Der nächste Angriff ist nur einen Klick entfernt erhältlich: „Ich mache alles für Geld, ich bin keine Pussy“, wirbt ein Anbieter im Darknet. 20 Jahre Erfahrungen im Hacking, Kenntnisse in allen gängigen Programmiersprachen, „very good written and spoken english and german“ heißt es auf der Seite, die wie ein Online-Shop der frühen 2000er-Jahre daherkommt. Das Eindringen in Facebook- oder E-Mail-Accounts sei ein leichtes, aber auch DDoS-Attacken und Wirtschaftsspionage gehören zum Angebot: „Wenn du willst, dass ich das Geschäft oder das Leben von jemanden zerstören soll, dann mache ich das.“ Die Attacken gibt es angeblich zum Festpreis: 200 Euro kosten leichte Angriffe, 500 Euro die etwas kniffeligeren Fälle – zu zahlen bitte in Bitcoin.

Genauso anonym wie die Täter bleiben auch die meisten Schadensfälle – Unternehmen wollen unter allen Anstrengungen vermeiden, als Opfer einer Cyber-Attacke bekannt zu werden. Größere Angriffe werden dennoch immer wieder bekannt: Zuletzt musste Yahoo einräumen, dass etwa 500 Millionen Nutzerkonten angegriffen wurden. Bei der Filmfirma Sony Pictures veröffentlichten Angreifer vor zwei Jahren an die 100 Terrabyte Daten – von internen Mails über Drehbücher bis hin zu Gehaltslisten von Filmstars und Managern. Die US-amerikanische Einzelhandelskette Target traf es vor ein paar Jahren während des Weihnachtsgeschäfts. Eine Zeit, in der die Server voll ausgelastet sind. Die Angst vor verstärkten Attacken in dieser Zeit dürften auch andere Online-Händler hegen.

Betroffen sind nicht nur Konzerne. Etwa jeder siebte kleine oder mittelständische Betrieb erlitt bereits Angriffe auf seine IT, zeigt eine aktuelle Untersuchung des Versicherungsunternehmens Hiscox. Im weltweiten Vergleich waren die deutschen Unternehmen dabei die beliebtesten Opfer. Manchmal geschieht das zufällig, weil ein Angestellter doch den Anhang einer unbekannten E-Mail öffnet und das Netzwerk so mit massenhaft ausgesandter Malware infiziert. Manchmal auch ganz gezielt: In kleineren Unternehmen ist die Beute zwar häufig geringer, der Aufwand für die Angreifer jedoch auch. „Die Angreifer gehen da ganz wirtschaftlich vor“, sagt Dirk Kollberg, Senior Security Researcher bei Kaspersky. In diesem Sommer gelang es Hackern beispielsweise, über eine Mischung aus sozialer und technischer Manipulationen tief in die IT des deutschen Automobilzulieferers Leoni einzudringen – und so eine Überweisung von 40 Millionen Euro auf ihre Konten umzuleiten.

Immerhin jeder vierte Befragte hatte die digitalen Risiken in diesem Jahr auf der Agenda – der Wert steigt seit Jahren. Nach Ansicht von Experten wird das Risiko in vielen Firmen jedoch immer noch drastisch unterschätzt. „Das Bewusstsein für die Gefährdung ist oft noch sehr gering“, sagt Oliver Lehmeyer, IT-Sicherheitsexperte und Gründer der Beratungsfirma Cyber Risk Agency. Schon mit überschaubaren Summen lassen sich beim Opfer schwer überschaubare Schäden anrichten, wie die Stippvisite im Darknet zeigt.

