Noch gut kann sich Oliver Klau an den Geschäftsführer eines Ingenieurdienstleisters erinnern. Gestern noch Chef eines florierenden Unternehmens mit mehreren Niederlassungen in Deutschland, heute vom Konkurs bedroht, saß der mit Tränen in den Augen in Klaus Büro. Was der Ingenieur berichtete, hört der Cybercrime-Spezialist beim Landeskriminalamt in Berlin immer öfter. Die Personalabteilung hatte eine fingierte Bewerbungsmail mit einem Anhang erhalten, der angeblich einen Lebenslauf enthielt. Ein Mitarbeiter öffnete diesen und lud ungewollt eine Schadsoftware auf den Rechner. Das Unheil nahm rasend schnell seinen Lauf. Die komplette IT-Infrastruktur wurde verschlüsselt, nichts funktionierte mehr, kein Arbeitsprogramm, keine Korrespondenz, Kundendaten waren nicht mehr zugänglich. „Eine physisch getrennte Datensicherung hatte der Betrieb nicht“, nennt der Kriminaldirektor einen Fehler, den gerade viele kleinere Unternehmen machen.
Kontaktieren Sie unsere IHK-Experten
Faktisch arbeitsunfähig, entstand für den Dienstleister ein enormer finanzieller Verlust, es drohte sogar das Aus. Damit nicht genug. Nicht selten folgt auf die Verschlüsselungssoftware eine Erpressung. Wer zahlt, bekommt einen Code zum Entschlüsseln seiner Daten in Aussicht gestellt. „Aus Angst vor einem Konkurs knicken einige Unternehmen ein und zeigen die Straftat auch nicht an“, weiß Klau. Und bekommt Rückendeckung von Hans Richter, dem Leiter des Bereichs Wirtschaftsschutz beim Verfassungsschutz Berlin: „Daten sind die Kronjuwelen des Unternehmens. Mit ihnen steht und fällt deren Wettbewerbsfähigkeit und damit die Wirtschaftskraft des Standortes Deutschland.“
Kleine Unternehmen im Fokus
Welche Rolle muss mit der zunehmenden Digitalisierung auch der IT-Sicherheit zukommen? Welche Potenziale und Kompetenzen existieren am Standort Berlin im Bereich der Sicherheit? Welche Akteure können welchen Beitrag für Sicherheitsmaßnahmen leisten? Die Berliner Wirtschaft hat Unternehmen aus der Sicherheitsbranche und Sicherheitsbehörden dazu befragt. Die Zahlen sprechen für sich: Drei Viertel der Unternehmen waren in den zwei Jahren zuvor von Datendiebstahl, Industriespionage oder Sabotage betroffen gewesen, ergab eine Ende 2019 veröffentliche Umfrage des Digitalverbandes Bitkom. In der Ausgabe von 2017 hatte die Zahl der Betroffenen noch bei 53 Prozent gelegen. Besonders kleine Unternehmen (bis 99 Mitarbeiter) stehen im Fokus der Angreifer. Bei sieben von zehn Unternehmen (2017: 43 Prozent) verursachten die digitalen Angriffe einen Schaden. Dazu zählten der Missbrauch von Passwörtern, die Infizierung mit Schadsoftware beziehungsweise Malware, Phishing-Angriffe oder das Ausnutzen von Software-Schwachstellen. Laut Bundesverband mittelständische Wirtschaft dauert es durchschnittlich 106 Tage, bis ein IT-Sicherheitsvorfall entdeckt wird, der durchschnittliche Schaden bei einem KMU beträgt 41.000 Euro.
Kriminalitätsbarometer der IHK
„Zu den direkten Folgen krimineller Handlungen zählen in der Unternehmerschaft neben Schäden und Aufwand für deren Beseitigung sowie Unterbrechungen der betrieblichen Abläufe auch die allgemeine Verunsicherung“, heißt es im jüngsten IHK-Kriminalitätsbarometer. Die Zahl der Berliner und Brandenburger Unternehmen, die Opfer eines Hackerangriffs wurden, hat sich zwischen 2010 und 2018 von knapp zwölf auf gut 28 Prozent drastisch erhöht. Sicherheitsexperten vermuten, dass es wegen der hohen Dunkelziffer deutlich mehr sind. Und die Pandemie hat die Situation noch verschärft.
