Foto: Symantec
Vater Staat als Beschützer vor Hackern? Manager glauben daran. Das geht jedenfalls aus dem "Critical Infrastructure Protection (CIP) 2010 Report" hervor, für den der Sicherheitsanbieter Symantec 1580 Unternehmen aus 15 Ländern befragt hat. Aus Deutschland haben 52 Firmen teilgenommen.
Alle Teilnehmer verfügen laut Symantec über eine Infrastruktur, die "so bedeutsam ist für Wirtschaft und Gesellschaft, dass eine erfolgreiche Attacke die nationale Sicherheit ernsthaft bedrohen würde." Sie stammen aus den Branchen Energie, Finance, Healthcare, IT, Kommunikation und Notfalldienste (Emergency Services).
Mehr als jedes zweite dieser Unternehmen (53 Prozent) erklärt, mindestens einmal von Hackern angegriffen worden zu sein, die ein "bestimmtes politisches Ziel" verfolgten. Im Schnitt verzeichneten sie zehn Übergriffe in den vergangenen fünf Jahren. Acht von zehn Entscheidern gehen davon aus, dass solche Attacken zunehmen.
Hilfe suchen die Betroffenen bei staatlichen Stellen. Neun von zehn Studienteilnehmern erklären, hinsichtlich eines Schutzprogramms für kritische Infrastrukturen mit einer staatlichen Einrichtung zusammenzuarbeiten. Über die Hälfte von ihnen (56 Prozent) tut das nach eigenen Worten engagiert bis sehr engagiert.
Foto: Symantec
Bei den Attacken geht es darum, das Computernetzwerk lahmzulegen (33 Prozent der Nennungen) oder physische Anlagen durch Zugriff auf das Netz zu manipulieren (32 Prozent). Außerdem versuchen Cyber-Kriminelle, Daten zu zerstören oder zu stehlen (ebenfalls jeweils 32 Prozent).
Im Schnitt verursachten die Angriffe pro Unternehmen einen Schaden von schätzungsweise 600.000 Euro. Diese Zahl bezieht sich auf die vergangenen fünf Jahre.
Nur rund ein Drittel der Befragten fühlt sich "bestmöglich" auf Cyber-Attacken jeder Art vorbereitet. Dabei sieht sich der Energiesektor am besten gerüstet, die Kommunikationsbranche am schlechtesten.
Kritik an zu wenig Sicherheitstrainings
Inwieweit hier der Staat helfen kann, sei dahingestellt. Denn auf die Frage, wo sie Verbesserungspotenzial sehen, antwortet mehr als jeder Fünfte (21 Prozent), es gebe keine oder zu wenig Sicherheits-Trainings innerhalb der Firma. Fast ebenso viele (19 Prozent) monieren, die Geschäftsleitung kümmere sich zu wenig um das Thema. Die Probleme liegen also bei den betroffenen Unternehmen selbst.
Eine andere Sicht auf die Frage der Sicherheit von Infrastrukturen hat Marco di Filippo, der beim Schweizer Anbieter Compass Security das Deutschland-Geschäft leitet. Seine These: Cyber-Kriminelle könnten leicht die Bundesrepublik Deutschland lahmlegen. Der Grund: Knapp 80 Prozent des Telefonfestnetzes seien in der Hand eines Anbieters, und auf deutschen Desktops herrsche Monokultur.
Di Filippo nahm den bundesweiten Totalausfall des T-Mobile-Netzes Ende April 2009 zum Aufhänger. Fast 40 Millionen Deutsche hatten stundenlang keinen Handy-Empfang. Laut T-Mobile hat ein Software-Fehler im Home Location Register (HLR) die Störung verursacht. Das HLR verbindet die Mobilfunkstation mit der zugehörigen Mobilfunknummer. Glaubt man Compass Security, können auch Cyber-Kriminelle einen solchen Ausfall herbeiführen.
Weniger Zentralisierung, mehr Sicherheit
Der Sicherheitsanbieter plädiert daher für eine Dezentralisierung. Er appelliert an IT-Entscheider, "deutsche Entwicklungen zu fördern, sich untereinander zu vernetzen und dezentral zusammenzuarbeiten. Nur so kann den Monokulturen und somit der Angriffsfläche, die die BRD bietet, entgegengewirkt werden".