Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Märkte >

2017: Über acht Milliarden Euro Schaden durch Hacker?

Wieviele Angriffe erfolgreich sind, wenn Hacker zuschlagen, ist nicht bekannt. Zu viele Unternehmen schweigen und zahlen. Wenn nur 10.000 Hacks erfolgreich sind, entsteht der deutschen Wirtschaft im eben begonnenen Jahr ein Schaden von über acht Milliarden Dollar. Wie diese fatale Rechnung zustandekommt.

BÖRSE am Sonntag

Wieviele Angriffe erfolgreich sind, wenn Hacker zuschlagen, ist nicht bekannt. Zu viele Unternehmen schweigen und zahlen.  Wenn nur 10.000 Hacks erfolgreich sind, entsteht der deutschen Wirtschaft im eben begonnenen Jahr ein Schaden von über acht Milliarden Dollar. Wie diese fatale Rechnung zustandekommt.

550.000 Euro an direkten Kosten, dazu knapp 70.000 Euro an indirektem Schaden, dazu theoretische 200.000 Euro für den Imageverlust: soviel kostet jeder einzelne Hack im Durchschnitt. In der Summe sind das 820.000 Euro. Aleksandra Sowa, Expertin für Cybersicherheit, hat sich zum Jahresbeginn dazu Gedanken gemacht:

Wer etwas auf sich hält – und wer hoch hinaus will –, auf dessen Schreibtisch steht es: das Werk des chinesischen Kriegsherrn Sun Tzu. Oder Sunzi, wie man ihn auch nennt. Die Kunst des Krieges – entweder als „vollständiges Original“ mit psychologischen Kommentaren von Gitta Peyn oder die mit einem Vorwort von James Clavell versehene Ausgabe, der all denen „Sunzis fernöstliche Weisheiten“ zugänglich machen möchte, „die Erfolg und Vervollkommnung suchen, die ihr Verhaltungsgeschick verbessern und tiefere Einsichten in menschliches Verhalten gewinnen wollen“. Für den Besucher kunstvoll an einem gut sichtbaren Ort drapiert, die Befähigung des Besitzers, sich im Wirtschaftskrieg behaupten zu können, markierend. Gelegentlich auch in der Originalübersetzung ins Englische von Samuel B. Griffith. Noch seltener, schon aus statistischen Gründen, „Die weibliche Kunst des Krieges“ von Chin-Ning Chu. Und als must-have auf dem iPad: die Ausgabe des Sun Tzu für Manager. Als eBook oder Audiobook, natürlich.

Das letzte, das 13. Kapitel im Sun Tzus Werk über die Kunst des Krieges ist geheimen Operationen gewidmet. Es handelt davon, wie man Spione einsetzt. Und Doppelspione gewinnt. Die sogenannte fünfte Kolumne ist nämlich keine Erfindung der jüngsten Geschichte oder der westlichen Welt – des Zweiten Weltkrieges etwa –, sondern wurde im antiken China erfolgreich eingesetzt. Wie später auch im antiken Griechenland, der Wiege europäischer Zivilisation. „Spione sind im Krieg ein ausnehmend wichtiges Element, denn von ihnen hängt die Fähigkeit der Armee ab, sich bewegen zu können“, schrieb Sun Tzu auf Seite 115 seines Werkes. Obwohl der Westen umfangreiche Erfahrungen in Techniken und Methoden der Spionage sammelte, sind die Bemühungen, diese zu bekämpfen oder ihnen wenigstens wirksam zu begegnen, bisher nur mäßig erfolgreich gewesen.

In der Wirtschaft herrsch schon lange ein Krieg. Ein Wirtschaftskrieg. Und seit Kurzem auch der Cyberkrieg. Der massive Spionageangriff auf den deutschen Konzern ThyssenKrupp, der im Februar erfolgte, seit April dem Unternehmen und seit wenigen Wochen auch der Öffentlichkeit bekannt ist, soll nur eines der vielen Beispiele dafür sein, welchen Gefahren die Unternehmen – aber auch die sich nun fast vollständig in privater Hand befindlichen kritischen Infrastrukturen des Landes – ausgesetzt sind. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Meldestelle für Sicherheitsvorfälle nach dem ITSiG, das nun laut Medienberichten zur Cyber-Sicherheitsstrategie 2016 des Bundesministers des Innern (BMI) zu einer zentralen IT-Sicherheitsbehörde des Bundes aufgewertet werden sollte, seien mehrere Fälle bekannt, in denen Unternehmen in Deutschland von internationalen Hackerbanden infiltriert wurden, bestätigte das BSI auf Anfrage der Wirtschaftswoche. Welche? Das dürfte, konnte oder wollte das BSI nicht sagen.

