Großangelegter Test: IT-Sicherheit in 422 hessischen Gemeinden geprüft

Attacken auf IT-Systeme werden immer häufiger. Ganoven finden dabei genug Schlupflöcher. In Hessen wurden alle 422 Gemeinden auf potenzielle Gefahren geprüft.

Lesezeit: 5 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 36 Beiträge

(Bild: antb/Shutterstock.com)

Von
  • Oliver Pietschmann
  • dpa

Bei der Darmstädter Software AG greifen Hacker Daten ab. Ein Cyberangriff bremst mitten in der Corona-Pandemie Hessens Schulportal aus. Das Versicherungsunternehmen Haftpflichtkasse im südhessischen Roßdorf muss nach einer solchen Attacke die kompletten IT-Systeme vom Netz nehmen, es fließen Daten ab. Städte, Universitäten, Behörden, Krankenhäuser werden teilweise durch Schadsoftware lahmgelegt. Ermittler rechnen wegen der zunehmenden Digitalisierung weiter mit einer steigenden Relevanz von Cybercrime und einer zunehmenden Professionalisierung der Täter.

Einfallstore gibt es für Kriminelle allerorten. Die Darmstädter Startup-Firma LocateRisk hat Risiken hierfür bei Gemeinden, Dax-Unternehmen und Banken untersucht. Die Ergebnisse sind ernüchternd. LocateRisk überprüfte diesen Sommer alle 422 hessischen Gemeinden und fand bei 74 Prozent die Gefahr des Datendiebstahls durch teilweise unzulässig verschlüsselte Datenübertragung. Bei 31 Prozent waren nicht alle Datenbanksysteme angemessen gesichert, und fast einem Viertel drohten Angriffe aufgrund veralteter Software.

"Sofern ein Rechner aus dem Internet erreichbar ist, können dort schon Sicherheitslücken sein", sagt der Gründer und Chef von LocateRisk, Lukas Baumann. Auch bei allen von seiner Firma geprüften 28 Unternehmen im DAX sei Datendiebstahl für Ganoven möglich. 23 hätten ihre Datenbanksysteme nicht angemessen geschützt. Wie viele von LocateRisk auf Schwachstellen geprüfte Kommunen oder Unternehmen tatsächlich Opfer von Cyberattacken wurden, weiß der 26-Jährige nicht. Er weise nur auf mögliche Sicherheitslecks hin. "Wir liefern eine priorisierte Liste an Handlungsempfehlungen, vermitteln aber mögliche Partner."

Welche Ausmaße digitale Raubzüge oder das Lahmlegen von Infrastrukturen, nicht selten einhergehend mit Erpressungsversuchen, angenommen hat, zeigt das Lagebild Cybercrime des Bundeskriminalamtes. Von 2016 bis 2020 stieg die Zahl der erfassten Fälle in Deutschland von 82.649 auf 108.474 kontinuierlich an. Die Aufklärungsquote lag 2020 bei nicht mal einem Drittel.

Für Sicherheitsbehörden ist dies längst nicht das gesamte Ausmaß. "Allerdings ist von einer entsprechend hohen Dunkelziffer auszugehen, da sich Unternehmen nicht immer an die Polizei wenden, weil zum Beispiel kein Schaden eingetreten ist, die Befürchtung besteht, dass der Vorfall öffentlich bekannt wird und damit ein Reputationsverlust eintreten könnte", sagt ein Sprecher des hessischen Innenministeriums. Zudem überwiege in manchen Fällen das Interesse an der Wiederherstellung der Daten das an der Strafverfolgung.

Die Dimension der Schäden bezifferte der Digitalverband Bitkom im August mit 220 Milliarden Euro für das Jahr 2020, mehr als doppelt so viel wie in den vorangegangenen Jahren. Einer Studie des Verbandes zufolge waren neun von zehn Unternehmen in Deutschland von Datenklau, Spionage oder Sabotage betroffen. Nach jüngsten Angaben von Bitkom übersteigen aus Angst vor Erpressern und Datenlecks die Investitionen in die IT-Sicherheit voraussichtlich erstmals die Schwelle von sechs Milliarden Euro.

"Den Unternehmen entsteht ein großer wirtschaftlicher Schaden durch Angriffe im Bereich der Cyberkriminalität", sagt auch der hessische Innenminister Peter Beuth (CDU). Mit dem Hessen Cyber Competence Center "Hessen3C" biete das Land in Zusammenarbeit mit Sicherheits- und Justizbehörden Hilfe bei der Vorbeugung und vor allem bei realen Attacken.

Auch im Fraunhofer-Institut für Sichere Informationstechnologie gibt es seit April Schulungsmöglichkeiten. "Durch die Corona-Situation konnten wir leider nicht so starten, wie wir das eigentlich vorhatten, weil wir erst auf Online-Trainings umstellen mussten", sagt die IT-Sicherheitsexpertin beim Fraunhofer-Institut und beim nationalen Forschungszentrum für angewandte Cybersicherheit "Athene", Haya Shulman. Bislang hätten Teilnehmer aus rund 30 Organisationen teilgenommen. Seit einem Vierteljahr nähmen die Anfragen zu.

"Auf der Cyber Range können Teams neue Vorgehensweisen und Lösungsstrategien erlernen und testen. Und sie können sich Extremsituationen mit dem entsprechenden Stresslevel aussetzen", sagt Shulman. Weniger das Know-how der Leute sei übrigens das Problem, vielmehr das Sicherheitsbudget. "Allgemein wird Unternehmen empfohlen, 10 bis15 Prozent ihres Budgets in IT-Sicherheit zu investieren, aber das tun nur sehr wenige."

Lesen Sie auch

Das vom Bundesforschungsministerium mit 730.000 Euro geförderte Start-up Baumanns steuert bei seinen Analysen nur die Hauptdomain an und findet von dort alle verbundenen Systeme und Schwachstellen, die dann abgestellt werden sollten. Große Unternehmen hätten meist auch keine Probleme, hier am Ball zu bleiben: "Die Großen haben die richtigen Leute, die können sich das auch leisten." Anderswo sieht er schon eher Mängel. "IT-Abteilungen sind oftmals qualitativ schlecht besetzt, das geben sie auch offen zu."

(tiw)