„Der Feind in meinem Bett“
Was einem deutschen Maschinenbauer 2014 widerfuhr, ist der Super-GAU für jedes produzierende Unternehmen: Kriminelle infizierten die Treibersoftware seiner Maschinen mit Malware. Die Kunden luden sich in der Folge den Schadcode beim Update in ihre Systeme – Produktionsausfälle und hohe Aufwände beim Nachrüsten waren die Folge.
Ein Extrem-, aber bei weitem kein Einzelfall. Laut Branchenverband Bitkom sind mehr als die Hälfte aller deutschen Unternehmen in den letzten Jahren Opfer von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden. Im produzierenden Gewerbe waren es sogar 69 Prozent. Der Verband schätzt den dadurch entstandenen Schaden für die deutsche Wirtschaft auf rund 51 Milliarden Euro im Jahr: Das entspricht 1,75 Prozent des gesamten Bruttosozialprodukts der Bundesrepublik Deutschland.
Komplexere Lieferketten bieten mehr digitale Angriffsziele
Know-how und Technologie aus Deutschland sind weltweit begehrt – aber leider nicht nur bei zahlenden Kunden. Auch Wettbewerber, fremde Nachrichtendienste oder die Organisierte Kriminalität interessieren sich dafür. Durch die fortschreitende Digitalisierung haben Cybercrime, Wirtschaftsspionage und Datendiebstahl nun eine neue Dimension erreicht, da die fragilen Wertschöpfungsketten immer mehr Ziele bieten. Besonders im Fokus dabei: große und mittlere Unternehmen aus den Branchen Automotive, Chemie und Pharma sowie Finanzen. Aber auch kleine und mittelständische, oft forschungsintensive Unternehmen sowie die so genannten „Hidden Champions“ geraten zunehmend ins Visier der Kriminellen. “Gefährdung entsteht immer dort, wo Werte vorhanden sind”, resümiert das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Cybercrime – der Grabstein für KMUs
Kleine und mittelständische Unternehmen sind besonders deshalb ein lohnendes Ziel, weil sie als Zulieferer in den Lieferketten großer Konzerne oft ein Einfallstor darstellen, um an die Geschäftsdaten der Konzerne zu kommen. Als vergleichsweise kleine Player haben sie zur Abwehr von IT-Attacken meist nicht die gleichen Mittel wie die Großkonzerne zur Verfügung. Entsprechend steigen Attacken auf Zulieferer als verlängerte Werkbank stark an. Laut Symantec zielen derzeit 27 Prozent der Angriffe auf Firmen mit weniger als 250 Mitarbeitern. Damit wird der Trend der letzten Jahre für Mittelständler zum Bumerang. Nur allzu gerne haben große Konzerne Teile ihrer Produktion in Richtung der Mittelständler verlagert. Die KMUs produzieren billiger und flexibler. Wenn diese Kostenvorteile nun mit einem erhöhten Sicherheitsrisiko einhergehen, kann der Boom bei den Mittelständlern abrupt stoppen, wenn die Konzerne die Qualitätssicherung durch eigene Produktion wieder erhöhen wollen.
Für die großen Konzerne können Hackerangriffe bei Zulieferern dramatische Folgen haben, wie die russischen IT-Berater von Kaspersky in einer weltweiten Studie feststellten: Wenn ein Zulieferer einen Cybervorfall verschuldet, fallen im Durchschnitt 3 Millionen Dollar an Folgekosten für externe Berater und Anwälte sowie IT-, Produktions- oder Geschäftsausfälle an. Ähnlich teuer wird es bei Cyberspionage in Zuliefererbetrieben, die Konzerne im Schnitt 1,1 Millionen Dollar kostet.
Schutz der gesamten Lieferkette nötig
Unternehmen stehen deshalb vor einer immer dringenderen, gleich doppelten Herausforderung. Es gilt, nicht nur die eigenen Daten und die Lieferkette an sich zu schützen, sondern zugleich Fehler von Zulieferern aus der Lieferkette zu vermeiden. Ein schwerwiegendes, reales Problem: Laut Kaspersky ist bereits fast jedes fünfte Unternehmen (18 Prozent) durch Cybervorfälle bei Zulieferern betroffen gewesen.
Um die Lieferkette zu schützen, setzen Großunternehmen auf ausgefeilte Compliance-Regeln, die meist auch die Zulieferer mit einschließen. Der Compliance-Druck in der Lieferkette nimmt so stetig zu. Die Konzerne nehmen vermehrt Haftungsklauseln in Verträge auf, sichern sich Kontrollrechte und beschränken die Zugangsrechte für bestimmte Bereiche der Unternehmensnetzwerke. Das mag dazu führen, dass die Zulieferer ihren IT-Schutz kurzfristig verbessern. Aber ob es den grundlegenden Sicherheitsproblemen der Lieferketten digital vernetzter Produktion deutlich entgegenwirkt, darf bezweifelt werden.
Unternehmen nicht gewappnet gegen Datendiebstahl und Spionage
Der Bundesverband der Deutschen Industrie (BDI) rechnet – passend zur vollvernetzten Industrie 4.0 und sehr optimistisch – damit, dass bis 2025 mehr als 75 Prozent aller Daten von Unternehmen über Cloud-basierte Services laufen. Wenn man aber die Zahlen der eingangs erwähnten Bitkom-Studie dagegen hält, wird deutlich, wie weit man aktuell noch von sicherer Vernetzung entfernt ist und vor allem, wie viel im Bereich der IT-Sicherheit noch getan werden muss. Zwar nutzen alle Unternehmen einen Basisschutz mit Firewall, Virenscannern etc., aber nicht einmal 30 Prozent verfügen über eine Absicherung gegen Datenabfluss von innen (Data Leakage Protection) und noch nicht einmal 23 Prozent über Systeme zur Einbrucherkennung (Intrusion Detection). 60 Prozent der Unternehmen, große wie kleine gleichermaßen, sehen sich dementsprechend nicht ausreichend gegen Datendiebstahl, Sabotage oder Wirtschaftsspionage gewappnet. So wird der geliebte und geschätzte Zulieferbetrieb schnell zum „Feind in meinem Bett“ … aus Sicht eines geschädigten Großunternehmens.