ThyssenKrupp soll mit internen Kräften mehrere Monate lang gegen die Cyberspione gekämpft und nach Ursachen geforscht, seine IT-Systeme bereinigt, Lücken geschlossen und Spuren verfolgt haben. Damit die Angreifer aus internen Systemen vertrieben werden und solche Vorfälle – wenigstens unter Berücksichtigung aktueller Gefährdungen – nicht mehr stattfinden. ThyssenKrupp rüstet den Medienberichten zufolge gegen potentielle künftige Angriffe auf. Dies ist keine neue Strategie: Viele Unternehmen investieren nach einem Angriff verstärkt in die Verbesserung ihrer internen Sicherheitskontrollen und führen Maßnahmen nach dem Stand der Technik ein.

820.000 Schaden pro Hack – im Durchschnitt

Kaspersky Lab hat in einer aktuelle Studie über Sicherheitsvorfälle mehr als 5.500 Unternehmen befragt und fand heraus, dass die durchschnittlichen Kosten, die ein Unternehmen mit mehr als 1.500 Beschäftigten im Jahr 2015 pro Cyberattacke ausgegeben hat, mehr als 550.000 Dollar betrugen. Dies sind nur die direkten Kosten (Kosten für Mitarbeiter und externe Firmen bzw. IT-Forensik, Anwälte und Berater, Kosten für Geschäftsausfälle und entgangene Geschäfte). Indirekte Kosten umfassen knapp 70.000 Dollar für zusätzliches Personal und Neueinstellungen, Erneuerung der Infrastruktur und Implementierung von Sicherheitsmaßnahmen und allem, was folgt.

Das Verhältnis für KMUs ist 38.000 zu 8.000 (für a posteriori Sicherheit, Sicherheitskontrollen, Personal und Maßnahmen). Unternehmen stocken oft erst nach dem Sicherheitsvorfall die Technik auf und investieren dann verstärkt in die Wiederherstellung des angekratzten Images. Kaspersky Lab hat die Kosten des Imageverlustes infolge eines Sicherheitsvorfalls erstmalig geschätzt, unter Berücksichtigung von Kosten für Kommunikations- und PR-Berater, externe Consultingunternehmen, Verlust am Wert der Marke, Kommunikation und entgangene Deals. Die durchschnittlichen Kosten durch Imageverlust betrugen für Großunternehmen mehr als 200.000 Dollar.

Dennoch wurden ThyssenKrupp Dokumente, Informationen und Unterlagen entwendet. Teile von Informationen, so teilte das Unternehmen genauer mit. Das technische Profil, das ThyssenKrupp von den Tätern erstellt hat, passt zu einer internationalen Hackergruppe mit dem Codenamen „Winnti“. Oder zu jemandem, der die Techniken und Tools der Gruppe verwendet, die sich ursprünglich auf Hacking von Gaming-Plattformen spezialisiert hat. Ob sie ihre Aktivitäten auf Cyberspionage ausgeweitet oder Nachahmer gefunden haben, lässt sich nicht so leicht feststellen.

Nicht nur im Fall ThyssenKrupp. Es ist insgesamt sehr schwierig – wenn nicht unmöglich –, die Herkunft und Identität der Angreifer festzustellen. Je besser der Angriff vorbereitet ist und durchgeführt wird, desto professioneller verwischen die Angreifer ihre Spuren. Oder legen falsche, die IT-Forensiker und Incident-Manager in die Irre führen sollten. In Deutschland organisieren sich die Unternehmen entweder in exklusiven Klubs, die das Wissen über die Cyberangriffe und Cyberweapons nur dem Kreis ausgewählter Mitglieder, die es sich leisten können, zur Verfügung stellen, oder fordern vom Staat Maßnahmen und Aktivitäten, damit sie besser geschützt werden. Selbstbewusst, denn genau das hat das BMI den Unternehmen in seiner Cyber-Sicherheitsstrategie 2016 versprochen.