Kleinere Unternehmen sollten sich vor Cyberangriffen schützen. Zwar sind sie oft nicht so interessant wie Großkonzerne. Allerdings ist der Aufwand für die Angreifer oft auch geringer. Die Hacker gingen da wirtschaftlich vor, sagt Dirk Kollberg. (Foto: Kaspersky)

Das Problem: Dass ein Cyberangriff Kosten verursacht, ist den meisten Unternehmern zwar prinzipiell klar. Was fehlt, sind klare Kostenangaben und Erfahrungen, welche Bereiche des Unternehmens überhaupt betroffen wären. Während also in vielen Firmen routinemäßig berechnet wird, welche finanziellen Auswirkungen es hätte, wenn der wichtigste Kunde die Geschäftsbeziehungen abbräche oder in einem wichtigen Exportland die Währungskurse steigen, findet diese Art von Risikomanagement für Cyber-Risiken schlicht nicht statt. IT-Attacken bleiben eine vage Gefahr ohne finanzielle Bewertung. „Das gilt bis zu dem Zeitpunkt, in dem man gehackt wird“, sagt Lehmeyer, „dann dürfen die Gegenmaßnahmen kosten, was es wolle.“ Klar ist: Wo es keinerlei Vorbereitungen gibt, kostet das Aufräumen nach einer Attacke deutlich mehr.

Wie hoch der Schaden in welchen Abteilungen ist, ist pauschal fast nicht zu beziffern. Versucht wird es trotzdem immer mal wieder: Die meisten Kosten verursachen laut einer Untersuchung des Sicherheitssoftware-Spezialisten Kaspersky [1] die zusätzlichen oder verlorenen Arbeitsstunden der eigenen Angestellten. Denn wenn der Betrieb ausfällt, laufen die Gehälter weiter – und das Abarbeiten nach einem Schadensfall wird kaum ohne Überstunden in der Belegschaft funktionieren. Hinter diesem Posten kommen die Einbußen für verlorenes Geschäft während der Ausfallzeit, darauf folgen die Ausgaben für externe Fachleute. Die Bonität bei Banken und anderen Geldgebern verschlechtert sich, die PR-Agentur lässt sich die Krisenkommunikation fürstlich bezahlen und außerdem können Entschädigungen an die eigenen Kunden anfallen – wenn etwa deren Daten bei dem Angriff erbeutet wurden.

Mit der Nachsorge ist es noch nicht getan: Erhebliche Investitionen für neue Software, Weiterbildung und zusätzliches Personal kommen dazu – damit sich so ein Angriff möglichst nicht noch einmal wiederholt. Rechnet man alle Ausgaben zusammen, kostet ein Cyber-Angriff ein kleines oder mittelständisches Unternehmen im Durchschnitt 85.000 US-Dollar, wie Kapersky schätzt. Die Beratungsgesellschaft PwC hat sich Anfang des Jahres ebenfalls an eine Kostenschätzung gemacht und ist mit 80.000 Euro zu einem ganz ähnlichen Wert gekommen [2]. Bußgelder, die etwa die Datenschutzbehörden verhängen können, sind da noch gar nicht eingerechnet. Mögliche Schadensersatzklagen von Vertragspartnern ebenso wenig.

Die Durchschnittswerte helfen dem einzelnen Unternehmen allerdings kaum weiter. Einen Online-Shop kommt jede Sekunde Downtime extrem teuer zu stehen, das Geschäftsmodell eines Arztes oder Rechtsanwalt bricht dagegen auch nach Tagen ohne Homepage nicht zusammen – dafür kann der Verlust von sensiblen Daten deutlich teurer werden. Oft vergessen wird dabei, dass gerade viele Dienstleister oder Agenturen mit höchst sensiblen Daten von Dritten arbeiten und für deren Sicherheit geradestehen müssen. Experten raten daher dringend dazu, sich intensiv mit dem eigenen Risikoprofil zu beschäftigen [3]. „Am Ende muss man ein Gefühl für die Gefährdung entwickeln und ein Verständnis, dass Firewalls und Daten-Backups allein zu wenig sind“, sagt Lehmeyer, „eine reine Zahlenentscheidung wird es nie sein.“