Bei Markus Willems melden sich Unternehmer idealerweise dann, wenn noch nichts passiert ist. Mit sogenannten Penetrationstests können die Experten der Berliner wibocon Unternehmensberatung GmbH herausfinden, ob und wo es Schwachstellen in der technischen Umsetzung des Informations-Sicherheits-Management-Systems gibt. Der Test kann offen mit Wissen der IT-Abteilung oder verdeckt stattfinden, indem nur ein IT-Leiter oder Geschäftsführer eingeweiht wird. Im Abschlussbericht markieren verschiedene Farben, welche Maßnahmen wann umgesetzt werden sollten: rot steht für sofort, gelb für zeitnah, grau hat noch etwas Zeit. „Neun von zehn Kunden setzen die Empfehlungen um“, sagt Willems. Aber es gebe auch Unternehmen, die Zeit und Ausgaben scheuten und deshalb trotz offensichtlicher Sicherheitslücken nicht reagierten. Auch Inhaber überwiegend kleiner Firmen mit weniger als zehn Mitarbeitern würden die IT-Sicherheit oftmals komplett vernachlässigen, weil sie denken: Wird schon gut gehen!
Erstaunlich, wenn man bedenkt, dass der Schaden enorm sein kann. „Nach einem Verschlüsselungsangriff kann das Unternehmen durchaus fünf bis zehn Tage stillstehen“, warnt Markus Willems, der auch Mitglied des Fachausschusses Innovation & Technologie der IHK Berlin ist. In seiner Studie „Wirtschaftsschutz in der digitalen Welt“ bezifferte der Digitalverband Bitkom den im Jahr 2019 entstandenen wirtschaftlichen Gesamtschaden auf knapp 103 Mrd. Euro. Die größten Kostenblöcke sind dabei Ermittlungen, Ersatzmaßnahmen, Rechtsstreitigkeiten, Patentrechtsverletzungen sowie der Ausfall von Informations- und Produktionssystemen. Das wollen die IT-Verantwortlichen nicht einfach hinnehmen. Die Nachfrage nach Penetrationstests nehme deutlich zu, beobachtet IT-Experte Willems. Einerseits fordere die Datenschutz-Grundverordnung (DSGVO) aktive Sicherheitstests, andererseits wollen sich laut Willems die Unternehmen aktiv schützen, um einem ungewollten Datenabfluss vorzubeugen.
Für Kerstin Ehrig-Wettstaedt steht denn auch fest: „IT-Sicherheit muss Chefsache sein.“ Im Alltag macht die Geschäftsführerin des Berliner Systemhauses Ehrig GmbH allerdings ganz andere Erfahrungen. „Informationssicherheit ist wegen des finanziellen und zeitlichen Aufwandes keinesfalls das Lieblingsthema der Unternehmer und wird eher als notwendiges Übel gesehen.“ Dank aktueller Entwicklungen rund um Digitalisierung und Zunahme des Homeoffice müsse die Notwendigkeit, seine IT-Infrastruktur gut zu schützen, aber noch stärker in den Fokus rücken.
Hilfreich findet die Betriebswirtin, dass der Bund im Rahmen des 2020 gestarteten, mit gut 200 Mio. Euro dotierten Programms „Digital jetzt“ unter anderem IT-Sicherheitsschulungen im Mittelstand fördert. „Die beste Sicherheitstechnik hilft nichts, wenn die Mitarbeiter nicht ausreichend qualifiziert sind.“ Ständige Schulungen im eigenen Unternehmen seien unerlässlich. Das von November an neuaufgelegte landespolitische Förderprogramm „Digitalprämie“ kann hier zusätzlich für notwendige Anreize sorgen. Regelmäßig schickt auch Kerstin Ehrig-Wettstaedt ihre Kollegen zu Weiterbildungen, sei es zum IT-Sicher- heitsbeauftragten (IHK) oder zum Certified Security Consultant, damit die Kunden sicher beraten werden können. Web-Seminare, die ihr Unternehmen Kunden anbietet, absolvieren die Mitarbeiter auch intern.
Jüngst wurde Ehrig zudem Teilnehmer bei der „Allianz für Cybersicherheit“ des Bundesamts für Sicherheit in der Informationstechnik, um bei aktuellen Themen gut informiert zu sein. Und wer das stille Örtchen im Berliner Systemhaus besucht, nimmt immer einen guten Tipp mit. Auf die Innenseiten der Toiletten lässt die Chefin von gut 70 Mitarbeitern alle zwei Monate einen neuen Security-Hinweis anbringen, etwa wie man sichere Passwörter erstellt oder dass man keinesfalls Details von der Arbeit in den sozialen Medien posten solle. Dann könnten solche Fälle verhindert werden: Ein Mitarbeiter lässt die Netzgemeinde wissen, dass er als Buchhalter im Unternehmen tätig ist. Schließlich bekommt er eine fingierte Mail seines Chefs, der ihn auffordert, sofort einen Betrag x auf ein bestimmtes Konto zu überweisen. Und macht es.