Es sind Fakten wie diese, die Sicherheitsexperten dazu bringen, für das kommende Jahr eher skeptische Prognosen aufzustellen und die Lippenbekenntnisse der Unternehmen als solche zu enthüllen: „I don’t do security prediction stories. But if I did, here’d be mine: Gobs of companies will continue to pay only lip service to security”, verkündete Brian Krebs via Twitter. Und Sebastian Schreiber resümierte im Interview mit der Wirtschaftswoche: „Datensicherheit wird nicht hinreichend ernst genommen. Entwendete Daten und Geschäftsgeheimnisse sind eine große Bedrohung für Unternehmen, dennoch greifen sie oft zu der günstigsten und bequemsten Lösung. Doch diese ist meistens nicht die beste.“

Und der Staat?

Nun, die deutsche Regierung plant angesichts der vielen Hinweise und aufgrund fehlender Beweise, den Cyberspionage-Attacken aus China wie den (jetzt schon antizipierten) politisch motivierten Attacken auf Bundestagswahlen aus Russland mit präventiven Gegenanschlägen zu begegnen. Mit Konzepten wie Cyber-NATO und para-militärischer Kalter-Krieg-Rhetorik. Und ohne Personal, denn für gut ausgebildete Leute kann sie – oder will sie – nicht zahlen. Die Gehälter seien niedriger als in der Wirtschaft, deswegen bekäme man eben keine guten Leute, heißt es aus den Ministerien. Die Lage in der Wirtschaft scheint dennoch nicht wesentlich besser: Jahrelang behandelte man die IT als Zitrone, die man nur auspressen musste. Konsequenz: Es fehlt erfahrenes Personal, dafür stapeln sich Jobanzeigen, mit denen schnell und vor allem billig neues Personal – der omnipräsente „Junior“ – angeworben werden sollte.

So kam es, dass die fähigsten Hacker eben nicht für die Deutschen arbeiten. Karl-Koch-Syndrom heißt dieses Phänomen, benannt nach einem der berühmtesten deutschen Hacker, der noch zu Zeiten des Kalten Krieges seine Dienste dem KGB verkaufte. Glücklicherweise war der vom Embargo geplagte russische Geheimdienst nur an Software interessiert und konnte mit den ihm von Koch überlassenen Magnetbänden, auf denen alle denkbaren Sicherheitslücken und Schwachstellen in der sich damals im Einsatz befindlichen Software und in Betriebssystemen gespeichert waren, nicht viel anfangen. Im Übrigen ebenso wenig, wie davor der deutsche Verfassungsschutz, der die von Mitgliedern des Chaos Computer Clubs gelieferten Sicherheitshinweise einfach ignorierte. „Hacker fanden sich plötzlich wieder im Spannungsfeld zwischen Ost und West, in einem geheimen Krieg um Informationen, die für die Zukunft entscheidend sein sollten – wie auch heute wieder“, subsumierten Stefan Aust und Thomas Ammann in Digitale Diktatur, Seite 222. Eventuell fand jemand auf einem verstaubten Regal eines vergessenen KGB-Lagers nun das Magnetband wieder und machte daraus Gebrauch.

Es wäre nicht verwunderlich, wenn viele der Sicherheitslücken, die in den späten 1980er identifiziert wurden, immer noch nicht geschlossen wären. Und wenn die Hacker aus China und Russland tatsächlich so gut und gefährlich sind, wie uns das Innenministerium glauben machen möchte, dann könnte man versuchen, sie für die eigene gute Sache zu gewinnen. Das wäre eine Taktik, die der Kriegsherr Sun Tzu begrüßen dürfte: „Feindliche Spione, die gekommen sind, um uns auszuspionieren, müssen entdeckt werden, bestochen, fortgeschafft und angenehm untergebracht werden. So werden sie zu umgedrehten Spionen und stehen dann zu unseren Diensten“ , schrieb er.

Die englische Übersetzung The Art of War enthält neben dem Originaltext auch Kommentare von Tu Mu’s (803 – 852) dazu, wie man geeignete Kandidaten erkennt: „The first essential is to estimate the character of the spy to determine if he is sincere, truthful, and really intelligent. Afterwards, he can be employed …“ Wurde er für intelligent, ehrlich und aufrichtig befunden, kam das Geld ins Spiel. Denn es sei „grundlegend, dass der übergelaufene Spion äußerst großzügig behandelt wird“, wiederholt immer wieder Sun Tzu. Ob Codemaker oder Codebreaker, ob sie nun in Hardware, Bitcoins oder schnöden Euros bezahlt werden – besser wäre es, sie würden belohnt. So würde der kluge General handeln. Und das wäre auch für die Sicherheit besser.