Der Bestsellerautor Marc Elsberg schrieb mit „Blackout“ einen Thriller, in dem Terroristen mit einem Hackerangriff die gesamte Energieversorgung in Europa lahmlegen. Auch in der Realität bereitet kaum ein Szenario den Deutschen mehr Angst als ein landesweiter „Blackout“. Kritische Infrastrukturen wie Energieversorger sind angreifbar. Erst im letzten Jahr warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor gezielten Hacker-Angriffen auf deutsche Energieversorger.
2017 und Anfang 2019 wurden Bundesbehörden attackiert. Wenn sich Angreifer Zugriff auf die Büronetzwerke verschaffen können, droht Unternehmen nicht nur wirtschaftlicher Schaden. Auch die Reputation und das Vertrauen der Kunden leiden.
Die zunehmend digitaler werdenden Geschäftsprozesse in den Firmen sorgen zusätzlich dafür, dass Cyber Protection wichtiger wird.
Für den Deloitte Cyber Security Report 2018 wurden deshalb erneut Entscheider aus Wirtschaft und Politik zum Thema befragt. Wie hat sich das Bewusstsein für Digitalisierung, Cyber-Bedrohungen und Schutzmaßnahmen entwickelt? In welchen Bereichen wird noch Nachholbedarf gesehen? Die Befragungsergebnisse zeigen, dass rund 80 Prozent der Führungskräfte aus Politik und Wirtschaft glauben, dass mit Industrie 4.0 auch die Gefahr von Cyber-Angriffen auf Unternehmen steigen wird.
Die Szenarien der Bedrohung und damit die Betätigungsfelder von Cyber Protection sind vielfältig. Computerviren und Schadsoftware, Datenbetrug im Netz sowie Fake News werden als besonders bedrohlich genannt. Gerade die Manipulation der öffentlichen Meinung über soziale Netzwerke ist brisant. 75 Prozent der Befragten schätzen sie 2018 als Risiko ein, sieben Prozentpunkte mehr als im Jahr davor. Wirtschaftsführer schätzen viele der Risiken gravierender ein als die Politiker. So halten 58 Prozent der Wirtschaftsführer die Gefahr der Überwachung deutscher Bürger durch fremde Staaten für groß, aber nur 40 Prozent der Politiker teilen diese Einschätzung. Ähnlich auch die Lage bei Risiken durch Computerviren, Ransomware und andere schädliche Software, Datenmissbrauch durch andere Nutzer sowie durch eine Gefährdung der Privatsphäre durch vernetzte Haustechnik und andere IoT-Appliances.
Für Gegenschläge ist der Staat zuständig
Unternehmen und staatliche Institutionen sind gleichermaßen von Cyber-Attacken betroffen. Anfang Januar dieses Jahres machten Hacker Schlagzeilen, die sich persönliche Daten und Dokumente von Hunderten deutschen Politikern und anderen Prominenten illegal beschafften und im Internet veröffentlichten. Nahezu die Hälfte der Unternehmen gab an, täglich bis wöchentlich angegriffen zu werden. Laut der Zentralstelle Cybercrime Bayern (ZCB) in Bamberg sehen sich viele Unternehmen nicht ausreichend gewappnet gegen Hacker-Angriffe.
Was folgenschwere Angriffe auf kritische Infrastrukturen in Deutschland angeht, stimmt die Ansicht der Befragten besonders nachdenklich: Nur 14 Prozent der Abgeordneten und 10 Prozent der Wirtschaftsführer glauben, dass Deutschland hierauf „so gut wie möglich“ vorbereitet ist. Obwohl die Wirtschaft die aktive Eindämmung ihrer Cyber-Risiken zunächst selbst verantwortet, ist sie doch wie die gesamte Gesellschaft darauf angewiesen, dass der Staat die richtigen Rahmenbedingungen schafft und im Krisenfall eingreift.
Wie das zu geschehen hat, wird lebhaft diskutiert. Besonders deutlich zeigt sich dies am Beispiel des sogenannten „Hack Back“, etwa bei einem „Denial of Service“ Angriff aus dem Web. Hierbei überlasten Kriminelle einen Server mutwillig, um das Unternehmen oder die Institution zu schädigen. Folgenreich ist oft auch der Diebstahl von Daten aus der Cloud. Attacken dieser Art kann der Angegriffene begegnen, indem er den angreifenden Server stilllegt oder die entwendeten Daten löscht. Bei einem solchen Szenario verschwimmen allerdings oft die Grenzen zwischen Angriff und Verteidigung – bei den im Bundestag vertretenen Parteien besteht deshalb über die Zulässigkeit solcher Maßnahmen Uneinigkeit.
54 Prozent der Führungskräfte aus Unternehmen befürworten grundsätzlich das Instrument des staatlichen „Hack Back“. Selbst in die Hand nehmen wollen Unternehmen den Gegenschlag aber nicht, nur 10 Prozent der Befragten fanden dies sinnvoll. Möglicherweise würden die Akzeptanzwerte steigen, wenn es wirklich einmal zu einem wie von Marc Elsberg beschriebenen europaweiten „Blackout“ kommt.