Neben etablierten Systemhäusern und Beratern locken die Themen IT-Sicherheit und Datenschutz auch immer stärker die Start-ups. Zu ihnen gehört die im Herbst 2017 gegründete Perseus Technologies GmbH, die im Fintech-Hub H:32 an der Hardenbergstraße sitzt und vor allem kleine und mittlere Unternehmen gewinnen will, die sich keine großen Sicherheitsabteilungen leisten können. Ihnen bietet Perseus browserbasierte Mitarbeitertrainings und simulierte Phishing-E-Mails, eine 24/7-Cyber-Nothilfe sowie Antivirensoftware.
Cyberattacken aufs Corona-Homeoffice
Wie wenig sich Unternehmen mit neuen Gefahren auseinandersetzen, belegt eine Anfang Oktober 2020 veröffentlichte Umfrage „Cybersicherheit in Zeiten von Corona – wie verhalten sich Unternehmen im Cybernotfall“, die Perseus gemeinsam mit dem Online-Meinungsforschungsinstitut Civey erstellt hat. „Jeder zweite Mitarbeiter fühlte sich nicht ausreichend oder gar nicht über Cyberrisiken und Datenschutz am Arbeitsplatz in den eigenen vier Wänden informiert“, sagt Perseus-Geschäftsführer Christoph Holle. Das habe zu vermehrten Phishing-Angriffen geführt. Laut der Umfrage waren 50 Prozent der Cyberangriffe seit dem Corona-Lockdown auf Phishing-Attacken zurückzuführen.
Mit mehr als 80 Prozent stellen vor allem E-Mails die größten Gefahrenherde dar. Jeder dritte Mitarbeiter kann sich aber im Notfall an niemand wenden, weil es keinen Ansprechpartner im Unternehmen gibt. Der Schaden ist laut Studie beträchtlich: Bei fast jedem vierten Opfer eines Cyberangriffs dauerte es länger als 24 Stunden, bis man wieder auf Systeme, Anlagen oder Netzwerke zugreifen konnte. Den monetären Schaden – die Kosten für Analyse und Wiederherstellung – bezifferten 39 Prozent auf unter 5.000 Euro, aber immerhin 16 Prozent auf mehr als 20.000 Euro.
Für sein weiteres Wachstum hat sich das Start-up Perseus einen kapitalstarken Partner an die Seite geholt. Im Februar 2020 stieg bei den Berlinern die Versicherungsgruppe HDI ein, die sich mit diesem strategischen Investment in der stark wachsenden Cyberbranche ein neues Geschäftsfeld aufbauen will. Davon profitiert nicht zuletzt der durch Corona stark unter Druck geratene Berliner Arbeitsmarkt. Die Zahl der Mitarbeiter soll laut Holle von 30 Ende 2019 auf 70 bis Ende des Jahres steigen. Gesucht werden unter anderem Cyberspezialisten, die zu Perseus nicht nur aus der Hauptstadt, sondern aus der ganzen Welt kommen, zum Beispiel aus Indien, Russland oder anderen Teilen Osteuropas.
Eine der zentralen Anlaufstellen für alle Unternehmen der Branche ist die IHK Berlin. Mit zahlreichen Angeboten wie Präsenz-Veranstaltungen, Online-Seminaren oder auch dem alle zwei Jahre erscheinenden Kriminalitätsbarometer agiert sie als Netzwerkerin. Zu den neuen Aufklärungsangeboten für mittelständische Betriebe und das Handwerk zählt die unter anderen auch vom DIHK geförderte Transferstelle IT-Sicherheit im Mittelstand ((TISiM). Von Januar 2021 an können Mitglieder der IHK Berlin den Sec-O-Mat nutzen, der Aktionspläne bereitstellt und Unterstützung bei deren Umsetzung leistet.
