IT-Sicherheit im 21. Jahrhundert: Warum deutsche Firmen dringend aufrüsten sollten

Grafik eines Schlosses vor dem Bild eines Laptops

Der Wirtschaftsstandort Deutschland ist auch bei Hackern weltweit bekannt. Die finanziellen Schäden, die hierzulande durch Hackerangriffe angerichtet wurden, beliefen sich im Jahre 2017 auf mindestens 71 Millionen Euro (laut ZDF-Berichterstattung). Führende Köpfe der deutschen IT-Sicherheit sind sich einig, dass die Anzahl und die Komplexität virtueller Angriffe immer mehr zunehmen würden. Denn professionelle Hackerangriffe hätten nicht nur eine hohe Erfolgswahrscheinlichkeit, sondern seien auch noch verhältnismäßig „kostengünstig“. In diesem Jahr musste die Bundesregierung bereits mehrfach zu ausländischen Hackerattacken – vorwiegend aus den Ländern China, Nordkorea und Russland – Stellung beziehen. Was bleibt, ist die Erkenntnis, dass Angreifer, die ihr Handwerk beherrschen, strafrechtlich und technisch bisher kaum verfolgt werden können. Bis auf Weiteres müssen sich deutsche Unternehmen also selbst zu helfen wissen.

Hackerangriffe im Rahmen von „Made in China 2025“

Im Mai diesen Jahres gestand das baden-württembergische Unternehmen Teamviewer öffentlich, dass es vor 3 Jahren Opfer einer chinesischen Cyberattacke gewesen sei. Derartige Vorfälle machen deutlich: Ausländische Cyberkriminelle schaffen es immer häufiger in die Büros deutscher Unternehmen und jedes Eigenleben des Firmen-PCs könnte plötzlich verdächtig werden. Heikel wird es jedoch erst, wenn sich unbekannte Browser-Fenster und Programme von selbst öffnen bzw. wenn der Rechner ständig aus heiterem Himmel abstürzt. Doch selbst wenn Gewissheit herrscht, dass ein Computer mit Malware infiziert wurde, muss noch lange keine (ausländische) Hackergruppe dahinter stecken. Wer haftet jedoch dafür, wenn Kunden- oder Mitarbeiterdaten aus dem System gestohlen oder gesperrt werden? Die gute Nachricht: Zwar sind Unternehmer gesetzlich dazu verpflichtet, die IT-Sicherheit ihrer Firma präventiv zu gewährleisten. Kann einer Firma aber keine Fahrlässigkeit nachgewiesen werden, so haftet diese für den Datenklau üblicherweise nicht.

Hand drückt Tastenkombination auf Laptop

Dass es verschiedene Hackertypen gibt, zeigt ein „Doxing-Vorfall“ (Doxing = abgleitet von Dokument) Anfang Januar dieses Jahres, bei dem Daten mehrerer hundert Personen – darunter Künstler, Journalisten, Politiker (auch von Angela Merkel) sowie Prominente – massenhaft ins Internet gestellt wurden. Hierbei handelte es sich jedoch vermeintlich „nur“ um eine Art Machtdemonstration eines einzelnen Hackers, um Aufmerksamkeit zu erzeugen. Wesentlich problematischer waren jedoch die jüngsten Cyberangriffe chinesischer, nordkoreanischer und russischer Hacker auf Deutschlands Politik und Wirtschaft. Insbesondere große Konzerne wie BASF, Bayer, Covestro, Henkel, Siemens und Thyssen-Krupp (aber auch die Schweizer Firma Roche) seien in der Vergangenheit massiv von chinesischen Hackergruppen angefallen worden. Da die involvierten Gruppen bei ihren Spionagemaßnahmen hochgradig professionell gewesen sein sollten, wurden sie letztendlich jahrelang nicht bemerkt.

