Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) schlägt Alarm: Viele mittelständische Handels- und Logistikunternehmen vernachlässigen ihre IT-Sicherheit. Wie gering das Schutzniveau tatsächlich ist.
Fast jede vierte Firma (22 Prozent) ist bereits Opfer von Cyberattacken gewesen. Jeder zweite angegriffene Betrieb stand sogar zeitweise still und musste die IT-Systeme mit großem Aufwand wiederherstellen, berichtet der Gesamtverband der Deutschen Versicherungswirtschaft (GDV). Dennoch sei das Problembewusstsein insbesondere bei vielen mittelständische Handels- und Logistikunternehmen immer noch wenig ausgeprägt. Das zeige eine repräsentative Forsa-Umfrage unter 300 Unternehmen des Groß- und Einzelhandels sowie aus dem Transportsektor im Auftrag des GDV.
Mehr IT-Schutz und Notfallpläne vonnöten
„Die erfolgreichen Angriffe zeigen, dass die IT-Sicherheit in Handel und Logistik noch sehr lückenhaft ist. Die Verantwortlichen müssen mehr und bessere Schutzvorkehrungen treffen, die Mitarbeiter sensibilisieren und Notfallpläne schmieden“, sagt die stellvertretende GDV-Hauptgeschäftsführerin Anja Käfer-Rohrbach. Wie gering das Schutzniveau tatsächlich ist, belege darüber hinaus ein vom GDV initiierter Sicherheitscheck, an dem 19 Mittelständler der Branchen freiwillig teilnahmen.
IT-Experte hackt sich in die Systeme
Dazu hatte der Verband den Berater für Cybersicherheit Michael Wiesner beauftragt, der auch in der Arbeitsgruppe Kritis für Kritische Infrastrukturen engagiert ist. Bei seinem Check stieß Wiesner bei zwei Dritteln der Unternehmen auf veraltete Betriebssysteme. Bei fast allen (95 Prozent) gab es Schwachstellen, die Hacker zur Manipulation von Daten oder sogar zur Übernahme der IT-Systeme nutzen können.
Phishing-Mails: Angst und Zeitdruck nutzen
Über Phishing-Mails und gefälschte Webseiten kam der IT-Experte bei immerhin jedem vierten Unternehmen zum Ziel: Auf dieser Weise kam er an die Zugangsdaten von Beschäftigten, die ihm wiederum weitgehende Zugänge aufs jeweilige IT-System ermöglichten. „Wer erst einmal erfolgreich in die IT-Systeme eingedrungen ist, kann sie in aller Regel komplett übernehmen und nach Belieben manipulieren“, warnt Wiesner. Es gelte daher, die Beschäftigten entsprechend durch Schulungen zu sensibilisieren. Das Vorgehen hat meist ähnliche Muster. Entweder wird mit Gewinnspielen die Gier angesprochen. Oder aber Angst geschürt, dass man durch Unterlassen ein ernsthaftes Problem bekommt. Das Ganze dann noch mit einer kurzen Frist, sodass der Nutzer unter Zeitdruck steht. In besonders perfiden Fällen, die aber zum Standard-Repertoire gehören, geht es um Maßnahmen im Rahmen der betrieblichen Cybersicherheit.
Fehleinschätzung: Sind als Hacker-Ziel zu unbedeutend
Gerade die Mittelständler aus Handel und Logistik wägen sich trotz allem oft in einer scheinbaren Sicherheit: So gehen fast zwei Drittel (63 Prozent) der von Forsa Befragten weiterhin von einem geringen Risiko für ihr Unternehmen aus. Ihre Argumente: Ihre Firma sei zu klein und die Daten für Kriminelle daher nicht interessant. Und drei Viertel (73 Prozent) der befragten Unternehmen sind der Ansicht, sie täten genug zum Schutz gegen Cyberkriminalität. Eine Einschätzung, die in der Realität nicht Stand hält. „Das Sicherheitsproblem wird oft kleingeredet oder bewusst ignoriert“, erklärt GDV-Vize-Chefin Käfer-Rohrbach, die auch das Kompetenzzentrum Risikoschutz für Gesellschaft und Wirtschaft leitet. Dort sind unter anderem die Bereiche IT- und Cyberversicherung angesiedelt. Diese Art von Versicherungen gibt es seit 2017. Noch sei die Datenlage – vor allem über verschiedene Branchen hinweg – zu dünn, um hier belastbare Aussagen treffen zu können, erklärt Käfer-Rohrbach.
