Bundesamt für Verfassungsschutz und Bitkom fordern stärkere Cybersicherheit
Der IT-Verband Bitkom und das Bundesamt für Verfassungsschutz sehen Deutschlands Wirtschaft akut bedroht und erachten Expertise im eigenen Land notwendig.
(Bild: SuPatMaN/Shutterstock.com)
Die Wahrnehmung der Cyber-Sicherheitslage bei Unternehmen in Deutschland hat sich deutlich verändert. "Zwei Drittel der Unternehmen fühlt sich durch Cyberattacken in der Existenz bedroht", sagte Bitkom-Präsident Ralf Wintergerst am Morgen in Berlin. 91 Prozent der gut 1.000 befragten deutschen Unternehmen aller Branchen gaben an, in den vergangenen zwölf Monaten von Diebstahl, Wirtschaftsspionage oder Sabotage betroffen oder wahrscheinlich betroffen gewesen zu sein.
Der Vizepräsident des Bundesamts für Verfassungsschutz (BfV), Sinan Selen, hält das noch für untertrieben: "Neun Prozent wissen es einfach nicht – wir müssen davon ausgehen, dass praktisch jedes Unternehmen von Angriffen betroffen ist." Aggressivität und Intensität der Angriffe nähmen deutlich zu, sagte Selen.
Der aktuelle Schaden für die deutsche Wirtschaft, sagte Bitkom-Präsident Wintergerst unter Berufung auf Berechnungen und Erhebungen von Bitkom Research, belaufe sich auf 266,6 Milliarden Euro. In dieser Berechnung sind allerdings auch die indirekten Kosten der Angriffe enthalten, also etwa Kosten für Öffentlichkeitsarbeit und Rechtsberatung.
Die größte Einzelschadensumme entfiel laut Umfrage auf den Diebstahl oder die Beschädigung von Informations- und Produktionssystemen oder Betriebsabläufen: 54,4 Milliarden Euro stehen hier nach Angaben der Unternehmen zu Buche, gefolgt von Rechtsstreitigkeiten mit 53,1 Milliarden Euro und Umsatzeinbußen mit 39,2 Milliarden Euro. Damit sind die Betriebsunterbrechungsschäden um zwei Fünftel höher als im Vorjahr, ähnlich entwickelten sich die Kosten für Rechtsstreitigkeiten im Zusammenhang mit Schadensfällen.
Staatlich oder nicht-staatlich: Unterscheidung der Angriffe schwerer
Die größte Bedrohung aus Sicht der Wirtschaft ist derzeit die organisierte Kriminalität: 70 Prozent der befragten Unternehmen nennen sie als Angreifer, das sind noch einmal 9 Prozent mehr als 2023 und 19 Prozent mehr als 2022. Deutlich zugenommen hat die Zuschreibung von Angriffen auf ausländische Nachrichtendienste: 20 Prozent glauben, diese identifizieren zu können. BfV-Vize Selen betonte, dass eine genaue Zuordnung immer schwieriger werde, weil die Grenzen zwischen staatlichen und nicht-staatlichen Akteuren zunehmend verschwimmen. Die Verfassungsschützer des Bundes weisen seit Monaten darauf hin, dass vordergründig private Akteure heute oft als Dienstleister für staatliche Stellen agieren.
Die Professionalisierung der Angreifer bereitet dem Verfassungsschutz große Sorgen. "Zero-Day-Schwachstellen spielen eine ganz zentrale Rolle", warnte Selen, das BfV beobachte eine Industrialisierung der Angreifer. Diese würden umfassende Analysen der Angriffsfläche vornehmen: Nicht nur das Unternehmen selbst, sondern auch die Lieferkette und Partner der Unternehmen, um maximalen Schaden verursachen zu können. Angriffe auf IT-Dienstleister, Server und Kommunikationsinfrastruktur der Unternehmen seien mittlerweile an der Tagesordnung. Eine effiziente Abwehr erfordere daher eine entsprechend umfassende Betrachtung.
Positive Entwicklung bei Lieferkettengesetz und Co.
