Bei der Darmstädter Software AG greifen Hacker Daten ab. Ein Cyberangriff bremst mitten in der Corona-Pandemie Hessens Schulportal aus. Das Versicherungsunternehmen Haftpflichtkasse im südhessischen Roßdorf muss nach einer solchen Attacke die kompletten IT-Systeme vom Netz nehmen, es fließen Daten ab. Städte, Universitäten, Behörden, Krankenhäuser werden teilweise durch Schadsoftware lahmgelegt. Ermittler rechnen wegen der zunehmenden Digitalisierung weiter mit einer steigenden Relevanz von Cybercrime und einer zunehmenden Professionalisierung der Täter.

Einfallstore gibt es für Kriminelle allerorten. Die Darmstädter Start-up-Firma LocateRisk hat Risiken hierfür bei Gemeinden, DAX-Unternehmen und Banken untersucht. Die Ergebnisse sind ernüchternd. LocateRisk überprüfte diesen Sommer alle 422 hessischen Gemeinden und fand bei 74 Prozent die Gefahr des Datendiebstahls durch teilweise unzulässig verschlüsselte Datenübertragung.

Bei 31 Prozent der Gemeinden waren nicht alle Datenbanksysteme angemessen gesichert, und fast einem Viertel drohten Angriffe aufgrund veralteter Software.

»Sofern ein Rechner aus dem Internet erreichbar ist, können dort schon Sicherheitslücken sein«, sagt der Gründer und Chef von LocateRisk, Lukas Baumann. Auch bei allen von seiner Firma geprüften 28 Unternehmen im DAX sei Datendiebstahl für Ganoven möglich. 23 hätten ihre Datenbanksysteme nicht angemessen geschützt. Wie viele von LocateRisk auf Schwachstellen geprüfte Kommunen oder Unternehmen tatsächlich Opfer von Cyber-Attacken wurden, weiß der 26-Jährige nicht. Er weise nur auf mögliche Sicherheitslecks hin. »Wir liefern eine priorisierte Liste an Handlungsempfehlungen, vermitteln aber mögliche Partner.«

Welche Ausmaße digitale Raubzüge oder das Lahmlegen von Infrastrukturen, nicht selten einhergehend mit Erpressungsversuchen, angenommen hat, zeigt das Lagebild Cybercrime des Bundeskriminalamtes. Von 2016 bis 2020 stieg die Zahl der erfassten Fälle in Deutschland von 82 649 auf 108 474 kontinuierlich an. Die Aufklärungsquote lag 2020 bei nicht mal einem Drittel.

Für Sicherheitsbehörden ist dies längst nicht das gesamte Ausmaß. »Allerdings ist von einer entsprechend hohen Dunkelziffer auszugehen, da sich Unternehmen nicht immer an die Polizei wenden, weil zum Beispiel kein Schaden eingetreten ist, die Befürchtung besteht, dass der Vorfall öffentlich bekannt wird und damit ein Reputationsverlust eintreten könnte«, sagt ein Sprecher des hessischen Innenministeriums.

Hessen3C: Land bietet Hilfen an

Die Dimension der Schäden bezifferte der Digitalverband BITKOM im August mit 220 Milliarden Euro für 2020, mehr als doppelt so viel wie in den vorangegangenen Jahren. Einer Studie des Verbandes zufolge waren neun von zehn Unternehmen in Deutschland von Datenklau, Spionage oder Sabotage betroffen. »Den Unternehmen entsteht ein großer wirtschaftlicher Schaden durch Angriffe im Bereich der Cyberkriminalität«, sagt auch der hessische Innenminister Peter Beuth (CDU). Mit dem Hessen Cyber Competence Center »Hessen3C« biete das Land in Zusammenarbeit mit Sicherheits- und Justizbehörden Hilfe bei der Vorbeugung und bei realen Attacken.

Auch im Fraunhofer-Institut für Sichere Informationstechnologie gibt es seit April Schulungsmöglichkeiten, sagt die IT-Sicherheitsexpertin Haya Shulman. »Auf der Cyber Range können Teams neue Vorgehensweisen und Lösungsstrategien erlernen und testen. Und sie können sich Extremsituationen mit dem entsprechenden Stresslevel aussetzen.« Weniger das Know-how der Leute sei das Problem - vielmehr das Sicherheitsbudget. »Allgemein wird Unternehmen empfohlen zehn bis 15 Prozent ihres Budgets in IT-Sicherheit zu investieren, aber das tun nur wenige.« Das vom Bundesforschungsministerium mit 730 000 Euro geförderte Start-up Baumanns steuert bei Analysen nur die Hauptdomain an und findet von dort alle verbundenen Systeme und Schwachstellen, die dann abgestellt werden sollten. Große Unternehmen hätten meist keine Probleme, hier am Ball zu bleiben. Anderswo sieht er schon eher Mängel. »IT-Abteilungen sind oftmals qualitativ schlecht besetzt.«