Der industrielle Mittelstand ist Rückgrat und Motor der deutschen Wirtschaft. Aber ausgerechnet dort sind IT-Sicherheitslücken eklatant. Experten schlagen Alarm.
München - Der Befund ist vernichtend: Mehr als drei von vier Unternehmen im industriellen Mittelstand Deutschlands glauben, gegen Cyberangriffe gut geschützt zu sein – aber die wenigsten sind es. „Wir konnten uns Administratorrechte geben und waren Gott im Firmennetzwerk“, sagt Michael Wiesner. Vor allem über veraltete Programme und Systeme habe er sich binnen zehn Minuten kompletten Zugriff auf mehr als die Hälfte aller von ihm und seinen Kollegen angegriffenen Firmennetze verschaffen können, gesteht der „weiße“ Hacker.
Meistens geht fast alles
Im Rahmen einer Studie des heimischen Versicherungsverbands GDV und mit Wissen der betroffenen Mittelständler haben der Sicherheitsberater und seine Test-Hacker versucht, was geht. Das Ergebnis: Meistens geht fast alles. Über 500 deutsche Mittelständler hat der Verband zum Thema Cybersicherheit befragen, anschließend Experten im Darknet nach dort käuflichen Zugangsdaten für Firmennetze suchen lassen und am Ende bei 40 Freiwilligen durch Wiesner die Probe aufs Exempel gemacht. Bei 23 dieser 40 intensiv geprüften Firmen zwischen zehn und 850 Beschäftigten sind die Hacker rasch in deren IT-Herz vorgedrungen. „Wir hätten auf die Kronjuwelen zugreifen und die Unternehmen lahmlegen können“, stellt Wiesner klar.
Homeoffice-Arbeitsplätze besonders angreifbar
Hauptproblem sei, dass Mittelständler oft keine IT-Sicherheitsupdates aufspielen oder uralte Systeme verwenden, für die es solche überhaupt nicht mehr gibt. Dazu komme, dass es gelungen sei, in jeder zweiten Firma Mitarbeiter per Phishing-Mail zu verleiten, einen Anhang anzuklicken und Zugangsdaten einzugeben. Gelockt wurde mit angeblicher Datenschutzschulung. Besonders angreifbar seien Homeoffice-Arbeitsplätze. Hier seien nur zwölf der 40 genauer getesteten Firmen grundsätzlich sicher gewesen, betont Wiesner. Viele Mitarbeiter würden berufliche E-Mail-Adressen für private Zwecke bis hin zu Datingportalen nutzen und identische Passwörter verwenden. Wer solches Personal privat hackt, hat dann auch das Passwort für den Firmenzugang.
Sicherheitslücken teils bereits seit 2008 bekannt
Noch erschreckender ist, dass Mittelständler sich selbst oft anders einschätzen und für sicher halten. Mehr als drei von vier der 500 befragten Firmen aus den fünf Branchen Elektro, Chemie, Kunststoffverarbeitung, Maschinenbau und Lebensmittelproduktion halten ihre IT-Systeme für umfassend geschützt. Wiesner hat aber Sicherheitslücken entdeckt, die teils bereits seit 2008 bekannt sind, aber nie per Update beseitigt wurden. Gleiches gilt für IT-Notfallkonzepte, die greifen sollen, wenn ein Angriff von außen erfolgreich ist. Auch die sind oft völlig veraltet und wurden oft auch nie getestet. Dabei zählen Deutschlands Mittelständler in den fünf genauer untersuchten Branchen zu beliebten Zielen von Cyberkriminellen. Jedes vierte von ihnen wurde nach eigenen Angaben schon einmal gehackt. Allgemein im Mittelstand sind es nur 14 Prozent. „Es gibt Irrglauben und auch Beruhigungspillen“, stellt Gert Baumeister als Chef der GDV-Initiative Cyber Sicher klar.
Im Schnitt ein IT-Experte für 90 Beschäftigte
Fast zwei von drei der in der Studie untersuchten Unternehmen argumentiert, zu klein zu sein, um in den Fokus von Cyberkriminellen zu geraten. Klar sei aber, dass man deutschen Mittelständler mit kleinem Aufwand in der Breite erfolgreich angreifen könne, stellt der Experte klar, der auch Sicherheitschef der Württembergischen Versicherung ist. In einer weiteren Stufe der Studie haben vom GDV beauftragte Experten von 2500 zufällig ausgewählten Mittelständlern im Darknet insgesamt mehr als 35 000 Mail- und Passwort-Kombinationen von gut 1000 Firmen gefunden. Im Schnitt ein IT-Experte für 90 Beschäftigte sei zu einfach wenig, sagt Wiesner.