Wer ohne Erlaubnis ein Firmengelände betreten will, tut sich schwer: Zäune, Tore und Zugangskontrollen halten unerwünschte Besucher ab. Wer dagegen in krimineller Absicht in die Datenwelt eines Betriebs vordringen will, hat es oft leichter. «Die meisten Unternehmen in Deutschland sind schlecht auf Cyberattacken vorbereitet», sagt Digitalisierungsexpertin Nicole Gaiziunas vom Bildungs- und Beratungsunternehmen XU. «Es fehlt das Bewusstsein dafür. Viele Firmen können sich nicht vorstellen, was Angreifern technisch möglich ist.» Ausserdem sind die Deutschen bislang vergleichsweise glimpflich davongekommen, auch wenn gut die Hälfte der Unternehmen hier im vergangenen Jahr mindestens einmal Ziel einer Cyberattacke war.

Mit minimalem technischen und finanziellen Aufwand

Durch digitale Spionage, Sabotage und Diebstahl von Daten entsteht der deutschen Wirtschaft laut Branchenverband Bitkom im Jahr ein Schaden von rund 55 Milliarden Euro. Weltweit summiert sich dies Schätzungen zufolge auf bis zu eine Billion Dollar. 

Angriffe übers Internet sind nichts Neues, doch mit der zunehmenden Vernetzung in allen Lebensbereichen bieten sich immer mehr Einfallstore für Verbrecher. Weil viele Firmen nicht ausreichend geschützt sind, können Cyber-Kriminelle sogar mit minimalem technischen und finanziellen Aufwand hohe Schäden anrichten. 

«Knallhartes Geschäft»

Die Angreifer gehen dabei immer professioneller vor, wie Peter Wirnsperger vom Beratungsunternehmen Deloitte sagt. «Das ist ein knallhartes Geschäft geworden.» Den Tätern bringt ein Angriff mit Erpressungssoftware im Schnitt zwar «nur» gut 700 Dollar Gewinn, schätzt die IT-Sicherheitsfirma Trend Micro, bei einem Unternehmensnetzwerk kommen aber schnell rund 30'000 Dollar zusammen. Und eine Attacke kann sich gleichzeitig gegen viele Firmen richten.

Anzeige

Die Schadsoftware «WannaCry» beispielsweise erfasste im Mai über ein einziges Wochenende 200'000 Computer in 150 Ländern und blockierte sie. So wollten die Täter Lösegeld erpressen - von der Deutschen Bahn ebenso wie vom französischen Autobauer Renault, dem britischen Gesundheitsdienstleister NHS oder dem US-Kurierdienst FedEx. Im Juni fielen rund um den Globus Firmen dem ähnlich gestrickten Kryptotrojaner «Petya» zum Opfer, darunter die Deutsche Post, der Handelsriese Metro, der Nivea-Hersteller Beiersdorf, die weltgrösste Reederei Moller-Maersk und der russische Ölkonzern Rosneft. Der britische Konsumgüterkonzern Reckitt Benckiser musste nach dem Angriff sogar seine Prognose kassieren.

Aus Schaden wird man klug

Warnungen von IT-Experten oder Sicherheitsbehörden, sich besser gegen digitale Attacken zu wappnen, verhallen oft ungehört. Deshalb zieht auch das Geschäft der Versicherer mit Cyber-Policen nur sehr langsam an. Umso lauter trommelt die Assekuranz. Ole Sieverding vom Spezialversicherer Hiscox erläutert, für viele Firmen seien die Gefahren der Digitalisierung abstrakt. «Sie müssen meist erst real werden, damit das Thema Cybersicherheit angepackt wird.» Die Amerikaner seien weiter, weil es in den USA in der Vergangenheit viele Schadensfälle gegeben habe. «Europäische Länder, besonders Deutschland, haben grossen Nachholbedarf.»

62 Prozent der Betriebe hierzulande seien auf Angriffe via Internet nicht ausreichend vorbereitet, fanden die Marktforscher von Forrester Consulting in einer Studie im Auftrag von Hiscox heraus. Cybersecurity-Fachmann Wirnsperger von Deloitte sagt, vor allem kleinere Firmen seien sich ihres Gefahrenpotenzials nicht bewusst. «Sie sehen sich selbst nicht als Ziel, und sehen auch nicht, dass sie angegriffen werden, um über sie in grosse Unternehmen einzudringen.»

Welcher Schaden kann entstehen?

Versicherungsexperte Sieverding rät Managern, auf dem Weg zu mehr digitaler Sicherheit durchzuspielen, was im schlimmsten Fall passieren kann: «Wo sind die Kronjuwelen? Welcher Schaden kann entstehen? Das ist in jeder Branche und jedem Unternehmen anders.» Legen Kriminelle die Produktion von Schokolade oder Kondomen lahm, fallen andere Kosten an, als wenn in einem Autowerk die Bänder zum Stillstand gebracht werden.

Anzeige

Ausserdem unterschätzten Unternehmen die langfristigen Folgen von Cyberangriffen, heisst es in einer Studie des Versicherungsmarkts Lloyds of London mit der Beratungsfirma KPMG und der Anwaltskanzlei DAC Beachcroft. Sie müssten sich auf den Verlust verunsicherter Kunden oder auf fallende Aktienkurse einstellen.

(reuters/ccr)