Ein paar Kniffe können dabei helfen, ein solches Gefühl zu entwickeln und mit einigen grundlegenden Zahlen zu unterfüttern. Ein erster Anhaltspunkt: die Firmen-IT und die Daten nach dem C.I.A.-Prinzip zu untersuchen [4]. Hinter den drei Buchstaben verbergen sich die englischen Begriffe Confidentiality, Integrity und Availability. Die wichtigsten Fragen, die sich Unternehmen stellen sollten: Welche Schäden entstehen, wenn die Vertraulichkeit der Daten verletzt wird – also Dritte auf Kundeninformationen blicken können und diese dann informiert werden müssen? Was kann es eine Firma kosten, wenn die Integrität der Daten geschädigt ist, beispielsweise geheime Produktionspläne eingesehen oder abgezogen werden? Und was passiert mit dem Unternehmen, wenn Daten tatsächlich nicht mehr verfügbar sind, sei es für eine kurze Zeit oder gar dauerhaft? Wie empfindlich so ein unerwarteter Ausfall einen Betrieb treffen kann, mussten Anfang des Jahres deutsche Krankenhäuser und Forschungsinstitute feststellen. Der Zugang zu wichtigen Daten wurde an zahlreichen Arbeitsplätzen durch die Ransomware „Locky“ hartnäckig versperrt.

Ein weiterer Ansatz ist die so genannte Daten-„Triage“. Der Begriff wird sonst vor allem von Notfallmedizinern verwendet: Wenn bei schlimmen Unglücken auf einmal zahlreiche Verletzte auf wenige Rettungskräfte treffen, müssen die schnell entscheiden, wer mit maximalen Kräften versorgt wird, wer auf Verstärkung warten kann – und bei wem jede Hilfe zu spät kommt. Lebensgefährlich sind die Cyber-Angriff selten, die Dramatik mag sich für einige Betroffene aber vergleichbar anfühlen.

Das Gute: In der IT-Welt lassen sich viele Konstellationen schon vor dem Ernstfall durchspielen und dann zumindest grob abschätzen, welche wirtschaftlichen Folgen mit einem Angriff verbunden wären. „Jeder Geschäftsführer sollte sich die Kronjuwelen in seinem Unternehmen bewusst machen“, sagt Ole Sieverding, verantwortlich für das Thema Cyber-Risiken bei Hiscox in Deutschland. Das könnten beispielsweise besonders sensible oder geschäftskritische Daten sein. Danach müsse ein Unternehmen analysieren, was passiere, wenn diese Daten verloren gingen oder von Dritten manipuliert würden. „Daraus lassen sich Worst-Case-Szenarien ableiten.“ Ein Unternehmen kann dann abwägen, welche Schäden möglich sind und ob es sich rechnet, diese abzusichern. Diese Kalkulation kann durchaus auch ergeben: Das wirtschaftliche Risiko mag hoch sein, aber nicht so hoch wie Zusatzausgaben für spezielle Soft- oder Hardware.

Was können Unternehmen also tun, um sich für den Angriffsfall vorzubereiten? Immer wieder betonen Experten: Die Mitarbeiter – und zwar bitte bis hoch zum Chef – müssen immer wieder für mögliche Angriffsversuche sensibilisiert werden. Besonders gefährdet sind dabei alle, die entweder hohe Berechtigungen in der Firma haben oder viel Außenkontakt: Den Anweisungen aus einer vorgeblichen Mail von einem Vorgesetzten folgen viele Angestellte ohne Nachfragen, in der Personalabteilung werden auch noch auf Jahre Dateianhänge von unbekannten Absendern geöffnet werden. Mit Sicherheitssoftware, die auf das Verhalten von Nutzern reagiert, lassen sich manche Schädlinge identifizieren: Zum Beispiel, wenn der Computer eines Mitarbeiters plötzlich regelmäßig neue Passwörter anfordert. Schwierig wird es, wenn Angreifer auf eine ausgefeilte Mischung aus Technik und menschlicher Intelligenz setzen: Experte Kollberg hat erlebt, wie manche Hacker ihre Schadsoftware nach dem Eindringen lange Zeit ruhen ließen – um nicht durch rasche Handlungen Aufmerksamkeit zu erwecken. Stattdessen blickten sie den Mitarbeitern an den infizierten Rechnern quasi virtuell über die Schulter: „Die haben über Monate von außen zugeschaut und quasi ein Praktikum gemacht – und erst dann losgelegt, als sie alle Mechanismen verstanden hatten.“

