Wie Unternehmen sich vor Cyber-Angriffen schützen können Vier Instrumente gegen Hacker-Attacken

Von Ludger Arnoldussen
Siemens-Zentrale in München (Bild von Ende Juli 2013): Der Technologiekonzern war 2010 Ziel einer der ersten, bekannt gewordenen, groß angelegten Hacker-Angriffe auf einen deutschen Konzern.

Siemens-Zentrale in München (Bild von Ende Juli 2013): Der Technologiekonzern war 2010 Ziel einer der ersten, bekannt gewordenen, groß angelegten Hacker-Angriffe auf einen deutschen Konzern.

Foto: Tobias Hase/ dpa
Ludger Arnoldussen
Foto: Munich-MR

Ludger Arnoldussen ist Vorstand von Munich Re, zu-ständig für Germany, Asia Pacific and Africa, Central Procure-ment, Services.

Cyberattacken sind für Unternehmen inzwischen alltäglicher als der Diebstahl von Büromaterial. Leider meist mit ungleich gravierenderen Folgen. Zwar kann in der Regel ein Großteil der Angriffe abgewehrt werden, doch jede gelungene Attacke kann schwerwiegende Konsequenzen haben. Denn die Schäden aus virtuellen Angriffen sind leider alles andere als virtuell. Der Softwareanbieter Intel/McAffee schätzt die globalen Schäden aus Cyberangriffen im Jahr 2014 auf 400 Milliarden Dollar.

Längst gibt einen regelrechten Markt für Hackerdienstleistungen. Die Vorstellung, Hackergruppen bestünden aus ein paar Nerds ohne Freundin, die im Knacken von Computersystemen eine Art sportliche Herausforderung sehen, gehört, falls sie überhaupt jemals richtig war, in das vergangene Jahrtausend. Heute agieren die Angreifer hochprofessionell und lernen aus jedem gescheiterten oder entdeckten Angriff.

Die zunehmende Vernetzung unserer Wirtschaft (Industrie 4.0) und unseres Lebens (Smart Homes) bietet dabei immer neue Angriffspunkte. Gestohlene Kundendaten oder entwendete Kreditkarteninformationen sind dabei nur besonders offensichtliche Ziele. Böser Wille und kriminelle Energie vorausgesetzt sind die Möglichkeiten, Unternehmen zu schaden, nahezu grenzenlos: Eine Unterbrechung der Kommunikation einer Flugleitzentrale kann beispielsweise dazu führen, dass in großen Regionen kein Flugverkehr mehr stattfinden kann.

Dabei wäre dieses Szenario nicht einmal der worst case, denn hier wird der Angriff unmittelbar offensichtlich und Gegenmaßnahmen können eingeleitet werden. Oft bleibt ein Angriff jedoch lange Zeit unentdeckt. Laut dem Cyber-Allianz-Zentrum im Bayerischen Landesamt für Verfassungsschutz dauert es durchschnittlich 260 Tage, bis ein Angriff vom attackierten Unternehmen überhaupt bemerkt wird. Nach einem derart langen Zeitraum ist es schwer festzustellen, welche Daten noch integer sind beziehungsweise welche Systeme ab wann beeinflusst wurden. Eine manipulierte Software, die eine Maschine Bauteile nur um wenige Millimeter falsch zuschneiden lässt, kann dazu führen, dass die gesamte Produktion der vergangenen Monate zurückgerufen werden muss. Erschreckenderweise ist es oftmals vergleichsweise einfach, in vernetzte Produktionssysteme einzudringen.

Fotostrecke

Cyberkrieg gegen T-Mobile und Co.: Die größten Hackerangriffe

Foto: FRED PROUSER/ REUTERS

Auch Schiffe können Ziel von Cyberattacken sein

Auch Logistik- und Transportsysteme können das Ziel von Cyberangriffen werden. Im Sommer machte der Fall von zwei Hackern Schlagzeilen, denen es erstmals gelungen war, die Kontrolle über ein fahrendes Auto zu übernehmen. Auch Schiffe sind ein potentielles Opfer von Hackerangriffen, denn sie fahren mehr und mehr computergesteuert über die Weltmeere. Das aktuell größte Containerschiff der Welt, das fast 20.000 Standardcontainer laden kann, kommt mit ziemlich genau derselben Mannschaftsstärke aus, wie einst die vergleichsweise winzige Santa Maria, mit der Christoph Kolumbus Amerika entdeckte. Werden die Schiffssysteme eines solchen Riesenfrachters gehackt, können Schiff und Ladung verloren sein.

