Digitalisierung

Jedes zehnte Unternehmen in Deutschland war 2022 Opfer von Hackern

Die Dunkelziffer liegt laut Experten noch viel höher, weil Angriffe aus Angst vor Rufschädigung häufig verheimlicht werden.

Der jüngste Notfallplan musste Anfang des Monats in Bad Homburg vor der Höhe ausgelöst werden. Dort vor den Toren Frankfurts hat die Deutsche Leasing ihren Hauptsitz. Die Leasingtochter der deutschen Sparkassen startete ihr Notfallprotokoll, nachdem sie einen schweren Hackerangriff auf ihre Computer bemerkt hatte.

Kurzerhand schaltete sie den kompletten Zugriff auf ihre Systeme ab. Die etwa 2500 Mitarbeiter des Unternehmens wurden Anfang vergangener Woche gebeten, nicht ins Büro zu kommen. Seitdem ist die Deutsche Leasing wie gelähmt. Das Unternehmen arbeite „zusammen mit externen IT-Sicherheitsberatern und den Ermittlungsbehörden unter Hochdruck daran, den Angriff zu analysieren und Spuren zu sichern“, heißt es in einer Stellungnahme.

Die Deutsche Leasing hat ihren Fall öffentlich gemacht, er wäre nach der Aufforderung an die Mitarbeiter auch kaum zu verheimlichen gewesen. Doch die große Mehrheit der erfolgreichen Cyber-Attacken kommt nie ans Tageslicht. Experten haben das schon lange vermutet. Doch eine repräsentative Umfrage des TÜV-Verbandes offenbart nun das Ausmaß der Dunkelziffer: Mehr als jedes zehnte Unternehmen in Deutschland mit mehr als zehn Mitarbeitern war im vergangenen Jahr von einem IT-Sicherheitsfall betroffen. Dazu zählen erfolgreiche Cyber-Angriff und andere sicherheitsrelevante Vorfälle wie Sabotageakte oder Hardware-Diebstahl. Das entspricht mehr als 50.000 Vorfällen.

Wie verletzlich die deutsche Wirtschaft ist, blieb bisher weitgehend im Verborgenen. Denn der TÜV Cybersecurity Studie zufolge entscheiden sich mehr als acht von zehn Unternehmen, die erfolgreichen Attacken zu verheimlichen, zum Teil aus Angst davor, ihren Ruf zu ruinieren. Nur elf Prozent der Unternehmen, die einen erfolgreichen Angriff erleiden mussten, informierten freiwillig die Öffentlichkeit. Weitere vier Prozent mussten den Vorfall publik machen, weil sie gesetzlich dazu verpflichtet waren. Das ist beispielsweise der Fall, wenn personenbezogene Daten abfließen.

Somit stehen Opfer von größeren Hacker-Attacken, wie im vergangenen Jahr der Rüstungskonzern Rheinmetall, die Deutsche Presse Agentur oder die Autowerkstattkette ATU, für eine Minderheit, deren Angriffe öffentlich geworden sind. Aber auch der Autovermieter Sixt, das Hotelunternehmen H-Hotels und der Babynahrungshersteller Hipp waren betroffen.

„Neben kriminellen Hackern verstärken staatliche Akteure ihre Aktivitäten, um an sensible Daten zu gelangen, Geld zu erpressen oder Unternehmen zu sabotieren“, sagte Johannes Bussmann, Präsident des TÜV-Verbandes.

Tatsächlich ist derzeit die deutsche Wirtschaft besonders bedroht. „Sowohl die weltpolitischen Spannungen als auch technologische Trends wie die Verbreitung künstlicher Intelligenz sind eine Gefahr für die Cybersicherheit der Unternehmen in Deutschland“, sagte Bussmann. Insbesondere auch der Krieg in der Ukraine habe das Risiko von Cyber-Angriffen in der deutschen Wirtschaft stark erhöht.

Mehr als jedes vierte Unternehmen geht davon aus, dass es innerhalb der kommenden zwölf Monate zu einem schweren Vorfall bei der IT-Sicherheit in ihrem Unternehmen kommt. Bei großen Unternehmen mit mehr als 250 Mitarbeitern sind es sogar 44 Prozent der Firmen. Aus Sicht der Befragten geht die größte Gefahr von der organisierten Cyberkriminalität aus. Fast sechs von zehn Unternehmen nennen diese organisierten Hacker-Banden an erster Stelle. Gut vier von zehn Unternehmen sehen staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. Und mehr als jedes fünfte Unternehmen fürchtet sich vor Innentätern, also Mitarbeitern, die über interne Kenntnisse des Unternehmens verfügen und sie bei einem Angriff ausnutzen könnten.

Die Schäden durch die Angriffe sind groß. Zwar nennt die TÜV-Studie hier keine Summe. Aber mehr als vier von zehn Unternehmen erlitten nach eigenen Angaben finanzielle Einbußen. Außerdem seien Dienste für Mitarbeiter und Kunden nicht erreichbar oder sogar die Produktion ausgefallen. Bussmann sprach von Kosten „in mehrstelliger Milliardenhöhe“. In einer Studie vom Digitalverband Bitkom aus dem vergangenen August war von jährlichen Kosten in Höhe von 203 Milliarden Euro für die deutsche Wirtschaft die Rede. Jedes zweite Unternehmen fordert den Gesetzgeber zum Handeln auf, um die Vorgaben für die Cybersecurity von Unternehmen zu erhöhen. So soll mit dem Cyber Resilience Act die digitale Sicherheit integraler Bestandteil aller vernetzen Produkte werden. Noch ist er aber nicht verabschiedet.