Die Wilken Software Group informierte die Öffentlichkeit unmittelbar und schnörkellos. Am 12. Oktober des vergangenen Jahres traf eine Cyberattacke die Verwaltung des IT-Dienstleisters (Background berichtete). Noch am selben Tag teilte das Unternehmen dies auf seiner Homepage mit. Man habe zur Sicherheit die Systeme heruntergefahren und hoffe, dass Kundendaten nicht angegriffen worden seien. Zugleich verständigten die Ulmer die Polizei und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Eine Woche später informierte Wilken dann über das Wiederhochfahren erster Systeme. Nach knapp zwei Monaten veröffentlichte das Unternehmen eine dritte Pressemitteilung: Man sei nun wieder vollständig arbeitsfähig.
Wilkens offensiver Umgang mit der Kommunikation einer Cyberattacke dürfte Expert:innen erfreuen. Denn ob Polizei, Behörden oder Verbände: Sie alle wünschen sich von Unternehmen mehr Transparenz nach Cyberattacken, um weiteren Angreifen besser vorbeugen zu können. „Transparenz führt zu einer Sensibilisierung Dritter und damit auch zu einer Erhöhung des Cybersicherheitsniveaus“, sagt ein BSI-Sprecher. Doch obwohl die Zahl der Angriffe stetig zunimmt, sind die Unternehmen noch immer äußert vorsichtig mit dem, was sie preisgeben. „Unsere Experten beobachten weiterhin, dass die Unternehmen mit diesem Thema sehr vorsichtig und zurückhaltend umgehen”, sagt Julia Fellinger, Sprecherin der Deutschen Industrie- und Handelskammer (DIHK).
Die Crux: Kaum einer wagt sich an die Öffentlichkeit, dabei hält die überwiegende Mehrheit der Unternehmen genau dies für richtig. Weltweit würden laut einer Umfrage der Unternehmensberatung PWC 79 Prozent der befragten Firmen eine gesetzliche Offenlegungspflicht bei Cyberangriffen befürworten.
Gründe zu Schweigen, gibt es dennoch viele: Drei von vier Unternehmen befürchten einen Reputationsverlust, hat der IT-Sicherheitsdienstleister Kaspersky in einer Umfrage herausgefunden. Unternehmen, die Opfer eines Angriffs waren, hätten es im Wettbewerb fortan schwerer. Laut Kaspersky wollen 50 Prozent der kleinen und mittelständischen Unternehmen und 64 Prozent der Großunternehmen nicht mit einem Unternehmen zusammenarbeiten, bei dem es schon einmal zu einem Cybervorfall gekommen ist (Background berichtete).
Sorge vor Reputationsschaden
Mehr Transparenz erhöht dabei das Risiko, unangenehm aufzufallen. „Transparenz wäre natürlich wünschenswert, vor allem um andere Unternehmen zu warnen”, sagt Fellinger. „Damit legt man aber auch offen, wo das Unternehmen angreifbar war und im Zweifel noch immer ist.” Das BSI versucht Transparenz immerhin zwischen den Unternehmen zu ermöglichen. Es fordert betroffene Firmen auf, pseudonymisiert technische Angriffsinformationen mit anderen Opfern zu teilen.
Vor allem, wer Lösegeld für Daten gezahlt hat, sollte Transparenz wohldosiert einsetzen. Zuviel davon kann nämlich auch kostspielig werden. Acht von zehn Unternehmen und Organisationen, die sich einmal für die Zahlung des Lösegelds entschieden haben, wurden erneut angegriffen – in vielen Fällen sogar von den selben Tätern. Dies ist die Erkenntnis der US-Sicherheitsfirma Cybereason, die dazu die Daten von rund 1.300 Sicherheits-Expert:innen ausgewertet hat.
Auch beim Deutschen Mittelstands-Bund (DMB) sieht man neben dem Reputationsverlust einen weiteren Grund für die Zurückhaltung in einem drohenden finanziellen Schaden. „Die gesetzliche Verankerung hoher Strafzahlungen wirkt abschreckend”, sagt der Geschäftsführende DMB-Vorstand Marc Tenbieg. Denn stellt sich heraus, das Unternehmen Daten nicht ausreichend geschützt haben, sind nach der Datenschutzgrundverordnung (DSGVO) Bußgelder in Höhe von bis zu 20 Millionen Euro möglich, oder bis zu vier Prozent des Jahresumsatzes – je nach dem, was höher ausfällt.
Im Vergleich dazu empfinden Unternehmen die Leistungen durch den Staat im Falle eines Angriffs als unzureichend. „Wenn Unternehmen eine Attacke melden, erwarten sie auch Unterstützung. Aber den Behörden fehlt es an Personal. Hier muss mehr kommen”, sagt Tenbieg. In Schockstarre verharren Unternehmen dennoch nicht. „Wir sehen, dass sie untereinander und mit uns häufiger und intensiver über Cyberangriffe sprechen. Das könnte ein Schritt zu mehr Transparenz sein."
Umdenken dauert Jahrzehnte
Bis zu vollständiger Transparenz ist es allerdings noch ein weiter Weg. Das zumindest erwartet Dirk Beerhenke, der bei der Polizei Köln 17 Jahre lang Cyberdelikte bearbeitet hat. „Bis Unternehmen mehr Transparenz nach einem Cyberangriff zulassen, könnte es noch Jahrzehnte dauern”, sagt er. Darauf deute der Umgang mit anderen Cyberverbrechen wie zum Beispiel Bank-Kontoplünderungen hin, die bereits seit den Nullerjahren existieren. Doch nur selten hat sich jemand als Opfer bekannt. „Die gewünschte Popularität und damit die präventive Wirkung ist ausgeblieben”, sagt Beerhenke.
Hinderungsründe für ein Bekenntnis sieht er auch bei den Unternehmen selbst. Gerade kleinere Unternehmen könnten ihre Cybersicherheit besser aufstellen. „Wer ausreichend geschützt, kann nach einem Cyberangriff guten Gewissens an die Öffentlichkeit", sagt Beerhenke. „Viele Unternehmen bedenken nicht, dass sie nach der Anzeige eines Cyberangriffs eventuell Schadensersatzansprüche gegen die Täter geltend machen können.” Die aktuelle Aufklärungsquote bei Cyberkriminalität lag laut dem Bundeskriminalamt (BKA) 2021 Jahr bei 29,3 Prozent. Hoffnung auf eine Wiedergutmachung des finanziellen Schadens dürfte dennoch kaum aufflackern. „Wenn es um Ransomware geht, mit der Unternehmen üblicherweise attackiert werden, dürfte die Aufklärungsquote allerdings gering sein”, räumt Beerhenke ein. Verlässliche Zahlen gebe es darüber nicht.
Die Verfolgung von Ransomware-Kriminellen wird oft auch dadurch erschwert, dass sie häufig aus Ländern agieren, in denen sie nicht strafrechtlich verfolgt werden. Zuletzt gelang allerdings deutschen und US-amerikanischen Behörden ein Schlag gegen die Gruppe „Hive“. Diese soll in den vergangenen anderthalb Jahren weltweit für mehr als 1.500 schwere Cyberangriffe gegen Unternehmen und Organisationen verantwortlich gewesen sein, wie das US-Justizministerium und die Staatsanwaltschaft in Stuttgart mitteilten. Der verursachte Schaden bei den betroffenen Unternehmen und öffentlichen Institutionen soll nach Schätzungen der Ermittler „in die Milliarden gehen“.