Die Liste möglicher Angriffsziele mit immensen potentiellen Schäden für die Wirtschaft ließe sich mühelos verlängern, etwa in den Bereich Energie / Kraftwerkssteuerung hinein.

Aber wie können sich Unternehmen schützen? Was muss getan werden? Dazu vier grundlegende Thesen:

Die vier Thesen, unter anderem: nicht alles mit allem vernetzen

  • Erstens, muss sich jede Unternehmensführung bewusst werden, dass sie nicht nur Ziel von Hackerattacken werden könnte, sondern ziemlich sicher werden wird. Noch immer denken kleine und mittlere Unternehmen, sie seien zu unbedeutend, um angegriffen zu werden. Großkonzerne hingegen glauben, gut genug geschützt zu sein. Beides ist in der Regel falsch. Die spektakulären Hackerattacken auf zahlreiche namhafte Konzerne in den vergangenen zwei Jahren führen hoffentlich auch in Europa zu einer weiteren Sensibilisierung für dieses Thema.
  • Zweitens, müssen Cyberversicherungen in der digitalen Wirtschaft zur Selbstverständlichkeit werden. Das Risiko aus Cyberangriffen ist für viele Unternehmen inzwischen existenzieller, als das eine oder andere "klassische" Risiko, wie etwa ein Feuer in einer Lagerhalle. Noch kann die Assekuranz der Industrie nicht jedes Cyberrisiko abnehmen, und noch besteht nicht überall in der Industrie die Einsicht in die Notwendigkeit, für Cyberpolicen zusätzlich Geld auszugeben. Doch der Markt entwickelt sich dynamisch, sowohl auf der Angebots-, als auch auf der Nachfrageseite. Cyberversicherungen decken verschiedenste finanzielle Schäden ab und unterstützen im Schadenfall. Viele Versicherer analysieren zudem die individuellen Risiken eines Unternehmens und geben Empfehlungen, wie sich diese minimieren lassen. Sowohl bei dem präventiven Schutz vor Angriffen, als auch bei der finanziellen Absicherung von Schäden besteht noch viel Potential. Von den eingangs erwähnten Schadensumme von 400 Milliarden Dollar aus Cyberangriffen 2014 waren schätzungsweise gerade einmal 1 Promille versichert.
  • Drittens, müssen auch die Hersteller von Komponenten und Software in die Mitverantwortung für Sicherheitslücken in ihren Produkten genommen werden . So wie ein Auto Crashtests und Ähnliches bestehen muss, ehe es auf den Markt kommt, sollten auch Software und Komponenten gewissen Sicherheitsstandards entsprechen, ehe sie an die Unternehmen verkauft werden dürfen. Wir brauchen Qualitätsstandards bei der Datenkommunikation, wenn die Angreifer keine scheunentorgroßen Sicherheitslücken vorfinden sollen.
  • Viertens sollten wir uns überlegen, ob es nicht sinnvoll wäre, bewusst Sollbruchstellen in die Systeme einzubauen. Die Risiken ließen sich weit besser beherrschen, wenn nicht alles mit allem vernetzt wäre, sondern nur vieles mit vielem.

Die Digitalisierung und die Vernetzung der Wirtschaft hin zu einer Industrie 4.0 öffnet die Tür für innovative Geschäftsmodelle und effizienteres Wirtschaften. Doch die Faszination der neuen Möglichkeiten darf nicht blind machen für die damit verbundenen Risiken. Zwar gibt es auch bei Cybergefahren keine absolute Sicherheit. Aber die Risiken lassen sich begrenzen und managen - man muss es nur tun.

Ludger Arnoldussen ist Mitglied der MeinungsMacher von manager-magazin.de. Trotzdem gibt diese Kolumne nicht notwendigerweise die Meinung der Redaktion des manager magazins wider.

Mehr lesen über Verwandte Artikel
Die Wiedergabe wurde unterbrochen.