Digitale Transformation – Chance und Risiko zugleich

Industrie 4.0 oder Künstliche Intelligenz sind nur zwei Stichworte, die das Ausmaß des aktuellen digitalen Wandels in Industrie und Wirtschaft beschreiben. Unternehmen und Verbraucher profitieren von neuen Lösungen, schnellerer Verfügbarkeit von Produkten und schlankeren Produktionsprozessen.

Die immer weiter voranschreitende Digitalisierung hat aber auch ihre Schattenseiten in puncto Sicherheit, denn die Digitalisierung bedeutet auch, sich auf veränderte und neue Bedrohungen einzustellen. Wirtschaftsspionage oder sogar Sabotage gibt es nicht erst seit dem Einzug digitaler Technik, aber sie erreicht durch den vergleichsweisen geringen Aufwand für den potenziellen Angreifer eine andere Dimension. Der Branchenverband Bitkom stellt in seiner jüngsten Studie von 2018 zum Wirtschaftsschutz in der Industrie eine insgesamt zunehmende Professionalisierung von Cybercrime fest.

Insgesamt sind 503 nach Branchen und Größenklassen repräsentativ ausgewählte Industrieunternehmen mit mindestens zehn Mitarbeitern befragt worden, um sich ein Bild der aktuellen Lage zum Wirtschaftsschutz in Deutschland zu verschaffen. Dabei zeigt sich, dass viele Unternehmen im mittelständischen Bereich immer noch keine Digitalstrategie haben, etwa ein Fünftel bei Unternehmen bis 499 Mitarbeiter. Große Unternehmen sind da schon besser aufgestellt. Eine umfassende Strategie für das Unternehmen haben bei Unternehmensgrößen zehn bis 99 Mitarbeiter nur 38 Prozent und bei 100 bis unter 499 Mitarbeiter immerhin 40 Prozent.

Gerade kleine und mittelständische Unternehmen (KMU) sind beim digitalen Wandel besonders gefordert, da IT-Infrastrukturen und Prozesse oft nur partiell angepasst werden, denn die vielen Standards und Regelungen werden von vielen als sehr komplex wahrgenommen. Das zeigt sich auch am Grad der Digitalisierung, den KMUs bis 499 Mitarbeiter überwiegend als niedrig oder sehr niedrig bewerten. Gleichzeitig sehen laut der Cybersicherheitsumfrage 2018 des BSI 76 Prozent der Befragten in Cyberangriffen das Potenzial, betriebliche Prozesse zu beeinträchtigen. Ebenso erwarten 88 Prozent der an der Umfrage Teilnehmenden eine Verschärfung der Bedrohungslage, nämlich zusätzliche Cyberrisiken durch die Digitalisierung.

Laut Bitkom-Studie sind KMUs bei den Angreifern besonders beliebt. Zwischen 68 und 73 Prozent der betroffenen Unternehmen sind dem Mittelstand bis maximal 499 Mitarbeiter zuzurechnen. Hierzulande sind es viele KMUs, die über wertvolles Spezialwissen in unterschiedlichen Branchen, etwa als Zulieferer, verfügen. Sie werden aber auch als Einfallstor für größere Konzerne gesehen und genutzt.

Bei den Delikten kommt die ganze Bandbreite an Informationsdiebstählen zum Einsatz. Häufig ist es der Diebstahl von IT- oder Telekommunikationsgeräten zwecks Datenklau, gefolgt vom Diebstahl von sensiblen digitalen Daten. Aber auch der „klassische“ analoge Diebstahl sensibler Dokumente oder Objekten macht mindestens etwa 21 Prozent der erkannten Delikte aus. Das Social Engineering, um an wertvolle Daten zu erlangen, oder das Ausspähen von E-Mails machen bei den Betroffenen jeweils nur etwa elf Prozent aus. Weit höher (19 Prozent) ist dagegen die digitale Sabotage von Abläufen und Prozessen, was zu denken gibt, da hier aktiv versucht wird, ein Unternehmen in seiner Produktion zu schädigen.

