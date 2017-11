IT-Experten beantworten die Frage, wie gut deutsche Unternehmen gegen einen Cyberangriff gesichert sind, gerne so: "Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht."

Der Ausspruch stammt eigentlich von dem früheren FBI-Direktor James Comey. Drei Jahre ist es her, dass er ihn äußerte. Seine Worte sind nach wie vor aktuell.

Denn zur ersten Art von Unternehmen gehören zum Beispiel schon all jene, die im Sommer Opfer der Massenangriffe mit WannaCry oder Petya/NotPetya wurden: mit Schadprogrammen also, die weltweit Computer befielen und Produktionsstraßen, Hafenanlagen, Bahnanzeigen oder ganze Krankenhäuser lahmlegten und erst gegen Zahlung von "Lösegeld" wieder freigaben. Solche Ransomware wird kontinuierlich weiterentwickelt. Mittlerweile sind mehr als zehn Millionen Varianten bekannt:

230.000 Unternehmen waren weltweit laut Europol von diesen Attacken betroffen. Allein im vergangenen Jahr verursachten Cyberangriffe weltweit Schäden in Höhe von bis zu 450 Milliarden Dollar - davon 65 Milliarden bei Unternehmen in Deutschland. Das ist die eine Art von Unternehmen, diejenigen, die von einem Angriff wissen, vielleicht daraus gelernt haben - und sich künftig besser schützen werden.

Gefährdet sind aber vor allem jene, die "noch nicht wissen, dass sie gehackt wurden", wie Comey sagte. In Deutschland gaben in einer Umfrage 56 Prozent der Firmenchefs an, in ihren Unternehmen gebe es keine konkreten Hinweise auf Cyberangriffe oder einen Datendiebstahl. Weil sie so sicher sind? Oder einfach unwissend?

Der digitale Kontrollverlust Michael Walter / DER SPIEGEL "Der digitale Kontrollverlust" rund um die IT-Sicherheit von Privatnutzern, Firmen und Behörden. Lesen Sie alle Texte dazu auf unserer Themenseite.

Wer wissen will, in welcher Form Unternehmen schon angegriffen wurden, welche Schäden entstanden sind oder wie sie sich zu schützen versuchen, stößt auf Schwierigkeiten. Reden will darüber eigentlich niemand, schon gar nicht, wenn die eigene Firma betroffen ist, war oder sein könnte. Die vielen Gespräche, die der SPIEGEL mit Firmen, IT-Spezialisten und Sicherheitsbeauftragten geführt hat, fanden fast immer unter einer Bedingung statt: keine Namen.

Die Geheimnistuerei ist insofern einigermaßen unverständlich, als alle Beteiligten versichern, sie wünschten sich mehr öffentliche Aufmerksamkeit für das Thema. Der Leidensdruck steigt mit der Zahl der erfolgreichen Attacken gegen Unternehmen: Daten und Informationen werden gestohlen, Produktionen lahmgelegt, Betrügereien umgesetzt, Geld erpresst. Und die Behörden, Verbände und Firmen sind weitgehend hilflos: "Es gibt keine hundertprozentige Sicherheit", heißt es lakonisch. Es scheint wie bei Wohnungseinbrüchen oder Terroranschlägen, der Staat ist ziemlich ohnmächtig.

DPA Cyberangriff mit der Ransomware Petya/Not Petya

Ein kleiner Maschinenbauer in Süddeutschland: ein unscheinbares Unternehmen mit einem unspektakulären und eher analogen Produkt. Allerdings ist die Firma auf ihrem Gebiet ein Hidden Champion, ein Weltmarktführer, ihr Wissen weltweit begehrt. "Wir würden einen Angriff oder Hack selbst gar nicht bemerken", sagt der IT-Sicherheitschef, denn die Firewall, den Schutz nach außen, hat er an die Telekom vergeben - und die informiert darüber nicht.

Aber "merkwürdige Vorkommnisse" gebe es immer wieder. So tauchten zuweilen neue Programme auf den Firmengeräten auf, gerade auf Mobilgeräten oder Laptops der Mitarbeiter im Außendienst. Immer wieder schlüpften auch E-Mails durch die Firewall, die im Anhang eine Schadsoftware transportierten. Bisher habe man wohl jede verdächtige Software entdeckt, hofft der IT-Chef. Sicher ist er nicht: "Den Daten sieht man ja nicht an, ob sie kopiert wurden." Als wirklich gefährdet sieht er seine Firma nicht an: "Wir sind nicht so wichtig, dass man uns gezielt angreifen würde."