Henrik Vagt, Geschäftsführer Wirtschaft & Politik bei der IHK Berlin: „Informieren, sensibilisieren und vernetzen, mit diesem Dreiklang möchte die IHK Berliner Unternehmen bei den ersten Schritten zu einem höheren Sicherheitsniveau unterstützen. Wir sind überzeugt, dass vor allem der Vernetzung eine große Bedeutung beizumessen ist.“ Wichtig sei hier Handeln, bevor es zu spät sei. „Denn die Digitalisierung hat nicht nur Vorteile, sondern schafft Angriffsvektoren, die sich jeder Unternehmer bewusst machen muss.“
Viele regionale Hilfsangebote
Auf ihrer Website verlinkt die IHK zudem zu zahlreichen Akteuren in der Region, etwa zum IT-Sicherheitsnetzwerk Berlin-Brandenburg „it’s.BB“, das zehn Firmen aus der Cybersicherheitsbranche Ende 2018 gründeten. Als Koordinator und Verbindungsglied bei Projekten und Kooperationen, darunter mit Hochschulen, will „it’s.BB“ das Zusammenwachsen der IT-Sicherheitsbranche auch mit anderen Wirtschaftsbereichen in der Hauptstadtregion unterstützen (siehe Interview Seite 28). Ein weiterer Akteur ist der 2010 gegründete „Verband für Sicherheit in der Wirtschaft Berlin – Brandenburg“, der die gewerbliche Wirtschaft in allen sicherheitsrelevanten Fragen informieren und unterstützen will. Der „Verband Sichere Digitale Identität“ schließlich treibt als bundesweites Netzwerk für Unternehmen, Hochschulen und Forschungseinrichtungen die Transformationen von analogen zu digitalen Identitäten voran.
Intensives Networking zählen auch Unternehmerinnen und Unternehmer wie Kerstin Ehrig-Wettstaedt und Markus Willems neben ständiger Fortbildung zu den wichtigsten Wegen, um Wissen weiterzugeben und bei der anspruchsvollen Materie stets auf den neuesten Stand zu kommen. So engagiert sich IT-Experte Willems beim Bundesverband mittelständische Wirtschaft in der Kommission „Internet und Digitales“ sowie im Arbeitskreis IT-Sicherheit. Beim Digitalverband Bitkom sitzt er in der neuen Arbeitsgruppe Informations-Sicherheits-Management-Systeme und arbeitet beim Bitkom-„Leitfadenprojekt für das Thema Cyberversicherung“ mit.
Laut Gesamtverband der Deutschen Versicherungswirtschaft (GDV) haben nur sieben Prozent der Kleinstunternehmen, 22 Prozent der kleinen und 23 Prozent der mittleren Unternehmen eine Police gegen Schäden durch Internetkriminalität. 60 Prozent der Kleinstunternehmen wüssten gar nicht, dass es solch eine Versicherung gibt, so der GDV.
Neben der IT-Sicherheitsbranche, der IHK Berlin sowie relevanten Netzwerken müssen auch die Berliner Sicherheitsbehörden ihren Beitrag leisten. Beim Verfassungsschutz Berlin nahm Anfang September 2020 die Zentrale Ansprechstelle Wirtschaftsschutz (ZAW) ihre Arbeit auf, eingerichtet auch auf Betreiben der IHK. „Wir stehen den Unternehmen als Ansprechpartner bei Fragen rund um die Prävention zur Verfügung, sensibilisieren, auf Wunsch auch mit Vorträgen, für drohende Gefahren für das firmeneigene Know-how, beraten und unterstützen bei der Aufklärung“, benennt Verfassungsschützer Hans Richter zentrale Aufgaben. „Dabei wird das Prinzip der Vertraulichkeit gewahrt.“ Die Betroffenen müssten nicht fürchten, dass ermittelt werde und die Fälle publik gemacht würden, denn viele scheuten den Imageschaden. Ermittlungen fielen ausschließlich in die Zuständigkeit der Polizei.
Verfassungsschutz gegen Wirtschaftsspionage
„Der Fokus der Arbeit liegt auf der Abwehr von Wirtschaftsspionage ausländischer Geheimdienste, denn nur hier verfügt der Verfassungsschutz über eine eigene Zuständigkeit“, so Richter. Allerdings können sich Unternehmen auch in anderen Fällen an die Behörde wenden, etwa beim Verdacht, von Wettbewerbern ausspioniert zu werden. Die Urheberschaft möglicher Angriffe – Geheimdienst, Wettbewerber oder auch einfacher Krimineller – sei in der Regel nicht sofort erkennbar. Im Laufe des Herbstes wird der Berliner Verfassungsschutz auch auf seiner Homepage vielfältige Informationen zum Thema Wirtschaftsschutz anbieten. Ziel ist in erster Linie Hilfe zur Selbsthilfe.
