Die Zahl hat es in sich: 55 Prozent der Unternehmen mit mehr als 1000 Mitarbeitern glauben oder wissen, dass sie im vergangenen Jahr Opfer eines Cyber-Angriffs waren. Bei den Unternehmen mit weniger als 1000 Mitarbeitern sind es zwar nur 18 Prozent. Das kann aber auch an deren Sicherheitsstandards liegen, sagt Ilja Nothnagel, Mitglied der Hauptgeschäftsführung der Deutschen Industrie- und Handelskammer (DIHK). Kleinere Unternehmen würden es daher oft nicht merken, wenn sie Opfer eines Angriffs aus dem Netz werden.
Die Art der Angriffe ist unterschiedlich. Fast ein Drittel der Unternehmen ist nach eigener Auskunft schon mal Opfer eines Spionageversuchs geworden. Mehr als ein Viertel Opfer einer Erpressung oder eines gezielten Versuchs, den jeweiligen Server durch Überlastung lahmzulegen. Datendiebstahl und Sabotage kommen bei etwa jedem fünften Unternehmen vor, berichtet Luise Ritter, die für die DIHK die Umfrage fachlich betreut hat.
Die Sicherheit der Daten sei daher ein wichtiges Thema für die nächsten Jahre, sagt Nothnagel. Zum einen seien die Unternehmen selbst aufgefordert, sich um ihre Sicherheit zu kümmern. Zum anderen müssten die Sicherheitsbehörden so aufgestellt sein, dass sie Angriffe frühzeitig erkennen, anmahnen und die Unternehmen davor beschützen können. Zumal die Art der Angriffe nicht gleichbleibe. Die Angreifer würden ihre Methoden immer wieder weiterentwickeln.
Angesichts der allgemeinen Lage komme der Digitalisierung eine bedeutende Rolle zu, sagt Nothnagel: „Die Wirtschaft ist in der Krise.“ Statt auf die Politik zu schauen, müssten die Unternehmen schauen, was sie für sich tun könnten. Da würden die Möglichkeiten der Digitalisierung etwa dabei helfen, den Fachkräftemangel zu lindern oder die Kosten zu senken. Wobei es nicht genüge, Vorgänge zu elektrifizieren. Digitalisierung könne nur funktionieren, wenn Unternehmen sie dazu nutzten, neue Abläufe zu entwickeln.
Das Stichwort der Stunde lautet Künstliche Intelligenz. Vor drei Jahren hatten noch 39 Prozent der Betriebe angegeben, Künstliche Intelligenz schon einzusetzen oder bald einführen zu wollen. Diese Zahl ist laut DIHK nun auf 61 Prozent angewachsen. Als Beispiel nennt Nothnagel „Chatbots“, die nach Feierabend oder am Wochenende als digitaler Kundendienst weiterhelfen. Auch im Bereich der Gestaltung von Designs nehme die Künstliche Intelligenz den Unternehmen bereits Arbeit ab.
Mit dem Ausbau der Künstlichen Intelligenz werde auch der Datenbedarf weiter explodieren. Aktuell seien 26 Prozent der Unternehmen mit dem Netzausbau unzufrieden. Vor drei Jahren waren es noch 35 Prozent. Doch mit der Zahl der digitalen Möglichkeiten wachse auch der Übermittlungsbedarf. Rückständigkeit führt laut Nothnagel dazu, dass Unternehmen Daten immer noch in Rekordern speichern statt in Clouds, also digitalen Speichern. Mitunter nähmen die Mitarbeiter abends sogar Datenträger mit nach Hause – um sie dort vor dem Zugriff von Angreifern zu schützen. In der Gastronomie, die öfters auf dem Land sitzt, beklagen immer noch 35 Prozent der Unternehmen das lahme Internet in Deutschland.
Die Anforderung an die Politik sei daher, den Breitbandausbau zu fördern. Dabei gehe es gar nicht so sehr um das eingesetzte Geld, sagt Nothnagel. Vielmehr käme es darauf an, dass die Behörden mit zügigen Verfahren den Weg freimachten und sich genügend Arbeiter fänden, den Ausbau in die Tat umzusetzen. Zudem müsse die Politik rechtliche Sicherheit im Umgang mit Künstlicher Intelligenz schaffen.
