Wenn Hacker das Ruder übernehmen

Bis vor zwei, drei Jahren kannte man die Berichte über gekaperte Industrieanlagen und Unternehmensnetzwerke mehr oder weniger nur aus den USA oder dem Iran. Doch mit zunehmender Vernetzung und immer professioneller agierenden Cyberbanden häufen sich die Cyberattacken auch bei uns – und zwar auf allen Ebenen von Staat und Wirtschaft. Beispiele gefällig? In jüngster Zeit in Deutschland gehackt: Der Deutsche Bundestag, die CDU-Zentrale, Krankenhausketten, Kraftwerksbetreiber, Stahlwerke und sogar, wenn auch in kleinerem Ausmaß (Miles&More-Konten), die Lufthansa.
Welche dramatischen Folgen es haben kann, wenn Hacker das Ruder übernehmen, mag man sich im Detail kaum vorstellen. Nicht zuletzt um diese massive Bedrohung besser abzuwenden, hat der Bundestag Mitte 2015 das neue IT-Sicherheitsgesetz verabschiedet, nach dem Unternehmen aus „kritischen“ Branchen bzw. Infrastrukturen Cyberattacken an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen. Das Gesetz soll Impulse geben, damit Unternehmen ihre Sicherheitsstandards erhöhen – und wird von der Wirtschaft (von 81 Prozent der vom Gesetz betroffenen Unternehmen) überaus positiv gesehen, wie eine Studie von PricewaterhouseCoopers zeigt. Die Unternehmensberater befragten hierfür große 720 Unternehmen.
Cyberrisiken nehmen zu 
Doch in der Praxis gehen viele Unternehmen dieses heikle, weil geschäftskritische Thema noch zu lax an. Zwar haben drei Viertel der befragten Unternehmen ein internes Sicherheitsmanagement. Aber gerade einmal 39 Prozent lassen ihre IT von Dritten, also externen Experten, überprüfen bzw. zertifizieren. Und das, obwohl das Risiko für Cyberattacken steigt: 34 Prozent der Unternehmen sind laut der Befragung in den vergangenen zwei Jahren bereits Opfer von Cyberangriffen geworden, zählt man die konkreten Verdachtsfälle hinzu, sind es sogar 47 Prozent. Bei den betroffenen Unternehmen kam es am häufigsten zu Computerbetrug (bei 23 Prozent), 18 Prozent berichten über Manipulation von Konto- und Finanzdaten, bei 16 Prozent wurden Daten wie zum Beispiel Passwörter abgefangen. Noch sind eher geringe finanzielle Schäden durch Cybercrime entstanden – die typische Schadenssumme bewegt sich im Mittel bei 30.000 Euro – aber Experten erwarten hier drastische Änderungen. Schon jetzt lag beispielsweise der Schaden für fünf Prozent der Unternehmen, die besonders stark betroffen waren, bei mehr als 1 Millionen Euro.
Digitale Organisierte Kriminalität (DOK)
Auch im Falle des Eingangs genannten gekaperten Stahlwerks, bei dem die Hacker sich mit großem Aufwand in die IT „einarbeiteten“, die Steuerung manipulierten und einen Hochofen stark beschädigten, wird der Schaden in die Millionen gegangen sein. Und: Den Angriff durchzuführen, dürfte mehrere hunderttausend Euro gekostet haben, schätzen Experten. Im Verdacht standen deshalb Konkurrenten, die einen Wettbewerber hart treffen wollten – die Stufe von der Wirtschaftskriminalität zum digitalen Wirtschaftskrieg scheint in diesem Fall bereits genommen. Nur ein Beispiel von dem, was uns künftig verstärkt erwartet. Denn es bleibt festzuhalten, dass die Bedrohung durch Cybercrime für die Privatwirtschaft insgesamt bedeutend höher einzuschätzen ist, als die genannten Zahlen aussagen. Dafür spricht zum Beispiel auch, dass laut des United Nations Office on Drugs and Crime (UNODC) schon über 80 Prozent der weltweiten Cyberangriffe organisiert sind. Die Organisierte Kriminalität verlagert ihr „Underground Business“ mehr und mehr ins Netz und bietet mit „Cybercrime-as-a-service“ hochwertige Angriffsmöglichkeiten auch für Organisationen und  Staaten, die diese Expertise bisher nicht hatten, berichtet das BSI in seinem Lagebericht 2015.