Berlin. Wenn Cyber-Kriminelle zuschlagen, liegt der Schaden im Mittelstand pro Fall im Schnitt bei 80.000 Euro. Präventiv getan wird zu wenig.

Als das Leck auffiel, hatten sie ihre Spuren längst verwischt. Unbemerkt schlichen sich die Diebe im Frühjahr 2015 in das IT-System des Deutschen Bundestags. Die Hacker hatten Trojaner ins Netzwerk eingeschleust und Daten abgezweigt. Wer hinter dem Angriff steht, lässt sich bisher nicht eindeutig sagen. Der Angriff gehört zu den schwerwiegendsten Datendiebstählen des vergangenen Jahres. Für Furore sorgten auch die Attacken auf ein Online-Dating-Portal, bei dem Informationen zur Kundschaft erbeutet wurden oder geknackte Kreditkartenkonten. Hinzu kommen unzählige gehackte E-Mail-Konten und lahmgelegte Webseiten.

Bisher ist nur jede fünfte Firma gegen Cyberangriffe versichert

Unternehmen werden immer häufiger Opfer von Datenkriminellen. Jeder zehnte Mittelständler wurde 2015 mindestens einmal Opfer einer Attacke aus dem Internet, wie eine Umfrage der Beratungsgesellschaft Price­waterhouseCoopers (PwC) unter 400 Unternehmen mit bis zu 1000 Mitarbeitern ergab. Im Durchschnitt entstand bei jedem Angriff ein wirtschaftlicher Schaden von 80.000 Euro. In einzelnen Fällen summierte er sich sogar auf mehr als 500.000 Euro. Ein Jahr zuvor hatten betroffene Unternehmen in den meisten Fällen ihre Schäden noch auf weniger als 10.000 Euro beziffert.

Zugleich rüsten sich viele Unternehmen nur unzureichend gegen die Cyberkriminalität, meint Peter Bartels, Vorstandsmitglied von PwC: „Viele Mittelständler haben den Ernst der Lage noch nicht erkannt und verfügen weder über ausreichende technische Sicherheitsmaßnahmen, noch über einen angemessenen Versicherungsschutz.“ Bisher sei nur jede fünfte Firma gegen Cyberangriffe versichert.

Täglich registriert die Behörde 2000 bis 3000 Datenangriffe

„Es sind kriminelle Organisationen, die das Netz attackieren“, sagt Michael Hange, langjähriger Chef des Bundesamtes für Sicherheit in der Informationstechnik (BSI), dessen Amt im Februar Arne Schönbohm übernehmen wird. „Wir müssen uns verstärkt auf hochwertige Angriffe einstellen.“ Zwischen 2000 und 3000 Angriffe zählt seine Behörde pro Tag. Meistens handelt es sich nicht um gezielte Attacken. Die Programme der Hacker schicken wahllos Viren ins Netz, die Schadsoftware in­stallieren sollen.

Das große Geld wittern Datenkriminelle, wenn sie in die Systeme von Banken, Kreditkartenanbietern und Unternehmen eindringen. Für Aufregung sorgte im Herbst die Nachricht, dass das bisher als weitgehend sicher geltende Onlinebanking per SMS-Tan geknackt wurde. Betroffen waren Kunden, die sich für eine Überweisung am Rechner eine sogenannte mTan per Nachricht auf das Handy schicken ließen. Experten gehen von einem Schaden in Höhe von rund einer Million Euro aus. Zudem konnten IT-Spezialisten vor Kurzem nachweisen, dass auch das EC-Kartensystem mit einfachen Mitteln geknackt werden könne. Theoretisch wären sie sogar in der Lage gewesen, Konten beliebiger Händler und Geschäfte zu plündern.

„Gegen Datendiebe ist kein Kraut gewachsen“, sagt IT-Sicherheitsexperte Sandro Gaycken. Der ehemalige „Hacktivist“ berät Behörden und Unternehmen und versucht ein Bewusstsein dafür zu schaffen, dass die Datensicherheit ganz oben auf die politische Agenda gehört. Hacker würden ständig versuchen, in die Sicherheitssysteme von Organisationen einzudringen.

Jahrzehntelang wurde die Sicherheit eher vernachlässigt

Dennoch stößt der Experte bei seinen Beratungen auf Widerstand. Über Jahrzehnte seien Anwendungen, Betriebssysteme oder die Hardware völlig sicherheitsfeindlich entwickelt worden. „Der Schwerpunkt lag auf der Geschwindigkeit und der Belastbarkeit der Rechner“, so Gaycken. Erst langsam würden Unternehmen und Behörden das Thema Sicherheit verstärkt angehen. „IT-Abteilungen wollen oft nicht hören, welche Fehler sie gemacht haben.“

Große Sicherheitslücken gibt es auch bei Smartphones. Mangelnde Transparenz würde auf mangelndes Technik-Know-how der Nutzer stoßen, sagt Hange vom BSI. Er appelliert an die Softwarehersteller, regelmäßig Updates zu Programmen zu liefern und die Kundschaft besser aufzuklären. Auch Experte Gaycken plädiert für „nutzerfreundliche“ Sicherheitsanweisungen. „Den Anwender darf man nicht in die Verantwortung nehmen, wenn es ein Datenleck gibt“, sagt er. „Ein normaler Nutzer kann nicht ständig sein Passwort ändern oder komplizierte Schutzprogramme installieren.“ Die Datendiebe zu fassen, ist fast unmöglich. Häufig wird eine falsche Fährte beispielsweise nach China gelegt. Viele Kriminelle operieren über Asien. Zumindest virtuell. In der Realität sitzen sie oft an ganz anderen Orten.

Verbraucherschützer raten, Datendiebstahl anzuzeigen

Verbraucherschützer fordern daher Nutzer auf, sich verstärkt um den Schutz ihrer Daten zu kümmern. Dazu zählt, sich genau zu überlegen, welche Informationen ins Netz gehören und welche nicht. Es sollten nicht zu viele Informationen preisgegeben werden. Der echte Name oder das Geburtsdatum seien in vielen Fällen nicht notwendig, heißt es bei den Experten der Verbraucherzentrale Bundesverband (vzbv). Es sei denn, es handelt sich um Zahlungsinformationen. Fliegt ein Identitätsdiebstahl auf, sollten Verbraucher diesen auf jeden Fall bei der Polizei anzeigen.

Die zuständige Bundesbehörde BSI soll wiederum mehr Personal erhalten. Schließlich haben die Datenhacker bereits die sogenannte „kritische Infrastruktur“ im Blick. Und welche Folgen ein Angriff auf die Stromversorgung oder die Wasserzufuhr hätte, mag sich niemand wirklich vorstellen.