Die stille Gefahr lauert in allen Firmen. Spektakuläre Fälle von IT-Attacken und Datendiebstahl beweisen, daß selbst Sony oder Apple vor Cyberraub und Industriespionage nicht sicher sind. Dabei könnten sich Großunternehmen noch am besten schützen, denn Verschlüsselungsmaßnahmen sind aufwendig und teuer.
Lukrativstes Ziel von Datenräubern sind daher Mittelständler, das Rückgrat der deutschen Wirtschaft. Grund dafür ist das für Eindringlinge attraktive Kosten-Nutzen-Verhältnis: Zum einen ist der Mittelstand interessant genug für Spione, die auf Ideenklau und Gelddiebstahl aus sind. Andererseits ist die Gelegenheit hier am günstigsten, da die Firmen anders als Konzerne über weniger Mittel und Expertise zur Spionageabwehr verfügen. Doch es fehle das Problembewußtsein, klagt Dieter Kempf, Präsident des IT-Verbands Bitkom.
Schon Mitarbeiterschulungen könnten eine Menge bewirken, um den volkswirtschaftlichen Schaden von 51 Milliarden Euro pro Jahr zu reduzieren. In vielen Fällen würden arglose Mitarbeiter zu unbewußten Mittätern, indem sie von hintersinnigen Kollegen für illegale Zwecke mißbraucht werden (Social Engineering). Mehr Verschwiegenheit und Vorsicht ergäben eine lohnende Sicherheitsrendite: „Sie können das Experiment ja mal am Stammtisch machen und jemanden nach dem Namen seines IT-Sicherheitsbeauftragten fragen. Mal sehen, wie viele Antworten sie bekommen“, sagte der Bitkom-Chef bei der Vorstellung einer Studie zu Wirtschaftsspionage, Sabotage oder Datendiebstahl.
Obwohl alle befragten Firmen angaben, gängige IT-Sicherheitsmaßnahmen (Firewalls, Verschlüsselungen) einzusetzen, berichten mehr als die Hälfte über versuchte Spionage und Sabotage in den letzten zwei Jahren. Diese Diskrepanz erklärt sich nur zum Teil damit, daß das häufigste Delikt analoger Art ist: 28 Prozent aller Betroffenen gaben an, ihnen seien IT-Geräte gestohlen worden. Dabei verwenden mehr als vier Fünftel der Unternehmen Maßnahmen zur organisatorischen (Richtlinien, Notfallpläne) und zur physischen IT-Sicherheit (Gebäudeschutz, Überwachung). Mangelnde Aufsicht scheidet als erklärender Faktor der offensichtlich großen Sicherheitslücke also ebenfalls aus.
Nur 52 Prozent der Firmen achten jedoch auf personelle Sicherheit, die sich durch Schulungen und Sicherheitsüberprüfungen steigern lasse, meint Kempf, der als Chef der Datev-Genossenschaft auch professionelle Sicherheitsdienstleistungen anbietet.
Kempf kritisiert, es gebe in Deutschland zudem keine breite Ausbildung zum IT-Sicherheitsmanager, „Safety & Security“ spielten im Studiengang Wirtschaftsinformatik keine Rolle. Einen schwachen Trost spendet die Studie dennoch: Kritische Infrastrukturen wie Wasser-, Strom- und Nahrungsmittelversorgung seien bislang noch seltener Ziele von Cyberangriffen als die Gesamtheit der Unternehmen. Aber Angriffe aus dem Ausland sind deutlich überrepräsentiert – die meisten würden von Rußland und China aus verübt.