IT-Sicherheit: Verfassungsschutz fordert mehr Engagement von Unternehmen

Unternehmen und Behörden müssten deutlich mehr für IT-Sicherheit tun und sich professioneller absichern – insbesondere gegen professionelle Angreifer. Ansonsten könne es enorme wirtschaftliche Schäden geben. Das betonten der Vizepräsident des Bundesamtes für Verfassungsschutz (BfV) Sinan Selen und Bitkom-Präsident Ralf Wintergerst zur Vorstellung einer Umfrage unter 1002 Unternehmen zu dem Thema. Zudem müsse die Kooperation besser werden, doch es gebe auch gute Nachrichten.

Knapp drei Viertel aller Unternehmen mit mehr als 10 Mitarbeitern geben in der Umfrage des Bitkom an, im vergangenen Jahr selbst angegriffen worden zu sein. Dazu zählt der IT-Branchenverband Diebstahl, Industriespionage oder Sabotage. Acht Prozent der befragten Unternehmen vermuten dies.

Dabei soll der Wirtschaft ein Schaden von insgesamt 206 Milliarden Euro entstanden sein, rechnet der Bitkom vor. Der größte Einzelposten darin: Imageschäden - diese werden von den Unternehmen mit 35,3 Milliarden Euro beziffert, sie liegen damit knapp über den 35 Milliarden Euro Schäden, die die Firmen im Zusammenhang mit Problemen in Produktionsabläufen sehen. Hinzu kommen an hohen Kosten jene für Rechtsstreitigkeiten mit knapp 30 Milliarden Euro, Ermittlungsarbeit und Ersatzmaßnahmen machen 25 Milliarden Euro aus.

Von Angriffen aus Russland sollen 46 Prozent, aus China 42 Prozent der Wirtschaft betroffen gewesen sein, ergab die Umfrage weiter. Unter den Cyberangriffen standen 2023 Phishing, Angriffe auf Passwörter, Schadsoftware-Infektionen und Ransomware ganz oben auf der Liste der Ereignisse, die die Firmen berichteten. 52 Prozent der Unternehmen sahen Cyberattacken als potenziell existenzbedrohend an.

Investitionsbereitschaft

Für Wintergerst gab es trotz dieser hohen Werte dennoch eine gute Nachricht: Unternehmen seien zunehmend bereit, in die Cybersicherheit zu investieren, inzwischen wollen Unternehmen 14 Prozent ihres IT-Budgets für IT-Sicherheit ausgeben. Doch der Bitkom-Präsident mahnte auch: "Geld allein reicht nicht. Es ist auch das Mindset, denn es ist immer nur zu 50 Prozent Technik. Die anderen 50 Prozent sitzen vor dem Computer." Daher seien Schulungen ein wichtiger Faktor.

Das BfV ist nicht nur für die Abwehr politischer, sondern auch für die von Wirtschaftsspionage zuständig. "Wir sehen, dass gerade staatlich gesteuerte Cyberangriffe Kampagnen professioneller, aggressiver und agiler vorgehen", berichtete Selen und verwies auf die aktuellen Warnungen seines Amtes, dass "Endgeräte kleiner und mittelständischer Unternehmen sowie von Privathaushalten zur Durchführung von Cyberaktivitäten und Cyberangriffen quasi feindlich übernommen werden". Das sei ein Versuch der Angreifer, ihre Tarnungen zu verbessern, indem sie sich in leicht zu kompromittierenden Umgebungen einnisteten und diese als Proxy nutzten.

SOHO-Endgeräte in der gesamten Bandbreite würden dafür genutzt, dies sei "gerade für staatliche Akteure ein Thema", erläuterte der BfV-Vizepräsident. Diese Umgebungen böten den Angreifern mehr Flexibilität, die Härtung im SOHO-Bereich sei "deutlich geringer als das, was wir in ausgeklügelten Sicherheitssystemen beispielsweise großer Konzerne sehen". Selen warnte aber auch davor, "dass Kampagnen an verschiedenen Punkten in der Supply Chain ansetzen und bei Dienstleistern und Partnern der Primärziele ansetzen, um wertvolle Zugänge, sensible Kommunikation und Daten zu erlangen".

Mehr Prävention nötig

Vor allem in der Prävention müsse mehr geschehen, bei Detektion und Reaktion müsse schneller agiert und vor allem pragmatischer gehandelt werden. "Unser Gegenüber ist flexibel, agiert ganzheitlich und passt sein Vorgehen permanent an. Das muss auch für die Abwehrbereitschaft unseres Landes, Deutschlands und der deutschen Wirtschaft gelten", sagte Selen. Und forderte von allen Beteiligten einen realistischen, ungeschönten Blick auf die analoge Gefährdung und digitale Gefährdungslage, vom Mitarbeiter vor dem Rechner bis zum CEO. Gerade beim Ressourceneinsatz sei noch "Luft nach oben". Vor allem sei aber eine engere "Verzahnung der Maßnahmen der staatlichen Abwehrbehörden und der nichtstaatlichen Partner" wichtig.

Ein möglicher Weg dahin: die Meldepflicht. 84 Prozent der vom Bitkom befragten Unternehmen sprachen sich für eine Meldepflicht für Cyberangriffe aus – 80 Prozent bemängelten zugleich, dass der bürokratische Aufwand zu hoch sei. Mit dem NIS2-Anpassungsgesetz für das BSI-Gesetz wird die Zahl der Stellen deutlich vergrößert, die künftig Cybersicherheits-Vorkommnisse an die Bundesbehörden melden müssen, weniger Unternehmen werden von einer analogen Meldepflicht für physische Vorkommnisse nach Kritis-Dachgesetz erfasst.

Selen befürchtet durch die neuen Vorschriften keine Überlastung: "Ich bin froh um jede Meldung, die wir erhalten, gemeinsam mit unseren Kollegen vom BSI." Damit werde zum einen der Blick auf die Lage geschärft, zum anderen werde die internationale Kooperation anhand dieser Meldungen einfacher. Auch Wintergerst begrüßte die geplante Erweiterung: "Die Meldepflicht ermöglicht zumindest, dass man einen repräsentativen Blick auf die gesamte Wirtschaft, auf Fälle, die vorkommen und auf Muster, die dahinter liegen." Doch noch müsse einige Überzeugungsarbeit bei den Unternehmen geleistet werden, dass die Meldepflicht gut sei.

Überzeugungsarbeit will Bitkom-Präsident Wintergerst auch an einer anderen Stelle leisten: Bei Ransomware-Angriffen sei "bezahlen nicht notwendigerweise lohnenswert". Denn ob die Systeme danach wieder funktionsfähig seien, sei keineswegs nach der Lösegeldzahlung garantiert. Selen ergänzte um eine einfache Faustformel: "Systeme zu patchen ist günstiger."

(anw)