Ist das so?

Nach Erkenntnissen des Bundesamts für Verfassungsschutz sind gerade jene kleinen und mittleren Unternehmen, die stark in Forschung und Entwicklung investieren, das bevorzugte Ziel von Spionageattacken fremder Nachrichtendienste und Ausspähungen durch Konkurrenten. 60 Prozent aller "Hidden Champions" haben ihren Sitz in Deutschland. Und sie stecken in einem Dilemma.

Einerseits werden sie dazu gedrängt, schneller und umfassender zu digitalisieren, Industrie 4.0 heißt das Trendwort. Bürocomputer, Produktionsanlagen, Logistikunternehmen, Roboter, Wartungsfirmen, Hersteller - alles soll künftig miteinander kommunizieren. Der IT-Branchenverband Bitkom veranstaltet "Roadshows", um dafür zu werben. Andererseits klagen viele Unternehmen darüber, dass sie mit den Problemen alleingelassen werden. Die Sicherheitsfrage, so heißt es auch bei Bitkom, sei der zweite Schritt.

Ob das so klug ist?

Digitalisiert sind die deutschen Unternehmen nämlich schon heute in einem erheblichen Maß. Das Internet ist für die Kommunikation mit Kunden, Auftragnehmer, Lieferanten oder Logistikunternehmen unverzichtbar. Die Produktionsanlagen werden von Computern gesteuert, vielfach kommunizieren sie miteinander und meist auch noch mit den Herstellerfirmen, die per Fernwartung nach Fehlern suchen oder Systemaktualisierungen aufspielen können.

DPA Vernetzte Roboter in der Autoproduktion sind ein großes Risiko

Doch vernetzte Roboter sind ein großes Risiko: Werden sie angegriffen, steht die Produktion still. So stoppte die Ransomware WannaCry die Bänder des Autoherstellers Renault. Gerade bei den Zulieferern in der Autobranche laufen viele Systeme noch mit Windows XP, dessen Sicherheitslücke WannaCry nutzte. Das Betriebssystem kam 2001 auf den Markt, es läuft zuverlässig auch auf älteren Computern und Maschinen, auch auf vielen Geldautomaten. Allerdings unterstützt Microsoft das System seit Januar 2016 nicht mehr. Es gibt keinen Technik-Support und normalerweise auch keine Sicherheitsaktualisierungen. Ein Traum für Hacker. So verbreitete sich der Trojaner Petya/NotPetya auf besonders perfide Art und Weise: Er war im Update einer Buchhaltungssoftware enthalten.

Nicht einmal die Finanzbranche scheint gut gerüstet für die digitale Bedrohung: "Unsere IT-Prüfungen in Banken enden meist mit einem verheerenden Ergebnis - kein Institut schnitt bisher besser als mit der Schulnote vier ab", hieß es jüngst bei der Bankenaufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin). Auch die Banken nehmen die Bedrohung durch Cyberangriffe offenbar nicht ernst genug.

Gefahr für Leib und Leben

Aus einem IT-Sicherheitsproblem kann unter Umständen aber auch eine Gefahr für Menschen werden. Schon jetzt gibt es Industrieroboter, die mit Menschen zusammenarbeiten. Manipulationen an der Software der Maschinen könnte zu Verletzungen führen. Deutsche Maschinenbauer alarmiert diese Möglichkeit der "virtuellen Kriegsführung", zu der besonders ehrgeizige Konkurrenten in einem harten internationalen Wettbewerb greifen könnten. Vorstellbar und verheerend für das Renommee des Unternehmens, erzählt ein Sicherheitsexperte, wäre etwa die Manipulation eines Roboters in der Automobilproduktion: Eine um wenige Zehntel Millimeter versetzte Schweißnaht könnte zu schweren Unfällen führen.

