfortabel soll es auch noch sein“, schimpft der Informatiker und rauft sich die langen, grau melierten Haare.

Dabei ist die Bedeutung der Cybersicherheit für den Wirtschaftsstandort Deutschland nicht zu unterschätzen. In der Bundesrepublik gibt es zahlreiche „Hidden Champions“, also Mittelständler, die auf ihrem Gebiet Weltmarktführer sind. Deren Know-How ist viel Geld wert und zieht Hacker magisch an.

Hohes Risiko

„Wer heute zum Beispiel im Bereich Brennstoffzellen, Wasserstoffantrieb oder Batterieentwicklung tätig ist, hat ein hohes Risiko, gehackt zu werden“, warnt Semmler. Digitale Industriespionage wird oft von hochspezialisierten Tätern betrieben, die im Auftrag konkurrierender Unternehmen oder ausländischer Geheimdienste arbeiten.

China habe sich in diesem Bereich zum „Top-Player“ entwickelt, weiß Semmler. Klingt ganz so also ob es für den Wahl-Nürnberger auch in Zukunft noch genug Anlässe geben sollte, sich dorthin zu begeben, wo er sich am wohlsten fühlt: vor dem Monitor eines Computers.