Wenn man ehrlich ist, verbrennen viele Unternehmen unnötig Geld mit IT. Das fängt schon bei der Pizzeria an, die statt telefonischer Bestellaufnahme auf Internetbestellung setzt und damit ihre Produkte um 1-3€ verteuert. Weder verkauft man dadurch mehr Pizza, noch löst man damit Probleme wie Lieferfehler.
Auch ist ein Chatbot keine KI. Das konnte schon der C64, auf Schlagwörter reagieren und bestimmte Daten erfassen. Und damals wie heute muss trotzdem ein Mitarbeiter draufschauen, ob alles richtig läuft.
Mitunter wundert man sich auch, weshalb Unternehmen ihre gesamte IT ins Internet stellen und sensible Daten nicht effektiv raushalten. Das ist so, als hätte man früher im gesamten Betrieb Mikrofone und Kameras aufgestellt, die pausenlos aufzeichnen und praktisch von jedem genutzt werden können, der die Durchwahl des Hausmeisters kennt.
Es muss auch nicht jeder eine Webseite haben. Hat man vor 20 Jahren noch gelacht, dass bald jedes Klopapier seinen Webauftritt bekommt, ist das ja heutzutage wirklich so.
Es gilt immer noch, willst du deine Daten schützen, dann stell sie nicht ins Internet. Und eine Cloudlösung, was letztlich nur eine gemeinsame Festplatte für alle ist, wird niemals sicher sein, wenn man sie nicht offline betreibt.
„Zum anderen müssten die Sicherheitsbehörden so aufgestellt sein, dass sie Angriffe frühzeitig erkennen, anmahnen und die Unternehmen davor beschützen können.“ Sie folgen aber brav dem BSI, dass den einzigen ernsthaften Anbieter gegen Ransomware verteufelt, weil er seinen Sitz in Russland hat. Dabei sollten sie eigentlich wissen, dass das BSI wie die Bafin arbeitet, die regelmäßig erst dann vor Pleiten warnt, wenn bereits in jeder Zeitung darüber berichtet wird. Zu diesem Thema fällt mir auch noch Wirecard ein, aber lassen wir das, weil sonst der Platz auf dem Server knapp wird.
Der bekannte Blogger und Informatiker Hadmut Danisch erwähnte zu der Problematik häufig die Quotenregelungen.
Grob zusammengefasst würden Unternehmensleitungen, ebenso Behörden, selbst völlig unbedarft von Ahnung in Sachen IT-Sicherheit, zwecks Erfüllung irgendwelcher Quotenregelungen noch ahnungsloseres Personal einstellen. Hauptsache Quote ist erfüllt, die Software gegendert und Medien sowie Politik applaudieren blöd-grinsend dazu.
Tja, und dann hat man den Salat.
Lektüre des Blogs ist sehr lohnend zu dem Thema, Prädikat: Empfehlenswert.
Da ich in dem Metier IT-Sicherheit/Netzwerktechnik mit involviert bin als Cloud Engineer, nur so viel:
Die allerwenigsten Probleme kommen vom Netzausbau.
Das fängt schon bei grundlegenden Fehlern an.
Unternehmen wollen nicht in IT-Sicherheit investieren, IT-Sicherheit ist für sie wortwörtlich, Passwörter zu setzen und Firewalls einzusetzen. Gerade viele Mittelständler sind einfach nur geizig, dass es unfassbar ist…Es werden nicht mal randomisierte Passwörter und Passwortmanager verwendet, sondern Klarpasswörter. Und um dem Ganzen noch die Krone aufzusetzen haben viele nicht mal eine einfache zwei-Faktor-Authentifizierung, genauso wenig wie ein vernünftiges black/white-listing.
Viele Unternehmen wollen ja nicht mal einen professionellen Admin einstellen, weil der ja viel kostet und dann dummerweise der Vorstandsbonus ins Wasser fällt…Ganz abgesehen von der sonstigen technischen Ausstattung.Lieber nimmt man den Sachbearbeiter Meyer, der ja ohnehin nur für 40k malochen geht, aber keine Ahnung von IT hat.
Da wird dann gerne noch mit Windows 7 hantiert, was als „modern“ gilt. AD wird nicht vernünftig verwaltet, es gibt nicht mal gescheite Linux-Umgebungen, Ansible und Puppet sind Fremdwörter, DMZ fachchinesisch, was niemand wissen will. Übrigens: Windows selbst ist wegen der Microsoft-Kontakte zur CIA wohl kaum ein sicheres OS. Trotzdem setzen viele Unternehmen darauf, weil man zu faul ist, Mitarbeiter gescheit zu schulen.