Sieht man sich an, welche Daten im Fokus der Angreifer stehen, so sind es überwiegend E-Mails, Kunden- und Finanzdaten. Der Diebstahl geistigen Eigentums (Patente oder Daten aus der Forschung) betrifft nur etwa zehn Prozent der Betroffenen, wobei hier wiederum größere Unternehmen ab 500 Mitarbeiter vergleichsweise stärker vertreten sind. Intern bedeuten erfolgreiche Angriffe für Unternehmen in erster Linie Kosten durch Imageschäden bei Kunden und Lieferanten, gefolgt von datenschutzrechtlichen Konsequenzen und Schäden an Informationssystemen. Hiervon sind die befragten Unternehmen etwa gleichermaßen betroffen, nur bei Kosten für Rechtsstreitigkeiten und Patentrechtsverletzungen sind größere Unternehmen (ab 500 Mitarbeiter) häufiger die Leidtragenden. Der hierdurch entstandene Gesamtschaden der letzten zwei Jahre beläuft sich auf rund 43 Milliarden Euro.

Nach wie vor sind die Täter vor allem im eigenen Unternehmen zu finden. Bei über 60 Prozent der Betroffenen sind ehemalige Mitarbeiter für die Delikte verantwortlich. Bei Unternehmen mit 100 bis 499 Mitarbeitern sind es sogar fast Dreiviertel. Hacker machen etwa 39 Prozent der Täter aus, die sich vor allem auf größere Firmen konzentrieren. Sorgen machen sollten die Häufigkeit konkurrierender Unternehmen (22 Prozent), die Organisierte Kriminalität (17 Prozent) und auch ausländische Nachrichtendienste, die immerhin noch elf Prozent der Täter stellen. So wie die eigenen Mitarbeiter zu Tätern werden können, so sind es auch sie, die den besten Schutz bieten. Es sind überwiegend die eigenen Kollegen, die Hinweise auf verdächtige Handlungen oder Ereignisse liefern, erst an zweiter Stelle folgen technische System wie Firewalls oder Virenscanner.

Auch die interne Revision und hauseigene Ermittlungen zeigen sich für das Aufdecken von Straftaten oder Angriffen verantwortlich. In Zusammenhang mit den Straftaten ist es auch wichtig, konsequent gegen die Täter vorzugehen. Dies belegen die Zahlen, wonach fast 80 Prozent der Betroffenen Strafanzeige gestellt haben, 29 Prozent als freiwillige Meldung und 13 Prozent verpflichtende Meldungen nach dem IT-Sicherheitsgesetz. Gerade die Polizei ist hier ein wichtiger Ansprechpartner, weit seltener das BSI oder der Verfassungsschutz. Die Einrichtung von zentralen Anlaufstellen für Cybercrime der Polizei in den Ländern ist hierfür sicherlich ein Anhaltspunkt, da diese den Unternehmen auch präventiv zur Seite stehen.

Die Täter zu benennen, ist wichtig und sie zu kennen ebenso – für die Prävention. Nur wer die Angreifer kennt, kann seine innerbetrieblichen Abläufe dahingehend optimieren, sei es in technischer oder organisatorischer Art. Gerade beim Täterkreis Mitarbeiter gilt es, die Belegschaft zu sensibilisieren und das Bewusstsein für potenzielle Gefahren zu schärfen. Dazu sollten Unternehmen Sicherheit ganzheitlich begreifen, wozu nicht nur die notwendige IT-Infrastruktur gehört, sondern auch alle anderen sicherheitstechnischen Komponenten wie etwa Zutrittsregelungen. Aber auch in digitaler Hinsicht sind Unternehmen – hier nach wie vor besonders die KMUs – gefordert, im Rahmen einer Digitalstrategie mögliche kritische Prozesse zu identifizieren, entsprechend zu schützen und gegebenenfalls auch ein Notfallmanagement zu implementieren.

Laut BSI-Umfrage sehen fast zwei Drittel der Unternehmen Cybersicherheit nicht als Wettbewerbsvorteil und somit eigentlich nur als Kostenfaktor. Hier muss Aufklärung ansetzen, denn auch kleine Unternehmen können Opfer von Angriffen werden und solche können dann auch existenzgefährdend sein.