Viele kleinere und mittelgroße Unternehmen in Bayern sind nicht ausreichend vor kriminellen Cyberangriffen sowie digitaler Spionage und Sabotage geschützt. Das wurde bei einer Fachanhörung im Wirtschaftsausschuss zur IT-Sicherheit in der bayerischen Wirtschaft deutlich.

Nach Angaben der Vizepräsidentin der IHK für München und Oberbayern, Dagmar Schuller, hat nur ein Drittel der Betriebe mit weniger als 20 Beschäftigten eigene Cyberschutzpläne. Gerade kleinere Unternehmen würden die Prävention entweder aus Kostengründen oder wegen fehlender personeller Ressourcen vernachlässigen und erst im Schadensfall reagieren. Politik und Wirtschaftsverbände sollten deshalb Maßnahmen zur Stärkung der Prävention flächendeckend mehr unterstützen, mahnte Schuller an.

Nach Einschätzung von Holger Blumberg, Chef der IT-Abteilung bei der Oberpfälzer Krones AG, einem weltweit führenden Hersteller von Getränkeabfüllanlagen, sind Großunternehmen im Regelfall vergleichsweise gut gegen Cyberangriffe abgesichert. Sein Unternehmen beschäftige allein 400 IT-Spezialisten dafür. Viele kleine Mittelständler hätten dagegen – wenn überhaupt – nur einen Mitarbeiter für die IT-Sicherheit abgestellt. Der erforderliche Rund-um-die-Uhr-Schutz der betrieblichen Systeme sei so nicht zu gewährleisten. Mangels eigener Expertise versuchten kleinere Unternehmen deshalb häufig, ihre Sicherheit durch externe Anbieter zu verbessern. „Da wird leider oft viel Geld für fadenscheinige Berater ausgegeben“, berichtete Blumberg.

Marc Luczak, Leiter der Informationssicherheit bei BMW Financial Services, nannte die wichtigsten Motive für Cyberattacken. Häufig würden Angreifer mit Ransomware Betriebsdaten verschlüsseln und den Zugriff auf betriebliche IT-Systeme sperren, um für die Freigabe der Daten ein Lösegeld zu verlangen. Ein weiterer Grund für Attacken sei klassische Industriespionage, ein anderer die Zerstörung von Daten, um dem betroffenen Unternehmen möglichst großen Schaden zuzufügen.

Als Haupteinfallstore für Cyberangreifer zählte die Computerwissenschaftlerin Haya Schulmann von der Goethe Universität Frankfurt auf: im Hintergrund laufende, veraltete IT-Systeme, digitale Lieferketten, fehlende oder falsch konfigurierte IT-Sicherheitsmechanismen und mangelhaftes IT-Management in den Unternehmen.

„Die Unternehmen müssen IT-Sicherheit als Primärziel und nicht als Nebenaspekt verstehen“, mahnte Schulmann. Damit sich kleinere und mittlere Unternehmen besser vor Cyber-angriffen schützen können, rief Blumberg zu stärkerer staatlicher Unterstützung auf. Eine wichtige Hilfe könnte die Förderung der Anschaffung von Schutz-Software und finanzielle Unterstützung beim Einsatz professioneller Dienstleister sein. Nützlich wäre zudem die Gründung einer „schnellen Eingreiftruppe“ von Fachleuten, auf die Unternehmen im Notfall rasch zugreifen könnten. Schulmann sprach sich für die Einführung gesetzlich festgeschriebener Mindeststandards aus. Es zeige sich, dass Freiwilligkeit nicht ausreiche.

Thomas Boele, dessen Firma Check Point Software Technologies IT-Sicherheitssysteme anbietet, riet Unternehmen, sich nicht nur auf einen Angriffsfall vorzubereiten, sondern auch die Reaktion darauf regelmäßig zu üben. „Das ist wie beim Feueralarm in der Schule“, sagte er.

Der Präsident des Bayerischen Landeskriminalamts (LKA), Norbert Radmacher, verwies auf die Beratungsangebote seiner Behörde für Kommunen und Unternehmen. Als wichtige Maßnahmen für einen Basisschutz nannte er konsequente Passwortsicherheit, regelmäßige Updates, Systemfunktionstests und Krisenübungen. Das LKA biete unter anderem Planspiele für den Ernstfall an. Zudem gebe es für betroffene Unternehmen eine ständig besetzte Hotline.
Zum Schutz vor Spionage und Sabotage verwies Verfassungsschutz-Vizepräsident Josef Schinabeck auf das bayerische Cyber-Allianz-Zentrum, das auch Unternehmen offen stehe. (Jürgen Umlauft)