Hacker-Angriffe: Niemand ist sicher vor Cyberkriminellen

Sony, die Citigroup, der Rüstungskonzern Lockheed Martin – das waren nur einige der spektakulären Beispiele für Unternehmen, die Opfer von Angriffen aus dem Netz wurden. Die Zahl der Fälle steigt auch hierzulande, weil immer mehr Geschäftstätigkeiten digitalisiert werden und immer mehr Firmen sich vernetzen. 2009 registrierte die Polizei-Statistik 74 911 Fälle von Computerkriminalität, 2010 waren es 84 377. Dabei gibt es immer weniger Angreifer, die das nur so zum Spaß machen. „Längst haben Hacker für ihre Dienste einen Markt etabliert und die Verdienstmöglichkeiten für Internetkriminelle verbessert“, schreibt Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), im aktuellen Lagebericht. „Angriffe auf IT-Systeme gab es schon immer, jedoch hat sich deren Intensität und Charakter verändert“, heißt es dort weiter. „Zu der quantitativ hohen Zahl der Angriffe kommt eine neue Qualität zielgerichteter Attacken hinzu.“

Was den digitalen Angriff für viele so attraktiv macht: „Cyberkriminalität kann man ganz bequem von zu Hause aus begehen – es besteht keine Gefahr für Leib und Leben. Ein Bankraub ist im Vergleich zur virtuellen Straftat deutlich gefährlicher“, sagt Lutz Neugebauer, Bereichsleiter Sicherheit beim Hightechverband Bitkom. Wie viele Unternehmen tatsächlich Opfer von kriminellen Attacken aus dem Netz werden, darüber gibt die Statistik des Bundeskriminalamtes nur unzureichend Auskunft. „Die Zahl der tatsächlichen Schadensfälle ist schwer fassbar, denn die Dunkelziffer ist extrem hoch“, sagt Neugebauer. „Viele Unternehmen haben Angst vor einem Reputationsverlust gegenüber Kunden, Lieferanten und vor allem Geldgebern, wenn sie eine digitale Attacke zugeben.“

Weil man die Zahl der Angriffe nicht kennt, ist es schwer zu sagen, welche Kosten Cyberkriminalität verursacht. Die Wirtschaftsprüfer und Berater von KPMG haben Firmen, die betroffen waren, nach der Höhe des ihnen entstandenen Schadens gefragt und die Ergebnisse hochgerechnet. „Wir gehen davon aus, dass 2010 der in Deutschland durch Cyberkriminalität entstandene Schaden bei rund zehn Milliarden Euro gelegen hat“, sagt KPMG-Partner Alexander Geschonneck. „Andere Schätzungen gehen allerdings noch darüber hinaus.“ Für das laufende Jahr erwartet der Forensik-Experte einen Anstieg um 20 Prozent, „auch weil die Daten immer wertvoller werden.“

Ein Beispiel: Wenn eine Firma in die Entwicklung eines neuen Bauteils fünf Millionen Euro investiert, kann es sich für einen Konkurrenten lohnen, die Entwicklungsergebnisse durch einen Hacker stehlen zu lassen. „Je mehr Innovationen es in einer Branche gibt und je kürzer die Entwicklungszyklen, desto wertvoller werden die entsprechenden Informationen“, sagt Geschonneck. „Und umso höher ist der Anreiz, die Daten zu stehlen.“

Dabei wird es für viele Täter immer leichter, an die Daten zu kommen. „Früher ist kein Vertriebsmanager auf die Idee gekommen, zwei LKW-Ladungen voll Aktenordner mit zum Kunden zu nehmen“, sagt Geschonneck. „Heute hat er diese Daten auf dem Laptop oder kann über sein Smartphone darauf zugreifen.“ Oft ist es also gar nicht nötig, komplizierte Sicherheitssysteme zu überwinden, weil Daten oder Passwörter unverschlüsselt auf mobilen Geräten gespeichert sind. „Eine zunehmende Herausforderung liegt in der raschen Verbreitung von Smartphones, Netbooks und Tablet- PCs, durch die die Angriffsfläche für Cyber-Kriminelle erheblich vergrößert wurde“, konstatiert der BSI-Bericht.

„Viele Unternehmen fühlen sich bedroht durch Industriespionage aus Osteuropa oder Asien“, sagt Geschonneck. Doch oft liegt die Gefahr viel näher: „Fast die Hälfte der Täter sind die eigenen oder ehemalige Mitarbeiter“, sagt Geschonneck. Ein Risiko sind nicht nur böswillige Mitarbeiter, sondern auch die arglosen, die sich unwissentlich infizierte Anwendungen auf das Smartphone laden oder in sozialen Netzwerken zu redselig sind. „Es ist wichtig, die Mitarbeiter zu sensibilisieren und zu kontrollieren, was sie im Internet über die Firma veröffentlichen.“

„Gerade viele kleine Unternehmen kümmern sich zu wenig um die Sicherheit ihrer IT“, sagt Neugebauer vom Bitkom. „Ihnen ist oft gar nicht bewusst, welches die Unternehmenswerte sind, die geschützt werden müssen. Und wer sich nicht gezielt schützt, kann leicht zum Opfer werden.“ Und weil der Schutz der IT eben keine rein technische Aufgabe sei, sollte sich der Chef selbst darum kümmern und mit einem kompetenten Berater ein geeignetes Sicherheitskonzept erarbeiten. „Diesen Schritt muss man gehen“, meint Neugebauer.

Doch selbst Experten sind vor Angriffen nicht gefeit. Auch die Kreditkartendaten von Alexander Geschonneck sind schon mal gestohlen worden – ausgerechnet von dem Server eines Herstellers von Forensiksoftware, mit dem Spezialisten Cyberangriffe untersuchen. „Da waren sicher auch die Daten der Corporate- Karte des FBI dabei“, vermutet Geschonneck.