Ein begabter Hacker mit entsprechender technischer Ausrüstung dürfte zwar in so gut wie jedes Firmennetzwerk eindringen können, wenn er genügend Zeit, Geld und Energie er darauf verwendet. Am einfachsten und schnellsten aber geht es über die Mitarbeiter. Das Ausnutzen menschlicher Schwachstellen im System läuft unter dem Begriff Social Engineering, frei übersetzt: Sozialmanipulation.

Bei einem weltbekannten deutschen Maschinenbauer rief beispielsweise ein angeblicher Headhunter einen Mitarbeiter an und bot ihm eine attraktive Stelle. Im Laufe des Gesprächs wurde der vermeintlich Umworbene so lange ausgefragt, bis er misstrauisch wurde. Mit solchem Wissen über Aufgabengebiete, Zuständigkeiten oder gar Zugriffsrechte lässt sich schon viel anfangen.

Trojaner-Mail mit Betreff "Vorschläge zum Personalabbau"

Auch E-Mails sind ein beliebtes Mittel, um in einem zweiten Schritt dann Späh- oder Schadprogramme ins Unternehmensnetzwerk einzuschleusen. Diese sind in der Regel sorgfältig gestaltet. Die Absenderadresse stammt ganz offensichtlich aus dem Unternehmen, die Signaturen sind korrekt, die üblichen Anredeformeln stimmig. Und wer würde nicht - wie geschehen - eine vermeintlich fehlgeleitete E-Mail aus der Personalabteilung lesen, der eine Datei mit dem Titel "Vorschläge zum Personalabbau" anhängt? Dass darin ein Trojaner versteckt ist, kann man ja nicht wissen.

Ein anderer Weg: Der Angreifer speichert die Schadsoftware auf einem USB-Stick, den er auf dem Firmenparkplatz "verliert". Der Finder, so die Hoffnung, wird den Stick an seinen Rechner stecken um mal zu sehen, was darauf ist - ein erstaunlich erfolgreicher Weg. Auch hier installiert sich ein Schnüffel- oder Schadprogramm.

Gegen böswillige Sabotageakte aktueller oder ehemaliger Mitarbeiter ist kaum Schutz möglich. Noch ein Beispiel: Bei einem kleineren Unternehmen aus der Dienstleistungsbranche wurden große Datenmengen gelöscht, mitten in der Nacht, von jemandem, der die Administratorrechte für die gesamte Domäne hatte. Bald war klar: 15 Mitarbeiter hatten entsprechende Möglichkeiten, dazu kamen weitere Mitarbeiter von Dienstleistern - die Spurensuche verlief im Sande. Das ist kein Einzelfall, wie eine Befragung des Branchenverbandes Bitkom ergeben hat:

Schwerwiegende Schäden müssten diese Angriffe nicht verursachen - wenn die Unternehmen vorbereitet wären. Aber wie eine Untersuchung des Bundeswirtschaftsministeriums jüngst ergab, sichert ein Viertel der kleinen und mittleren Unternehmen in Deutschland seine Daten nicht oder nur sehr unregelmäßig. Welche Folgen das haben kann, zeigt WannaCry. Ein von dem Erpressungstrojaner betroffenes Unternehmen stellte aus der Datensicherung einfach eine frühere Systemversion wieder her und konnte fast umgehend weiterarbeiten. Ein anderes Unternehmen reagierte panisch und fuhr einfach alle Computer herunter. Weil nun niemand wusste, wo sich das Programm eingenistet und wie es sich verbreitet hatte und auch keinerlei Datensicherung existierte, dauerte es mehrere Tage, bis das Unternehmen überhaupt wieder arbeiten konnte.

Viele Unternehmen haben ihre IT mittlerweile an Dienstleister vergeben, die Programme laufen in der Cloud. Auf den eigenen Servern speichern die Firmen demnach nur noch die "Kronjuwelen", also Patente, Verfahrenstechniken oder andere Firmengeheimnisse. Der Vorteil: Die IT-Spezialisten können höhere Sicherheitsstandards bieten als kleine Betriebe. Der Nachteil: Angreifer müssen im Zweifel nur noch einen Dienstleister attackieren - und legen damit Tausende Unternehmen lahm. Eine Lösung dafür gibt es noch nicht, das Prinzip Hoffnung gilt auch hier. Wie sagte es Europol-Chef Rob Wainwright jüngst: "Solche Attacken nehmen zu - gewöhnen Sie sich daran."