Und von Behörden will ich hier gar nicht anfangen. Die hantieren noch mit Passwörtern in irgendwelchen Excel-Listen. Und von sowas wie „Disaster Recovery“ will man auch nichts hören, das ist dann bei den Beamten, dass sie die Festplatte Freitags nach Hause nehmen. Auch toll.
Aber es ist so wie überall anders in Deutschland auch. IT ist immer noch flächendeckend gesehen „Neuland“. Und Dummheit und Inkompetenz verkaufen sich besser als jemand, der seinen Beruf wirklich beherrscht.
Kein Wunder also, dass Deutschland in der IT einen weltweit miserablen Ruf hat.
Übrigens gibt es auch deutsche Unternehmen, die es trotzdem können.
Das mit den Microsoft Kontakten zur CIA habe ich mich nicht getraut, anzusprechen, zumal der Artikel ja zitiert „Rückständigkeit führt laut Nothnagel dazu, dass Unternehmen Daten immer noch in Rekordern speichern statt in Clouds, also digitalen Speichern„.
Hmmm.
Wer betreibt denn diese Clouds eigentlich?
Und was steht da so in den Nutzungsbedingungen für das, was der Unternehmer für „seine“ Daten hält?
Und welchen Behörden müssen diese Cloudanbieter Zugriff gewähren, der vom Betreiber selbst nicht mal nachvollziehbar sein darf?
Zur Ehrenrettung der Plattform-Betreiber: Das steht aber so auch im Deutschen Telekommunikationsdiesntegesetz.
Blöd, wenn ich „meine“ Daten nur noch per Internet erreiche – schwupps – und schon wurde aus meinem Netzwerk ein Subjekt ebendieses Gesetzes.
Aaaaaber: Wir verbannen ja nur chinesiche Netzwerktechnik, weil unter Freunden wird ja nicht spioniert – und schon gar nicht Wirtschaftsspionage betrieben, nicht wahr?
Und wie wir spätestens seit Corona wissen: Wir brauchen keine Privatsphäre, wir haben ja nichts zu verbergen.
P.S.: Die nächste Stufe kommt ja gerade, die heisst dann: Wir brauchen keine Meinungsfreiheit, wir haben ja eh nichts zu sagen.
Nun, die Fachwelt amüsierte sich kürzlich über eine Stellenausschreibung für einen „Windows 3.11 Administrator (m/w/d)“, die über eine große Stellenbörse für IT-Fachkräfte lief (Bericht u.a. im heise.de Newsticker). Zwar war der Endkunde/Auftraggeber nicht genannt, doch ließ das übrige Anforderungsprofil durchaus gewisse Rückschlüsse („Schienennetzbetrieb“) zu.
Dieses Betriebssystem stammt aus dem Jahr 1993 und wird seit spätestens dem Nach-Nachfolger, also seit etwa 25 Jahren nicht mehr mit Sicherheitsupdates versorgt.
Wenn das die IT-Sicherheit in unserer kritischen Infrastruktur ist, möchte ich nicht wissen, wie es in zahlreichen „fachfremden“ (aus IT Sicht) Unternehmen aussieht, wo man traditionell IT nur als lästigen, am Besten auszugliedernden Kostenfaktor begreift.
Sehr aufschlussreich auch der IT-Ausfall nach Hackerangriff der Südwestfalen-IT. Dass man den vertraulichen Abschlussbericht dazu frei auf einer Forumsseite des Kreis Wermelskirchen herunterladen konnte, sorgte dabei nicht einmal für so viel Kopfschütteln wie die eklatanten Fehler, die es einem einfach gestrickten Angriff überhaupt erst erlaubten, das komplette Netz (963 Systeme betroffen) sämtlicher Behörden des Kreises lahmzulegen – über Monate.
Auch die Uni Duisburg-Essen – wo das Netz immerhin von der eigenen Fakultät für Informatik entworfen und administriert wurde und wird – war wegen eines ähnlichen Vorfalls mehrere Monate offline und hat über ein Jahr gebraucht, alle Dienste wieder vollständig herzustellen…
Ich könnte endlos so weiterschreiben und bin daher von dem Bericht alles andere als überrascht.
und sich genügend Arbeiter fänden, den Ausbau in die Tat umzusetzen….das ein mangel an arbeitern mal zu einem großen problem für unsere wirtschaft wird hätte ich nu nicht gedacht (früher).