"Alle DAX-30-Unternehmen sind infiziert"
Der "Cyberkrieg" ist noch eine eher abstrakte Bedrohung - finanziell motivierte Angriffe auf Unternehmen, die aber ähnlichen Angriffsmustern wie den bereits beschriebenen folgen, sind um einiges konkreter. Über ihr Ausmaß und den finanziellen Schaden, den sie heute bereits verursachen, gibt es ziemlich verlässliche Erfahrungswerte. Gerald Hahn, CEO der Münchner Softshell AG, einem Spezialdistributor für Cloud-Services, ist sich sicher, dass die Rechner von "100 Prozent der DAX-30-Unternehmen auf Vorstandsebene infiziert sind." Dank der internen Auskünfte von Datenforensikern der Softshell-Partnerunternehmen, die mit Wiederherstellungsarbeiten in diesen Konzernabteilungen beauftragt worden seien, ließen sich diese Zahlen ziemlich genau ermitteln.
Bestätigt werden Hahns Angaben von Michael Heuer, Vice President von Akamai Technologies, das viele Konzerne bei der Trafficanalyse im Web unterstützt. "Wir helfen den DAX30-Unternehmen auch dabei, zeitnah Ersatz-Websites bereitzustellen, wenn Server durch Großangriffe zeitweise nicht mehr erreichbar sind", so Heuer gegenüber der COMPUTERWOCHE. Weil dadurch Webservices fast ununterbrochen zur Verfügung stünden, gelange eine Vielzahl von Attacken auf die großen Unternehmen nur selten in die öffentliche Wahrnehmung.
Aber auch die Netze vieler kleinerer Unternehmen mit geringen IT-Sicherheitsbudgets, geraten ins Blickfeld von Datendieben. Gerade deutsche Mittelständler seien laut Hahn stark gefährdet - viel mehr als amerikanische: "Die amerikanischen Unternehmen merken es, wenn sie angegriffen werden - die deutschen nicht", wirft Hahn vielen seiner Berufskollegen "Ignoranz und Rückständigkeit" beim Thema IT-Sicherheit vor. "Entscheidend ist nicht die Organisationsgröße, sondern der Wert der gestohlenen Daten auf dem Schwarzmarkt", schreibt der Bochumer Softwarehersteller G Data in seinem Security-Report "Trends 2012". Der "Symantec Cybercrime Report 2011" beziffert den Schaden, den deutsche Unternehmen pro Jahr durch Cyberkriminalität erleiden, auf satte 24,3 Milliarden Euro.
Steinzeitliche Abwehr
Doch selbst diese horrenden Beträge scheinen viele Unternehmen nicht wachzurütteln. "Wir müssen feststellen, dass seit Stuxnet in Sachen IT-Sicherheit nicht viel passiert ist", erklärt Andreas Stein, Managing Director bei Dell Services in Frankfurt am Main. Noch immer beschränke sich die IT weitgehend darauf, auf Attacken zu reagieren und überlasse den Angreifern das Gesetz des Handelns. Professionell geplanten und geführten Angriffen werde noch immer "mit Verfahren aus der Anfangszeit des Web begegnet."
Die Folgen könnten verheerend sein: "Quartal für Quartal scheint bei Ihnen alles in Ordnung zu sein, Datendiebstahl findet augenscheinlich nicht statt. Jahrelang geschieht nichts - bis eines Tages aus dem Nichts in einem anderen Teil der Welt ein bis dato eher unbedeutendes Unternehmen langsam zum Marktführer in Ihrem Geschäftsbereich wird - subventioniert von den Investitionsgeldern, die sie über Jahre in Ihre Forschungs- und Entwicklungsabteilung gesteckt haben." Dieses düstere Szenario zeichnet Tim McKnight, Chief Information Security Officer beim 2011 selbst attackierten Security-Dienstleister Northrop Grumman.
- Gerald Hahn, Softshell
"Das Budget der Cyberkriminellen übersteigt das Budget der IT-Security-Branche um ein Vielfaches." - Thorsten Krüger, SafeNet
"Trennen Sie Ihre Daten nach Wichtigkeit und Zuständigkeit." - Alfred Zapp, CSC
"Gerade in den vergangenen Monaten haben wir eine Fülle von Anfragen nach IT-Security-Beratung erhalten - besonders im mobilen Bereich. Das ist ein brandheißes Thema in den Vorstandsetagen." - Candid Wüest, Symantec
"Unternehmen berücksichtigen die mobilen Geräte noch nicht in ihrer Sicherheitsstrategie. Sie machen heute die gleichen Fehler wie bei den Client-PCs vor zehn Jahren." - Willi Backhaus, Avenade
"Es hat mich überrascht, dass auch CRM-Systeme sowie Zeit- und Spesenerfassung zunehmend über private Geräte bedient und erledigt werden." - Sven Gerlach, Integralis
"Das Management sollte die Nutzung privater Geräte im Unternehmen nicht vorleben." - Markus Henning, Sophos
"Den Unternehmensentscheidern ist nicht klar, was sie eigentlich tun, wenn kritische Daten über das Web erreichbar sind." - Bruce Schneier, Sicherheitsexperte
"Daten zu speichern ist billiger, als sie zu löschen. Das birgt Risiken."