Es gibt noch erhebliche Sicherheitslücken bei den Unternehmen. Das zeigen Studien etwa von Unternehmensberatungen wie PWC oder KPMG. Dabei sei den Firmen sehr bewusst, dass sie sich schützen müssen vor den zunehmenden Cyberattacken. Dabei wäre schon allein etwas mehr Sorgfalt bei der Aktualisierung der Programme schon hilfreich. Darauf verwies gestern wieder Arne Schönbohm, Präsident des BSI, des Bundesamtes für Sicherheit in der Informationstechnik. Er sagte in der ARD:
"Wenn man diese Updates praktisch installiert hat, dann wird sich dieses Programm auch nicht automatisch weiterverteilen. Das heißt es ist eher die eigene Fahrlässigkeit, die dazu geführt hat, dass es sich so rasant ausbreitet."
Trojaner wie WannaCry nutzen diese Fahrlässigkeit der Menschen. Und deshalb wäre erste Pflicht der Unternehmen, regelmäßig ihre Mitarbeiter zu schulen, empfiehlt auch das BSI: Denn verbreitet wird die Schadsoftware ja häufig über Spam-Mails, in denen die Anhänge infiziert sind, über USB-Sticks, oder der Trojaner ist in Werbebannern versteckt und attackiert das System, wenn man diese anklickt. Doch die meisten Unternehmen schützen vor allem ihre Perimeter, also die Eingangspunkte zum Rechenzentrum, sagt Ralf Sydekum, Technischer Manager des IT- und Sicherheitsdienstleisters F5 Networks:
"Wie verändern sich denn die Angriffsszenarien in einer dynamischen IT-Welt, wo im Grunde die Mobilität eine große Rolle spielt, wo nicht nur Anwender heutzutage kaum noch im Firmenstammsitz unterwegs sind, um IT-Ressourcen zu nutzen, sondern mobil mit verschiedenen Geräten von zu Hause, von unterwegs arbeiten, aber gleichzeitig auch die business-kritischen Applikationen nicht mehr zwingend im Rechenzentrum gehostet werden, sondern in die Cloud abwandern."
Attacken sind auf User-Identitäten ausgerichtet
Auch das Ausspähen von Passwörtern der Mitarbeiter gehöre dazu, sagt der IT-Sicherheitsexperte:
"Man sollte einfach die Bedrohungslage berücksichtigen, zur Kenntnis nehmen, dass die Attacken mehr auf User-Identitäten, mehr auf Applikationen gerichtet sind. Und Statistiken zeigen, dass IT-Unternehmen gerade in diesen Bereichen ihre IT-Security unterdimensioniert haben. Gut ein Drittel geht in diesen Bereich hinein, während die anderen zwei Drittel in den Bereich klassischer Netzwerk-Perimeter-Security geht."
Dabei gelten seit knapp zwei Jahren besondere Sicherheitsanforderungen für Betreiber kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation sowie Ernährung und Wasser – allein wegen der Folgen, die der Ausfall von deren Systemen auf die Bürger haben könnte. In einem zweiten Schritt sollen auch Transportdienstleister hinzukommen. Der Ausfall der Systeme der Deutschen Bahn am Wochenende hat ja gezeigt, wie wichtig das ist. Denn solche Systeme seien vor allem aus deinem Grund anfällig, erklärt Ralf Sydekum:
"Überall dort, wo ich Terminals habe, seien es Bankautomaten oder irgendwelche anderen Systeme, die von Kunden in der Öffentlichkeit bedient werden können und müssen, das sind Dinge, die natürlich hier anfällig sein können."
Die Unternehmen können sich zwar nicht zu 100 Prozent vor Cyberattacken und Cyberkriminalität schützen. Doch sie sollten diese Gefahren ernstnehmen und in ihr Risikomanagement aufnehmen, raten Experten.