Frankfurt am Main. Das unbedachte Öffnen eines harmlos wirkenden E-Mail-Anhangs kann schon reichen, um ein ganzes Unternehmen für geraume Zeit lahmzulegen. Das ist nur ein Beispiel: Etwa jede zehnte Firma hierzulande war in den vergangenen zwölf Monaten von einem IT-Sicherheits­vorfall betroffen. Das geht aus einer Ipsos-Umfrage im Auftrag des TÜV-Verbandes hervor, die am Montag vorgestellt wurde. Und das Problem wird wachsen, vor allem wegen künstlicher Intelligenz.

Ende voriger Woche wurde bekannt, dass die Sparkassen­tochter Deutsche Leasing gerade durch eine Cyber­attacke für mehrere Tage fast komplett lahmgelegt worden war. Zuvor hatte es die Autowerkstatt­kette ATU erwischt. Und im April hatte der Rüstungs- und Auto­zuliefer­konzern Rheinmetall von einem IT-Vorfall im zivilen Geschäft des Unternehmens berichtet.

Die repräsentative Ipsos-Befragung unter Betrieben mit mindestens zehn Beschäftigten hat ergeben, dass es bei Unternehmen von dieser Größe im vergangenen Jahr bundesweit mindestens 50.000 Vorfälle gegeben haben muss. Phishing ist die am weitesten verbreitete Angriffs­taktik. Also mit gefälschten E-Mails, die vermeintlich von einer vertrauens­würdigen Organisation oder Firma – wie DHL – kommen und ein dringendes Anliegen formulieren, etwa die Begleichung einer Rechnung.

Woher die elektronische Post tatsächlich stammt, ist in der Regel nur sehr schwer nachvollziehbar. Für Johannes Bussmann, Präsident des TÜV-Verbandes, ist aber klar: „Sowohl die weltpolitischen Spannungen als auch technologische Trends wie die Verbreitung künstlicher Intelligenz sind eine Gefahr für die Cyber­sicherheit der Unternehmen.“ Besonders groß ist die Angst vor organisierten Hackerbanden, denen es häufig darum geht, Firmennetze zu kapern, um Geld zu erpressen.

Viele Firmen schweigen aus Angst vor Reputationsverlust

Doch die Ipsos-Studie zeigt auch, dass mehr als ein Viertel der befragten Unternehmen sich von Internet­kriminellen im staatlichen Auftrag bedroht fühlt. So kursiert die Vermutung, dass IT-Spezialisten im Auftrag der russischen Regierung nicht nur Wirtschafts­spionage, sondern auch relativ wahllos Sabotage betreiben, um hiesigen Unternehmen zu schaden. Sicherheits­experten gehen zudem davon aus, dass auch die Zahl der Angriffe aus China wächst.

Wie die realen Dimensionen der Cyber­kriminalität sind, lässt sich nur schwer schätzen, die Dunkelziffer ist hoch, da viele Firmen aus Angst vor Reputations­verlust die Vorfälle nicht publik machen. Deshalb ist auch über die genaue Höhe der Schäden wenig bekannt. Und dabei spielen nicht nur Lösegeld­zahlungen eine Rolle, sondern auch entgangene Geschäfte und natürlich die Kosten für die Schadens­behebungen. Es handele sich um „mehrstellige Milliarden­beträge“, so der Chef des TÜV-Verbandes.

ChatGPT hilft Kriminellen

Klar ist indes für Bussmann, dass es mehr werden wird: Phishing bekomme mit KI-Anwendungen wie ChatGPT eine neue Dimension. Denn damit wird es wohl mit Mails mit schrägen Formulierungen, die Phishing­versuche leicht erkennbar machen, bald vorbei sein. Und: Bei künftigen Attacken, die mit KI arbeiten, dürfte es sich um noch weit raffiniertere Methoden handeln, um in die IT-Systeme von Firmen einzudringen. Das Fatale dabei ist, dass schon heute oft über Monate nicht erkannt wird, dass sich Unberechtigte eingeschlichen haben – so wie kürzlich beim Autozulieferer Conti geschehen, als riesige Datenmengen gestohlen wurden.

Indes ist mit den steigenden Gefahren auch vielfach die Aufmerksamkeit der Firmen gestiegen. Die Ipsos-Studie zeigt, dass drei von zehn Unternehmen erwarten, in den kommenden zwölf Monaten ins Visier von Cyber­kriminellen zu geraten. Entsprechend stocken zwei von drei mittelgroßen Unternehmen (50 bis 249 Beschäftigte) ihre Budgets für Cyber­sicherheit auf, bei einem Viertel gibt es sogar deutliche Erhöhungen.

Kleine Unternehmen ignorieren die Bedrohung

Unterentwickelt ist der Hacker-Schutz hingegen bei kleineren Unternehmen. Hier hat ein rund Viertel der Verantwortlichen das Thema noch gar nicht auf dem Schirm oder hält es für nicht relevant. So bestätigt denn auch Gerhard Schabhüser, Vizechef des Bundesamtes für Sicherheit in der Informations­technik (BSI): „Gerade in kleineren Unternehmen hat die Cyber­sicherheit noch nicht den Stellenwert, den sie einnehmen sollte.“ Dabei stünden die passenden Maßnahmen zur Verfügung; sie müssten nur umgesetzt werden. Das passt zu der Vermutung von Branchen­kennern, dass diese Firmen Investitionen in sichere IT häufig scheuen, weil sie Wettbewerbs­nachteile wegen höherer Kosten befürchten. Bussmann verlangt jedenfalls Unterstützung für die Kleinen beim Aufbau von Sicherheits­systemen.

Der innenpolitische Sprecher der FDP-Bundestags­fraktion, Manuel Höferlin, sagt dem RND: „Unter anderem müssen wir das BSI zu einer zentralen Stelle für die Cyber­sicherheit ausbauen und unabhängiger aufstellen. Denn Cyber­sicherheit ist die Achillesferse der Informations­gesellschaft.“

Abhilfe könnten auch einheitliche Bestimmungen schaffen, die für alle gelten. Die EU plant schon länger einen „Cyber Resiliance Act“ und einen „KI Act“. Beides müsse so schnell wie möglich beschlossen werden, um seine Wirkung entfalten zu können. Wichtig ist dabei aus Sicht des TÜV-Verbandes, dass alle sicherheits­kritischen Produkte verpflichtend von unabhängigen Stellen geprüft werden – eine wohl nicht ganz uneigennützige Forderung.