Es ist ein drastisches Beispiel, das der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) wählt, um seine aktuelle Umfrage zu Cyberrisiken vorzustellen. Im Mai 2019 wird der Schweizer Fensterhersteller Swisswindows Ziel einer Hackerattacke. Alle 120 Server des Unternehmens werden mit dem Erpressungs-Trojaner Ryuk infiziert, wichtige Daten verschlüsselt: Kundenkontakte, E-Mail-Adressen, Termine sowie Daten für Maschinen und Produkte.

Anzeige

Die Hackerattacke führt in den Konkurs

Der Betrieb steht für fast einen Monat still. Weil auch die Backups verschlüsselt sind, müssen die Systeme komplett neu aufgesetzt werden und Daten händisch eingetragen. Hinzu kommen empfindliche Vertragsstrafen von Kundinnen und Kunden: Dies bedeutet das Aus für die Firma, die immerhin 170 Mitarbeiter beschäftigte. Sieben Monate nach der Attacke muss sie Konkurs anmelden.

„Der Cyberangriff hat uns die Existenz genommen“, sagt Nesa Meta, Geschäftsführer des Unternehmens. Und das ist auch eine wichtige Botschaft, die der Versicherer-Dachverband vermitteln will: ein einziger erfolgreicher Hackerangriff kann ein mittelständisches Unternehmen in den Ruin treiben. Doch beim produzierenden Gewerbe in Deutschland sei die Bedrohung noch nicht angekommen, gibt der Verband zu bedenken. Die Versicherer haben eine forsa-Umfrage unter kleinen und mittleren Unternehmen in Auftrag gegeben, um das Risikobewußtsein für Cyberattacken zu testen: Schwerpunkt war das produzierende Gewerbe. Es beteiligten sich 500 Entscheider aus der aus Maschinen­bau, Elektro-, Chemie-, Lebensmittelindustrie sowie der Kunststoffverarbeitung.

Risikobewusstsein ist da, aber…

Grundsätzlich kann beobachtet werden, dass der Mehrheit der Befragten durchaus bewusst ist. Immerhin 56 Prozent der Befragten aus dem produzierenden Gewerbe stimmten der Aussage zu: „Ich halte das Risiko von Cyberkriminalität für meine Branche für hoch oder sehr hoch.“

Das Problem ist: Für den eigenen Betrieb wird das Risiko eher nicht gesehen. Nur noch 42 Prozent der Befragten stufen das Risiko einer Cyberattacke für sich selbst als sehr hoch beziehungsweise hoch ein. Bei den Gründen, weshalb man sich nicht bedroht sehe, gaben die Firmen häufig Antworten wie „Unser Unternehmen ist zu klein, um in den Fokus von Cyberkriminellen zu geraten“ (62 Prozent), „Unsere Daten sind für Cyberkriminelle nicht interessant“ (55 Prozent) oder unser Unternehmen war noch nie Opfer von Cyberangriffen“ (54 Prozent).

forsa / gdv.de

Gar 77 Prozent der Befragten antworteten, weshalb sie kein Risiko sehen: „Unsere Systeme sind umfassend geschützt“. Das war die Topantwort - aber beißt sich mit einem anderen Umfrageergebnis. Nur branchenübergreifend 59 Prozent der produzierenden KMU haben ein schriftliches Notfallkonzept und/oder eine entsprechende Vereinbarung mit einem IT-Dienstleister vereinbart, die es erlauben würden, schnell und vorbereitet auf eine entsprechende Attacke zu reagieren.

Hoch ist auch die Zahl der Unternehmen, die bereits Ziel eines erfolgreichen Hacker-Angriffs wurden. Mehr als jeder vierte Betrieb im produzierenden Gewerbe (26 Prozent) gab zu Protokoll, damit konfrontiert gewesen zu sein: im Maschinenbau und in der sogar Chemi­eindustrie beinahe jeder dritte. Für produzierende Mit­telständler könne das schnell zu finanziellen Schäden in fünfstelliger Höhe führen – mindestens. "Folge­kosten für die Wiederherstellung der Daten, Rechtsberatung und Krisenkommunikation hinzugerechnet, kann sich der Schaden leicht verdreifachen", warnt der GDV.

Anzeige

Das Bundeskriminalamt (BKA) und der IT-Branchenverband Bitkom beziffern die Schäden durch Hacker in der gesamten deutschen Wirtschaft auf hochgerechnet 103 Milliarden Euro (2019). Damit hat sich der Schaden binnen eines Jahres nahezu verdoppelt.