Erpresser nutzen jede Chance
Der Wert der Daten bemisst sich laut Käfer-Rohrbach nämlich nach dem Wert der Daten für das geschädigte Unternehmen. Ziel der Kriminellen sei, die Firmen von ihren eigenen Daten abzuschneiden. Sie sind nicht für den Verkauf an Dritte gedacht. Vielmehr werden die Betroffenen anschließend erpresst und die Summen so angesetzt, dass sie zwar weh tun – aber dennoch finanziell zu schultern sind. Bei der Frage, was im Ernstfall zu tun ist, rät Wiesner wiederum dazu, einen externen Profi mit ins Boot zu holen, der auch die Verhandlungen mit den Erpressern übernimmt, „auch wenn die Kriminellen das oft ausschließen“. Ob man die Behörden informiere, liege wiederum in den eigenen Händen. Selbst wenn die staatlichen Stellen dies fordern.
Cyberrisiko-Bewertungstool Cysmo sucht und findet
Wie wenig diese Sorglosigkeit mit Blick auf die IT-Sicherheit angebracht ist, zeigt darüber hinaus auch im sogenannten Darknet, einem verborgenen Netzwerk, das für illegale Geschäfte genutzt wird. Dort hat sich PPI, Softwarehaus und Unternehmensberatung aus Hamburg, im GDV-Auftrag auf die Suche gemacht. Mit ihrem Cyberrisiko-Bewertungstool Cysmo nahmen die Hanseaten rund 1.500 Mittelständler aus Handel und Logistik unter die Lupe.
Logistiker-Daten im Darknet zu finden
Das Ergebnis: PPI fand die Daten von 470 Unternehmen, also von rund 31 Prozent, im Darknet. Im Angebot sind oft berufliche E-Mail-Adressen samt dazugehöriger Passwörter, die Angestellte auch für private Zwecke genutzt hatten. Auch an dieser Stelle gelte es, die Beschäftigten entsprechend zu sensibilisieren. „Weil viele Menschen immer die gleichen oder sehr ähnliche Passwörter nutzen, können E-Mail-Passwort-Kombinationen von Cyberkriminellen leicht ausgenutzt werden“, erklärt Käfer-Rohrbach. Schon deshalb müssten Firmen entsprechende Regeln für die Nutzung der geschäftlichen E-Mail-Adressen aufstellen. „Manche E-Mail-Adressen werden nämlich sogar für Dating-Plattformen oder für Portale der Erwachsenen-Unterhaltung genutzt. Im schlimmsten Fall wird die Person damit sogar selbst erpressbar“, berichtet Käfer-Rohrbach.
Private Geräte sind ein Sicherheitsrisiko
Doch auch wenn regelmäßig Sicherheits-Updates erfolgen und die Unternehmens-IT sichere Passwörter erzwingt, ist das noch ein Garant, auf der sicheren Seite zu sein. Denn rund jedes zweite Unternehmen (52 Prozent) erlaubt den Mitarbeitern, ihre privaten Geräte in der IT-Umgebung des Betriebes zu nutzen. Jedes vierte Unternehmen (25 Prozent) bewahrt seine Sicherheitskopien so auf, dass sie auch bei einem Hackerangriff verschlüsselt oder gelöscht werden könnten. Insgesamt erfüllen laut GDV nur 24 Prozent die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit. Gleichzeitig sind viele Unternehmen nur unzureichend auf einen erfolgreichen Angriff vorbereitet: 47 Prozent der befragten Mittelständler hatten für den Ernstfall weder ein Notfallkonzept noch eine Vereinbarung mit ihrem IT-Dienstleister.
Was Unternehmen tun sollten
Der GDV macht zehn Basis-Anforderungen aus, die jedes Unternehmen prüfen sollte. Ob das der Fall ist, kann jedes Unternehmen online mit dem sogenannten Cyber-Sicherheitscheck des Verbands prüfen.
Gefahr von Cyberangriffen
Logistik muss sich wappnen
