Cyber-Risi­ken im Mit­tel­stand

"Sicher­heit ist kein Zustand. Sicher­heit ist ein Pro­zess."

Sven Weizenegger prüft im Auftrag seiner Kunden die Sicherheit von IT-Systemen. Dabei stößt er auf viele Schwachstellen, vor allem im Mittelstand. Als Geschäftsführer des Start-ups Perseus verspricht er Lösungen - doch die Bedrohungslage ändert sich ständig.

Herr Weizenegger, Sie beraten mittelständische Betriebe zum Thema Cybersecurity. Geht es dabei um Feinheiten oder eher um das Einmaleins?

Sven Weizenegger: Eher letzteres. Der Mittelstand – Maschinenbau wie Handwerk – ist relativ schlecht gegen Cyberangriffe geschützt. Sie haben zum einen nicht die personellen und finanziellen Ressourcen wie Konzerne, zum anderen ist auch das Risikobewusstsein einfach nicht so groß. Es herrscht die Meinung vor: Das Thema betrifft mich nicht, das wird mir nie passieren. Das ist ein fataler Trugschluss.

Mittelstand ist nun nicht gleich Mittelstand: Weltweit tätige Maschinenbauer haben andere Anforderungen und Möglichkeiten als der Handwerker um die Ecke oder der niedergelassene Arzt.

Weizenegger: Trotzdem, durch die Bank ist die Awareness gering. Selbst im Maschinenbau, wo man ein Problembewusstsein schon erwarten würde, gibt es oft keine große IT-Affinität. Häufig investieren die Unternehmen erst, nachdem etwas passiert ist.

Worin sehen Sie die Gründe für das sorglose Verhalten?

Weizenegger: Die digitale Transformation sorgt dafür, dass die Systeme der Unternehmen durchlässiger werden – auch werden müssen. Wenn Sie Schuhe „on demand“ produzieren, also etwa den Namen des Kunden aufsticken oder ein auf den Kunden angepasstes Fußbett mitliefern, ist das keine Sache von Wochen mehr – sondern von Stunden. Das erfordert eben durchlässige Systeme. Traditionell sind mittelständische Hersteller aber eher geschlossen und müssen sich nun auf eine komplett andere Welt einstellen. Bei Konzernen gilt längst das Prinzip Security by Design, das heißt Sicherheit ist ein integraler Bestandteil des Entwicklungsprozesses. Mittelständler müssen da erst noch hinkommen.

Unternehmen bezahlen Sie unter anderem dafür, dass Sie ihre Systeme testen und ihre Mitarbeiter.  Auf welche Sicherheitslücken stoßen Sie dabei?

Weizenegger: Das beginnt bei so profanen Dingen wie Passwörtern, die unter der Tastatur kleben. Sie finden offene Netzwerkports. Sie finden Server, die nicht upgedatet sind. Sie begegnen Mitarbeitern, die Mails öffnen, die sie besser nicht öffnen sollten. Die Palette ist sehr breit.

Und wie reagieren die Unternehmen, wenn Sie sie auf Sicherheitslücken hinweisen?

Weizenegger: Zunächst mal herrscht Ungläubigkeit vor. Tatsächlich müssen Sie bei vielen erstmal den Beweis führen: eine Datei stehlen oder umgekehrt etwas hinterlegen, was da nicht hingehört. Dann allerdings ist das Erstaunen groß – und auf einmal werden Ressourcen freigesetzt, um die Löcher zu schließen.

Wie sieht denn eigentlich ein typischer Hacker-Angriff aus?

Weizenegger: Das kann ich schlecht verallgemeinern. Aber was alle Angreifer eint: Sie wählen den Weg des geringsten Widerstands. Wenn es zehn Schwachstellen gibt, suchen sich die Kriminellen die größte heraus. Eines der  größten Risiken sind ganz klar schwache Passwörter. Konkret bedeutet das, dass Administrationszugänge aus dem Internet für jeden erreichbar sind. Passwörter wie Passwort123 oder Admin – bei Konzernen werden Sie das nicht unbedingt finden, bei Mittelständlern schon.

Wer hat Interesse an Attacken auf kleine und mittlere Unternehmen?

Weizenegger: Konzerne werden oftmals zielgerichtet angegriffen, Mittelständler nicht. Cyberkriminelle bedienen sich hier des Prinzips Maschinenpistole: Sie schießen praktisch wahllos in die Menge in der Absicht, irgendjemanden zu treffen. Es gehen 1000 Mails an 1000 Mittelständler – egal ob Handwerksmeister oder Kfz-Betrieb. Und Sie können davon ausgehen: Irgendeiner wird erwischt. Dann werden wahllos Daten abgesaugt – und im Nachhinein darauf geprüft, ob etwas Verwertbares dabei ist.

In Branchen wie dem Gesundheitssektor geht es um mehr als Maschinen- oder Finanzdaten – es geht um persönliche Krankengeschichten, sensible Daten also. Werden die wenigstens gut geschützt?

Weizenegger: Ich habe schon erlebt, dass Ärzte WhatsApp nutzen oder Clouddienste wie Dropbox. Ich kann verstehen, wenn sie ihren Patienten einen tollen, zeitgemäßen Service anbieten. Aber sie sollten zum einen nicht vergessen, dass solch offene Programme immer eine potenzielle Gefahrenquelle sind. Und zum anderen ihre Patienten mindestens darüber informieren, wenn sie deren Daten im Rahmen solcher Lösungen verwenden wollen.


Wie finden Ihre Kunden zu Ihnen? Cybersicherheit ist sicher nicht das erste, was einem kleinen Handwerksbetrieb beim Thema Internet einfällt.

Weizenegger: Das geschieht unter anderem über Kooperationen, wie wir sie auch mit Versicherern haben. Für unsere Kunden ist das ein Zeichen: Wenn Große uns vertrauen, können sie das auch tun.

Sie weisen Betriebe auf deren Sicherheitslücken hin und helfen ihnen, sie zu schließen. Wozu braucht es dann noch eine Versicherung?

Weizenegger: Sicherheit ist ja kein Zustand. Sicherheit ist ein Prozess. Das bedeutet, die Bedrohungslage ändert sich ständig, Angreifer werden immer schlauer, mit jeder neuen Technologie entstehen neue Sicherheitslücken. Insofern ergibt es durchaus Sinn, sich gegen Cyberrisiken zu versichern, von denen man zwar weiß, dass es sie auch morgen geben wird, aber nicht, wie sie morgen aussehen werden. Ebenso wichtig: Die Fortbildung von Mitarbeitern – damit sie ein Auge dafür bekommen, wann möglicherweise eine Bedrohung existiert. Auch  Versicherer sehen zunehmend, dass Prävention großgeschrieben werden muss. Man möchte ja nicht, dass es zum Cybervorfall kommt.

Und haben Sie schon mal einen Versicherer gehackt?

Weizenegger: Nein. Aber nach meiner Einschätzung herrscht hier ein relativ hohes Sicherheitsniveau vor, vor allem weil die Branche sehr stark reguliert wird und unter Beobachtung steht. 

Zur Startseite