56 Angriffe auf kritische Infrastrukturen, Verbände, Forschungs- und Bildungseinrichtungen wurden in Deutschland von Januar bis September 2022 öffentlich bekannt. Zum Vergleich: In den ersten neun Monaten des Vorjahrs waren es lediglich 24. Das ergaben Analysen von KonBriefing.

Der Trend ist eindeutig. Trotzdem erscheint bislang nur die Spitze des Cybercrime-Eisberges. Denn auch im Zuge der russischen Cyberattacken auf die Ukraine bleiben wohl viele Vorfälle unentdeckt, die sich auf deutsche Unternehmen und Institutionen auswirken.

Weltweit befindet sich insbesondere der Bildungssektor im Fokus der Angreifer, gefolgt von Finanzwesen, Öffentlicher Hand und Energieversorgung. Das ergab eine Studie der Malware-Forscher von Cisco Talos. Bei 40 Prozent der Vorfälle kam im letzten Quartal Ransomware zum Einsatz, um Lösegeld zu erpressen.

Ob gezielter Angriff oder Zufallstreffer im Rahmen von Massen-Phishing: Die Gefahr bleibt hoch. Denn die Angreifer gehen immer rücksichtsloser vor. Inzwischen reicht es ihnen nicht mehr, sensible Daten zu verschlüsseln. Sie kopieren diese und veröffentlichen sie im Darknet, falls keine Bezahlung erfolgt. Zusätzlich löschen sie Backups, um eine einfache Wiederherstellung der Daten zu verhindern. Und zahlungswillige Opfer werden oft gleich nochmal erpresst.

Schutz in Deutschland lückenhaft

Auf diese verschärfte Situation sind deutsche Unternehmen und Institutionen nur unzureichend vorbereitet. So berichten 48 Prozent der Entscheider für IT-Sicherheit in Deutschland: Die Sicherheitstechnologien in ihrem Unternehmen sind veraltet. Das zeigt die Cisco Security Outcomes Study vom März 2022. Lediglich 20 Prozent glauben, dass sie die wichtigsten Risiken bewältigen und größere Vorfälle vermeiden können. Damit ist Deutschland weltweit Schlusslicht. Gleichzeitig heißt das: Vier von fünf deutschen Organisationen sind nicht optimal vor Cyberattacken geschützt.

Doch es kommt noch schlimmer: Zu den technischen kommen operative Defizite. Mehr als die Hälfte der deutschen Belegschaft umgeht mindestens einmal wöchentlich die Sicherheitsmaßnahmen ihres Unternehmens. Sie halten die Nutzung der IT-Security-Lösungen für zu kompliziert und zeitaufwändig. Dabei verbringen sie täglich nur 13,5 Minuten damit. Das ergab eine weitere Cisco-Befragung im Mai 2022. Zudem wählen sich nur 47 Prozent der Hybrid Work-praktizierenden über Multifaktor-Authentifizierung und 61 Prozent per VPN sicher in das Enterprise Network ein.

Weltweite Gefahr

Cybersicherheit ist kein Problem, das an Landesgrenzen Halt macht. Im Zuge der weltweiten Vernetzung und Collaboration vergrößert sich zunehmend die Angriffsfläche für jedes Unternehmen. Zum Beispiel suchen Cyberkriminelle systematisch nach Zielen mit schwachen Sicherheitsvorkehrungen im Netzwerk. Ist die angegriffene Organisation Teil einer Lieferkette, befinden sich automatisch alle Mitglieder des Partner-Netzwerks in Gefahr. Das bedeutet: Unterschreitet nur eine Firma die Mindeststandards in Sachen Cybersecurity, gefährdet sie das ganze System.

Auf Basis dieser Erkenntnis hat Wendy Nather, heute Head of Advisory CISOs bei Cisco, bereits 2011 das Konzept der „Cybersecurity Povertyline“ entwickelt. Unter diese „Cybersicherheits-Armutsgrenze“ fällt, wer nicht über die nötigen Kapazitäten oder das Wissen für ein Mindestmaß an Sicherheit verfügt. In einer vernetzten Welt müssen daher sämtliche Zulieferer oberhalb dieser Armutsgrenze liegen, damit das Gesamtsystem sicher bleibt. Entsprechend sollten Unternehmen nicht nur ihre eigenen IT-Sicherheitsmaßnahmen prüfen, sondern auch diejenigen der Geschäfts- und Netzwerkpartner.

Konzertierte Aktion nötig

Das genügt aber immer noch nicht, da die Lieferketten wiederum Teil eines noch größeren Netzwerks, dem Internet, sind. So ist eine gemeinsame Aktion von Politik, Wirtschaft und Bildungswesen nötig, um die IT-Sicherheit in Deutschland zu verbessern.

Politik

Geeignete Maßnahmen und Vorschriften müssen zu einem Mentalitätswandel führen. IT-Sicherheit sollte von Anfang an ein zentraler Bestandteil sämtlicher Digitalisierungsprojekte sein – und nicht am Ende noch schnell hinzugefügt werden. Zusätzlich muss die Politik gezielt den Aufbau von IT-Entscheidungskompetenzen fördern. Dies gilt für die öffentliche Hand und Unternehmen. Denn es fehlt oft am Verständnis von Entscheidern und Anwendern und nicht an technischen Lösungen.

Wirtschaft

Unternehmen dürfen keinen Vertrauensvorschuss mehr bei der IT-Sicherheit gewähren. Sie müssen jedes mit dem Firmennetzwerk verbundene Gerät und alle User ständig auf Authentizität und Integrität prüfen. Die Produktentwicklung muss von Anfang an sicher und zertifiziert sein. Das erfordert einen Bewusstseinswandel von der impliziten zur expliziten Sicherheit.

Bildungswesen

Die allgemeine IT-Bildung muss bereits in der Schule gestärkt werden. Denn die steigende Gefahrenlage erfordert bessere digitale Querschnittskompetenzen bei möglichst allen Anwendern und Entscheidern. Nur dann verstehen sie ausreichend die mit der Digitalisierung verbundenen Bedrohungen und können sie abwehren.

Dass diese Forderungen kein Wunschdenken sind, sondern in der Praxis wirken, beweist gerade die Ukraine. Sie wird seit der Annexion der Krim 2014 immer wieder im Cyberraum angegriffen. Das Land hat seine Schutzmechanismen konsequent weiterentwickelt und gehärtet. Aus diesem Grund waren die russischen Cyberattacken bisher nicht wirklich erfolgreich. Dieses Beispiel beweist, wie effektiv pro-aktive und weitgehend lückenlose IT-Security ist ­– und auch in Deutschland sein kann.

Holger Unterbrink

ist Technical Leader von Cisco Talos in Deutschland. Cisco Talos ist eine der größten kommerziellen Threat & Malware Research Einheiten auf der Welt.