Hier sieht Bitkom-Präsident Wintergerst allerdings eine positive Entwicklung: Nicht zuletzt durch das politisch umstrittene Lieferkettengesetz wüssten viele Unternehmen inzwischen immerhin mehr über die Dienstleister für ihre Produkte. Die Trennung etwa von SAP-Systemen eines Konzerns zwischen deutschen und chinesischen Standorten sei betriebswirtschaftlich eigentlich nicht sinnvoll, aber notwendig, solange es keine Alternativen gebe. Diese Restrukturierung entlang der Supply Chain finde aber zunehmend statt.
Je tiefer man aber in diese hineinschaue, desto wahrscheinlicher sei es, dass am Ende irgendein Bauteil aus China komme. BfV-Vizepräsident Sinan Selen betonte, dass es nicht darum gehe, "Mauern einzuziehen, und den Handel einzustellen. Es geht schlichtweg darum, nicht nur die Chance zu sehen, sondern auch die Risiken." Und die seien zum Beispiel in China durchaus vorhanden.
Ursprungsländer der von Unternehmen beobachteten Angriffe sind laut der Bitkom-Befragung die Volksrepublik China mit 45 Prozent, 39 Prozent sollen aus Russland kommen, Osteuropa ohne Russland und EU kam auf 32 Prozent und die USA auf 25 Prozent. 36 Prozent konnten von den Unternehmen nicht zugeordnet werden – Selen verwies jedoch darauf, dass die Zuordnung oftmals alles andere als eindeutig sei, da vielfach Infrastruktur in anderen Ländern genutzt würde.
Das Herkunftsland des Anbieters sei inzwischen entscheidend bei der Beschaffung von Cybersicherheitslösungen, sagte Wintergerst: 71 Prozent würden das als ein entscheidendes Auswahlkriterium betrachten. Er sieht darin auch eine Chance für den Cybersicherheitsstandort Deutschland. Denn aus den Problemen der Cybersicherheitslieferkette wie in den Fällen Crowdstrike und Checkpoint zieht der Bitkom-Präsident, der zugleich Geschäftsführer beim Sicherheitsdienstleiser Giesecke+Devrient ist, die Schlussfolgerung, dass es in Deutschland mehr Kompetenz benötige.
Die Lösungen großer US-Konzerne seien beispielsweise sehr leistungsfähig. Wenn man aber nur Technologie einkaufe, sein man irgendwann nicht mehr in der Lage, sie einzuschätzen, dann sei man "digitale Kolonie", sagte der Bitkom-Präsident. Unterstützung erfuhr er bei dieser Einschätzung vom BfV-Vize Sinan Selen: Die nationale Resilienz in den Lieferketten müsse weiter gestärkt werden. Allerdings gibt es laut der heute veröffentlichten Erhebung eine stärkere Bereitschaft zur Investition in IT-Sicherheit: 17 Prozent des IT-Budgets würden nun dafür aufgewendet, so die Unternehmensbefragung.
BfV: Start-ups dürften nicht naiv sein
Selen warnte insbesondere Start-ups davor, ihre Attraktivität als Angriffsziel zu unterschätzen. Gerade als Zulieferer für bestimmte Branchen wie Luft- und Raumfahrt oder Batterietechnologien, dort, wo andere Staaten versuchten aufzuholen, würden sie die Gefahr oft unterschätzen. Insgesamt sei aber ein Kulturwandel notwendig – auch im Umgang mit veröffentlichten Informationen. So würden etwa "zu präzise Ausschreibungen und Stellenausschreibungen" veröffentlicht. Damit würde den Angreifern Analysefläche geboten und diese würden dann automatisiert ausgewertet, um Einfallstore zu finden. Vor allem Kundendaten und Daten aus Forschung und Entwicklung sowie der Unternehmensentwicklung würden als Angriffsziele betrachtet.
Es sei positiv, dass die Unternehmen jetzt verstärkt in Cybersicherheit investieren würden. Bei den Abwehrreaktionen sei die Geschwindigkeit, die er sich wünschen würde, mit Ausnahme der Betreiber kritischer Infrastrukturen, noch nicht erreicht, etwa wenn Schwachstellenmeldungen vom Bundesamt für Sicherheit in der Informationstechnik verbreitet würden. Selen forderte zudem eine einfache Lösung, um Unternehmen Ansprechpartner zur Verfügung zu stellen: "Wenn es brennt, dann rufen Sie die Feuerwehr unter 112", erklärte er sein Anliegen: "In der Einfachheit haben wir das bislang noch nicht erreicht."
(mack)