Wenn ein Unternehmen weiß, was zu tun ist, lassen sich die Schäden zumindest eindämmen. Als Standard für Großunternehmen gilt der so genannte „IT-Grundschutz“, hinter dem sich häufig die Norm ISO 27001 verbirgt. Kleine Firmen überfordert der Katalog oft organisatorisch und finanziell. Einige Verhaltenspläne kann jedoch jede Firma in reduzierter Version berücksichtigen – das Bundesamt für Sicherheit in der Informationstechnik stellt einige relevante Dokumente dafür bereit [5]. Dazu gehören klare Anweisungen, wie bei einem Angriff vorgegangen wird, wer verständigt wird und welche Teile der IT wann abgeschaltet werden dürfen oder müssen. „Ich muss mich als Unternehmer darauf vorbereiten, gehackt zu werden“, sagt Lehmeyer. Was passiert, wenn sich Unternehmen nicht den Ernstfall üben, hat er schon bei Kunden erlebt. Einige verzichteten auf regelmäßige Datensicherung – und hatten bei einem Angriff nur noch die Informationen, die gerade zufällig auf den Bildschirmen einiger Mitarbeiter waren.

Wer dagegen nach der Kalkulation entscheidet, ein Cyber-Risiko finanziell abzusichern, kann auf spezielle Versicherungen zurückgreifen. Seit einigen Jahren bieten zahlreiche Assekuranzen Pakete an, um Angriffe auf die IT – und vor allem deren Folgen – abzusichern. Ein gutes Dutzend Angebote sind im Netz zu finden. Lange mussten die Branchenvertreter dabei Überzeugungsarbeit leisten, aktuell steigen die gezeichneten Prämien stark. Das Problem für Unternehmen: Die Unterschiede bei den versicherten Schadensfällen sind groß, die Liste mit möglichen Einschränkungen kann es ebenfalls sein [6].

Jedes Unternehmen muss wissen, was seine „Kronjuwelen“ sind, meint Ole Sieverding, der bei dem Spezialversicherer Hiscox tätig ist. (Foto: Hiscox)

Dennoch könne eine solche Police ein sehr wichtiger Baustein im Risikomanagement sein, sagt Berater Lehmeyer: „Gute Versicherungen leisten aktives Schaden-Management, man kauft sich für die Beitragssumme zum Finanzschutz auch ein Notfallteam ein“, so der Experte. Denn damit es möglichst selten zu einem Schadensfall kommt, sind bei vielen Versicherern etwa umfangreiche Krisenpläne oder Online-Weiterbildungen inklusive. Viele Angebote umschließen dazu tatsächlich eine Art „rotes Telefon“, wie es Versicherungsspezialist Sieverding beschreibt. „Über die Krisenhotline helfen Cyber-Krisenexperten dem Versicherungsnehmer unmittelbar im Schadensfall.“ Bei einer Attacke stehen dann sofort kooperierende IT-Sicherheitsunternehmen parat, um möglichst schnell Hilfe zu leisten und den Schaden einzudämmen. „Wichtig ist, dass im Krisenfall sofort Unterstützung verfügbar ist und man nicht anfangen muss, selbst in den Gelben Seiten zu blättern“, sagt Lehmeyer. Rechnen könne sich das schnell, so der Berater: Für kleinere Unternehmen sei – je nach Risikoprofil – ein Jahresbeitrag von circa 1.400 Euro realistisch. Der Tagessatz eines einzelnen IT-Experten im Notfall liege davon nicht allzu weit entfernt.Viel günstiger, so scheint es, sind in der Cyber-Welt nur die Angriffe selbst zu haben.