Cyber-Sicherheit: Hackerangriff ist "wie ein Banküberfall bei Nacht"

Zum dritten Mal durchsucht der Mann im Anzug auf dem Flugsteig seine Taschen. Doch es nützt nichts, er muss sein Firmen-Smartphone im Taxi verloren haben. Als er den Verlust bei seinem Arbeitgeber meldet, ist es bereits zu spät: Irgendjemand hat sich der vertraulichen Daten auf dem Gerät bemächtigt, bevor es gesperrt werden konnte.

Wären die Daten und das Gerät geschützt gewesen, hätte sich Datendieb Sebastian Schreiber womöglich vergeblich bemüht. Schreiber ist Chef der IT-Sicherheitsfirma Syss in Tübingen. Das Unternehmen hat sich darauf spezialisiert, Angriffe auf Unternehmen wie Versicherungen oder Softwarehersteller zu simulieren und damit bestehende Lecks sichtbar zu machen, die Cyberkriminelle ausnutzen könnten.

Unternehmen wie Syss sind gefragt. Zuletzt erregten Hackerangriffe auf US- Konzerne wie Apple, Facebook oder Microsoft die Aufmerksamkeit der Medien. Mit EADS und Thyssen-Krupp räumten vergangene Woche auch deutsche Firmen ein, Opfer von Attacken geworden zu sein. Ein seltener Fall, denn die meisten Angriffe auf Firmennetzwerke behalten die Geschädigten lieber für sich.

„Kein Unternehmen, das Opfer von Hackern wird, gibt das freiwillig zu“, sagt Schreiber. Und wenn, dann nur im Schutz der Anonymität. So belegt eine Umfrage des IT-Branchenverbands Bitkom, dass 40 Prozent der deutschen Unternehmen bereits Angriffe auf ihre Systeme festgestellt haben. Und die Zahl der Attacken, die bemerkt wurden, steigt. Rund ein Drittel der von der Unternehmensberatung Ernst & Young in einer weltweiten Studie befragten Unternehmen berichten über mehr Angriffe im vergangenen Jahr. In einer anderen Umfrage der Sicherheitsberatung Corporate Trust gemeinsam mit dem Tüv Süd gehen mehr als drei Viertel davon aus, dass die Bedeutung von Industriespionage zunehmen wird. Das Aktionsbündnis Cyber-Sicherheit – eine Plattform des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des IT-Verbands Bitkom – berichtet über eine niedrige zweistellige Zahl von Angriffen, die Unternehmen seit dem Bestehen im Oktober 2012 freiwillig gemeldet haben.

Ein großer Teil der Datendiebstähle geht laut der Umfrage von Corporate Trust auf eigene Mitarbeiter zurück (47,8 Prozent). Doch die Zahl der Hackerangriffe von außen steigt nach übereinstimmender Meinung von Experten – und dabei steht Diebstahl nicht im Mittelpunkt. In den meisten der ans Aktionsbündnis gemeldeten Fällen handele es sich um DDos-Angriffe, sagt BSI-Sprecher Matthias Gärtner. Dabei werden Server von Unternehmen so stark mit künstlich erzeugten Aufrufen und Anfragen bombardiert, bis sie in die Knie gehen. Motiv ist meist Erpressung – denn für viele Unternehmen ist das Internet inzwischen zum wichtigsten Distributionskanal geworden. Fällt das Netz ein paar Tage aus, beginnen die Lieferketten zu reißen.

Ganz gezielt gehen die internationalen Angreifer aus dem Netz hingegen vor, wenn sie an vertrauliche Informationen – Konstruktionspläne, Kundendaten oder ähnliches – gelangen wollen. Die Eindringlinge attackieren Rechner bestimmter Mitarbeiter, von denen sie wissen, dass diese Zugang zu relevanten Bereichen im Unternehmen haben. Die Schädlinge erreichen – in einer maßgeschneiderten Mail als Anhang getarnt – ihre Opfer und breiten sich von dort im System aus. Nach kurzer Zeit haben die Hacker gefunden, was sie suchen, und entfernen die Schadprogramme. „Man kann sich das vorstellen wie einen Banküberfall bei Nacht“, beschreibt Christian Funk, Analyst beim Anti-Viren-Spezialisten Kaspersky. „Unbemerkt rein, gezielt Beute machen und schnell wieder raus.“

Die Unternehmen selbst sehen die größten Risiken in den mobilen Geräten – Smartphones und Tabletcomputer –, auf denen Passwörter aus Bequemlichkeit auch mal gerne im Gerät abgelegt werden. Auch das zunehmende Cloud- Computing – also das Auslagern von Daten in große Serverparks, die von überall erreichbar sind – stellt für beinahe die Hälfte der von Corporate Trust befragten Unternehmen eine Bedrohung dar.

Angesichts dieser Ängste ist es erstaunlich, dass die Unternehmen beim Schutz gegen Cyberattacken oft zögerlich sind. Nicht einmal jede fünfte Firma setzt auf verschlüsselten E-Mail-Verkehr, nur jedes sechste Unternehmen nutzt verschlüsselte Hard- oder Software oder spezielle Reise-Laptops, auf denen lediglich ein Minimum an Daten abgelegt ist. Und laut Bitkom haben nicht einmal die Hälfte der Unternehmen einen Notfallplan.

Ein Grund dafür ist das schwer zu beziffernde Kosten-Nutzen-Verhältnis. „Wenn eine neue Firewall 250 000 Euro kostet, wird die Unternehmensführung wissen wollen, wie viel Geld sich damit durch abgewehrte Angriffe sparen lässt“, sagt Sebastian Schreiber. „Das kann die IT-Abteilung natürlich nicht sagen.“ Vor allem größere Unternehmen seien inzwischen für die Gefahren sensibilisiert, sagt Viren-Analyst Funk. „Aber gerade kleine und mittelgroße Unternehmen verfügen oft über Spezialwissen und sind deshalb einträgliche Ziele für Angriffe.“

Von Plänen der Politik, eine Meldepflicht bei schweren Hackerangriffen einzuführen, halten Industrie und IT-Wirtschaft dennoch nichts. Sowohl EU-Kommissarin Neelie Kroes als auch Bundesinnenminister Hans-Peter Friedrich (CSU) wollen Unternehmen aus wichtigen Branchen wie Finanzen oder Energie zwingen, solche Vorfälle zentral zugänglich zu machen. Von staatlicher Seite geht es neben dem Kampf gegen Industriespionage vor allem um die Sorge vor terroristischen Cyberattacken etwa gegen die Stromversorgung. Bislang unterliegen nur Telekom-Firmen einer Meldepflicht. Die Wirtschaft fürchtet neben einem Imageschaden auch ein Mehr an Bürokratie.