Es wird davon ausgegangen, dass die neuesten chinesischen Attacken aus dem World Wide Web, die wohl auf das Konto des berüchtigten Netzwerks „Winnti“ gehen, vom chinesischen Staat subventioniert wurden. Die Berliner Denkfabrik „Mercator Institute for China Studies“ ist sich sicher, dass China, was den Diebstahl von Daten und geistigem Eigentum deutscher Unternehmen angeht, eine konkrete Strategie verfolgt. In ihrem Programm namens „Made in China 2025“, für welches das Reich der Mitte hunderte Milliarden Dollar bereitgestellt habe, wird unmissverständlich das Ziel proklamiert, in den kommenden Jahren Technologieführer in ausgewählten Schlüsselbereichen zu werden. Dazu zählen womöglich folgende Bereiche:

  • Fertigung
  • Materialwissenschaften
  • Medizinforschung
  • Stromversorgung
  • Telekommunikation

Es ist nicht ganz klar, mit welchen Maßnahmen China diese Bereiche ausbaut. Ob ein staatlich verordnetes Absaugen von Knowhow auch dazu gehört, kann nicht endgültig bestätigt werden.

Mann mit Kopfhöhrern sitzt vor Bildschirm

Was ist zu tun, wenn keine verbindliche Lösung in Sicht ist?

Berichten zufolge versucht die Bundesregierung bereits seit einiger Zeit, ein „No-Spy-Abkommen“ mit Peking abzuschließen, um der chinesischen Cyberspionage einen Riegel vorzuschieben – bisher jedoch ohne Erfolg. Laut Informationen des Handelsblatts wurden nun jedoch die Gespräche fortgesetzt. Ferner arbeitet die Bundesregierung schon seit langem an sogenannten „Hackback-Plänen“, um deutschen Behörden im Falle eines Cyberangriffs zu ermöglichen, diesen aktiv abzublocken und hierfür benutzte Server zu stören. Es ist jedoch noch unklar, wie diese Maßnahmen (durch das Fehlen einer bundesweiten, umfassenden Vernetzung von Ämtern und Computersystemen) zukünftig umgesetzt werden sollen. Verständlicherweise pochen daher IT-Sicherheitsexperten auf eine verbindliche europäische bzw. internationale Lösung. Bisher ist jedoch keine in Aussicht.

Bis bundesweite bzw. internationale Ansätze greifen, tun Unternehmen gut daran, sich selbst um ihre IT-Sicherheit zu kümmern. Der Sicherheitsexperte Jan-Oliver Wagner von der IT-Sicherheitsfirma „Greenbone Networks“ weist darauf hin, dass viele Firmenchefs bezweifeln würden, dass ihre Geschäftsgeheimnisse für ausländische Hacker interessant sein könnten. Dies sei ein Irrtum, so Wagner, der für gewöhnlich erst dann eingesehen wird, wenn dem Betrieb schon Knowhow verloren ging. Es lohne sich somit bereits für mittelständische Betriebe, mindestens eine Fachkraft einzustellen, die sich ausschließlich der IT-Sicherheit widmet. Denn Unternehmen mit einem CISO (Chief Information Security Officer) und optimierter Sicherheitstechnik haben üblicherweise seltener mit Fällen von Datenklau in ihren Systemen zu kämpfen.

Wir bei SPECTRUM helfen Ihnen nicht nur, Ihre Softwaretechnik – häufig ein Auslöser für Sicherheitslücken – auf den aktuellsten Stand zu bringen , sondern unterstützen Sie auch bei der Suche nach geeigneten IT-Fachkräften. Sei es die Rekrutierung von jungen Talenten bzw. von Experten oder die Weiterbildung Ihres Bestandspersonals – mit uns haben Sie einen zuverlässigen Partner für Ihre IT-Sicherheit.

Bildnachweise für diesen Beitrag:
182418465 © smolaw11 – stock.adobe.com
228319959 © DragonImages – stock.adobe.com
283346879 © peshkova – stock.adobe.com

Schreibe einen Kommentar