Fast jedes vierte mittelständische Unternehmen (23 Prozent) der Lebensmittelindustrie hat bereits eine „erfolgreiche“ Cyberattacke erlebt, 6 Prozent waren schon mehrfach betroffen. Das belegt eine repräsentative Umfrage des Forsa-Instituts bei 100 kleinen und mittleren Lebensmittelherstellern. Erfolgreich bedeutet in diesem Fall, dass das Unternehmen den Schaden hatte.
Die Motivation der Kriminellen ist fast ausschließlich finanzieller Art. Damit die Firmen wieder an ihre Daten und Systeme können, muss Lösegeld gezahlt werden. Das Bundeskriminalamt (BKA) stellt insgesamt fest, dass Cybercrime weiter an Bedeutung gewinnt, aber auch „von einem großen Dunkelfeld im Bereich von Cybercrime auszugehen ist“. Die polizeibekannten Fälle würden „dieses Kriminalitätsfeld nicht realistisch abbilden“, so das BKA.
Wie die Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) weiter zeigt, stand nach einem erfolgreichen Angriff die Hälfte der Betriebe zeitweise sogar still. Weitere finanzielle Schäden entstanden durch den hohen Aufwand, mit dem Angriffe analysiert und entwendete oder gesperrte Daten wiederhergestellt werden mussten, so die Studie.
Trotz der hohen Betroffenheit nehme die Branche die Gefahr durch Cyberkriminelle nicht ernst genug. 61 Prozent der Befragten gehen für das eigene Unternehmen von einem geringen Risiko aus. Ihre Argumente: Die eigene Firma sei zu klein, die Daten für Kriminelle nicht interessant.
Viele machen auch geltend, dass ihnen bisher nichts passiert sei, zudem sei das Unternehmen umfassend geschützt. „Zu viele Lebensmittelhersteller wiegen sich in falscher Sicherheit oder verschließen die Augen vor der Gefahr“, sagt Peter Graß, Experte für Cyberversicherungen im GDV.
Firmendaten stehen im Darknet
Folge der unzureichenden Risikowahrnehmung sind erhebliche Mängel in der IT-Sicherheit. Eine Untersuchung der IT-Systeme von 511 mittelständischen Lebensmittelherstellern mithilfe des Analyse-Tools Cysmo ergab unter anderem, dass 4 Prozent der Unternehmen veraltete Software einsetzen, für die es keine Sicherheitsupdates mehr gibt. Auch der Blick ins Darknet offenbart Einfallstore für Cyberkriminelle: Hier fanden sich Daten von 141 der untersuchten Unternehmen (28 Prozent), darunter mehr als 1.000 E-Mail-Passwort-Kombinationen von Mitarbeitern.
Handlungsbedarf zeigen auch die Selbstauskünfte der Lebensmittelhersteller in der Forsa-Umfrage: Zwar werden fast überall Administratoren-Rechte restriktiv vergeben und Sicherheitsupdates automatisch eingespielt. Aber 12 Prozent verzichten auf mindestens wöchentliche Sicherheitskopien ihrer Daten, 31 Prozent testen ihre Sicherheitskopien nicht, und 15 Prozent lassen auch einfachste Passwörter zu. Insgesamt erfüllt nur ein Viertel der befragten Unternehmen (25 Prozent) die zehn wichtigsten Basis-Anforderungen an die IT-Sicherheit. „Der Mittelstand in der Lebensmittelindustrie müsste viel mehr für den Schutz seiner IT-Systeme tun. Aktuell zeigen sich große Sicherheitslücken“, sagt Graß.
Corona hat den Kriminellen neuen Nährboden gegeben. Laut Bundeskriminalamt wurden seit Beginn der Pandemie von verschiedenen Cybercrime-Gruppierungen Spam- und Phishing-Kampagnen mit internationalem Charakter gestartet. Vermeintliche Absender sind Gesundheitsbehörden, Paket- und Lieferdienste oder als vertrauenswürdig geltende Berufsgruppen wie Ärzte. Diese Mails sind täuschend echt, und genau dort liegt das Problem. „Wir sehen seit Jahren fast ausschließlich hochprofessionelle und qualitativ sehr hochwertige Angriffe“, erklärt Markus Hartmann, Leiter der Zentral- und Ansprechstelle Cybercrime in Nordrhein-Westfalen. E-Mails in gebrochenem Deutsch mit erkennbar krimineller Motivation seien die Ausnahme.
Der Oberstaatsanwalt mit Sitz in Köln sieht noch eine zweite Tendenz. „Auch normale Kriminelle bedienen sich inzwischen der Angriffstools für Cyberangriffe im Darknet“, erklärt Hartmann. Die Täter sind global vernetzt, agieren international, arbeitsteilig und sehr organisiert. Gestohlene Daten werden weiterverkauft und mit ihnen zum Teil mehrfach illegale „Gewinne“ in der kriminellen Wertschöpfungskette erzielt. Die Behörden sprechen inzwischen von einer Underground Economy. „Cyberschutz muss deshalb täglich neu bewertet werden und sollte in den Unternehmen Chefsache sein“, fordert der Jurist. Wie „effizient“ das Darknet sein kann, zeigt der Prozess um den Cyberbunker von Traben-Trarbach, der im Oktober begann. Etwa 250.000 Straftaten werden dort verhandelt.