„Mit der Digitalisierung betreten die Unternehmen einen Hochsicherheitsraum. Vor allem kleine und mittlere Unternehmen sind sich der Gefährdungen oftmals nicht bewusst“, warnt Richter. Gerade in Berlin seien die KMU aber das Rückgrat der Wirtschaft. Als weiteres Problem nennt Richter das zunehmende Social Engineering, das heißt die soziale Manipulation: Immer mehr Cyber-Kriminelle bauen, direkt oder virtuell, geschickt Kontakte zu Mitarbeitern auf, um deren Wissen – oftmals unbemerkt – für Datendiebstahl zu nutzen. „Der größte Freund des Cybercrime ist die Naivität der Handelnden“, bringt es Richter auf den Punkt.
Zur Naivität gesellt sich aber auch Vorsatz. Laut Bitkom-Studie waren 33 Prozent der Wirtschaftskriminellen ehemalige Mitarbeiter, die vorsätzlich agierten, etwa aus Frust über eine Entlassung. Weitere Täter bei Datendiebstahl, Wirtschaftsspionage und Sabotage sind laut GDV vor allem Einzelpersonen/Hobbyhacker (38 Prozent), ehemalige Mitarbeiter, ohne Absicht (23), organisierte Kriminalität/Banden (21), konkurrierende Unternehmen (20), Lieferanten (16), aktuelle Mitarbeiter (14) sowie ausländische Nachrichtendienste (12 Prozent).
„Vor einigen Jahren mussten die Täter noch über viel Know-how verfügen, das hat sich radikal verändert“, sagt Oliver Klau von der Zentralen Ansprechstelle Cybercrime (ZAC), die beim Landeskriminalamt Berlin angesiedelt ist. „Heute wird ,Cybercrime as a Service‘ als Dienstleistung im Internet angeboten.“ Die Täternetzwerke haben eine ausgeklügelte Arbeitsteilung entwickelt. Jeweils unterschiedliche Spezialisten entwickeln die Schadsoftware, testen deren Qualität, verkaufen die Software und rollen sie aus.
Die 2014 gegründete ZAC habe in den vergangenen Jahren viel Netzwerkarbeit geleistet, um vor allem die KMU für das Thema zu sensibilisieren, sagt Klau. „Wir wollen eine niedrigschwellige Anlaufstelle für die Firmen sein. Wir nehmen niemand einfach so den Rechner weg.“ Im Vordergrund stehe immer die Rettung des Unternehmens, erst in zweiter Linie das Sichern von Beweismaterial. Und je früher ein Betroffener die ZAC ins Boot hole, desto eher könne man den Schaden minimieren, auch dank des jahrelangen Know-how rund um Schadsoftware.
Mit dem Start der ZAW beim Verfassungsschutz Berlin werden die zahlreichen Akteure aus Behörden, Netzwerken und der Branche am Standort Berlin einmal mehr gefordert sein, interdisziplinär zusammenzuarbeiten – im Interesse der Wirtschaft. In einem 2020 veröffentlichten Bitkom-Studienbericht („Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der vernetzten Welt“) plädieren 96 Prozent der Befragten dafür, dass der Informationsaustausch zu IT-Sicherheitsthemen zwischen Staat und Wirtschaft verbessert werden sollte.
Existenzbedrohende Vorfälle
„In der Krise Köpfe zu kennen, sollte nicht nur im Katastrophenschutz die Leitlinie sein, sondern auch für jeden Unternehmer bei der tagtäglichen Unternehmenssicherheit oberste Priorität haben“, unterstreicht Geschäftsführer Henrik Vagt von der IHK Berlin. Die IHK setze sich aus diesem Grund für eine neue und interdisziplinäre Zusammenarbeit mit den Berliner Sicherheitsbehörden und der IT-Sicherheitsbranche ein. Vorfälle egal welchen Ursprungs seien Eingriffe in die unternehmerische Tätigkeit, mit im Extremfall einem existenzbedrohenden Ausgang. Vagt: „Vertrauensvolle Netzwerke sind damit wichtig und müssen von der Prävention bis hin zur Reaktion reichen.
Nicht jeder GAU kann dann verhindert, aber Umfang und Schadenhöhe der Vorfälle können zumindest eingedämmt werden. Daher sollte gelten: Handeln, bevor es zu spät ist.
