Datenklau durch Hacker und Forderungen von Lösegeld in Millionenhöhe - immer wieder gibt es solche Fälle auch bei Unternehmen in Bayern. Cyberangriffe sind zu einem Problem geworden. Doch dagegen gibt es Hilfe: sogenannte Penetrationtests, kurz Pentests.

Wolfgang Zejda arbeitet als Sicherheitsberater bei der SySS GmbH, einem der Marktführer im Bereich Pentests. Er sucht im Auftrag nach Schlupflöchern in Netzwerken und Computern seiner Auftraggeber. Diesmal checkt er das System des Textil-Management-Unternehmens Urzinger in Landshut.

Schwachstellen im System finden, von intern und extern

Zejda hat einen PC bekommen, der für einen Praktikanten gedacht ist. Er sollte über diesen Computer eigentlich keinen Schaden anrichten können. Für die Suche nach Schwachstellen nutzt der Sicherheitsberater automatisierte Programme, sieht sich aber auch manuell auf dem PC um, erklärt er: "Was kann ich an Systemen erreichen? Vielleicht kann ich auch Verbindungen über mich umleiten oder Verkehr beschädigen und schauen, dass ich den Betrieb stören kann." Zejda durchforstet zum Beispiel Ordner auf dem PC nach Dateien, in denen er Rechte verändern kann. Der Grund für dieses Vorgehen: Je mehr Rechte er als Angreifer bekommen kann, desto stärker kann er in ein System eingreifen und Schaden verursachen.

Danach prüft er, ob er ohne einen Computer in ein Netzwerk eindringen kann. "Welche Möglichkeiten es gibt, wenn ich alleine in ein Gebäude reinkomme und mich an eine Dose anstecken kann", erklärt Zejda. Er versucht zu Beispiel, an einen fremden PC einen USB-Stick anzuschließen. Eine Kollegin versucht gleichzeitig, Urzinger über das Internet anzugreifen.

Viele Firmen stark digitalisiert und automatisiert

Etwa 500 Mitarbeiter waschen bei Urzinger bis zu 80 Tonnen Wäsche am Tag, zum Beispiel Handtücher, Tischdecken, Arztkittel und Bodenmatten. Im Bereich Berufskleidung sind es 50.000 Kleidungsstücke täglich. Viele Teile sind gechipt und laufen automatisch durch die Waschanlage. Die Produktion ist komplett computergesteuert und dadurch angreifbar, erklärt der Leiter der IT-Abteilung, Stefano Tortiello. Das Worst-Case-Szenario sei, wenn wegen eines Hackerangriffs oder des unabsichtlichen Öffnens eines Virenprogramms die kritischen Systeme so unter Stress gesetzt würden, dass sie ausfallen oder sogar beschädigt werden.

330 Unternehmen im Jahr in Bayern von Hacker-Angriffen betroffen

Die meisten Unternehmen in Deutschland wurden Umfragen zufolge bereits digital angegriffen. Dazu zählen Phishing-Versuche, um Passwörter abzugreifen, Schadprogramme, aber auch Ransomware-Angriffe. Dabei werden Computer und Daten von Hackern verschlüsselt, um anschließend Lösegeld von Firmen zu erpressen.

Im Jahr 2020 haben Hacker in Bayern laut Landeskriminalamt (LKA) 330 Unternehmen erpresst. Nach vorläufigen Auswertungen des LKA zeichnet sich im Jahr 2021 bei Ransomware-Angriffen auf Unternehmen in Bayern eine geringe Steigerung im Vergleich zum Jahr 2020 ab.

Deutschlandweit mehr als 220 Milliarden Euro Schaden

Durch Cyberattacken entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Das geht aus einer Umfrage mit mehr als 100 Unternehmen durch den Digitalverband Bitkom für die Jahre 2020 und 2021 hervor. Die Kosten bei einem Angriff sind im Vergleich zu den Kosten eines Pentests immens, wenn beispielsweise die Produktion stillsteht.

Die IT-Sicherheit sei deshalb ein wichtiger Aspekt in der Lieferkette, erklärt Claudia Urzinger-Woon. Sie leitet das Unternehmen mit ihren Schwestern. "Wir haben Kunden, die jeden Tag 24 Stunden im Einsatz sind, und die müssen sich auf uns verlassen können." Zu den Kunden von Urzinger zählen unter anderem Krankenhäuser, Hotels und Handwerksunternehmen.

IT-Sicherheit bei Bayerns Unternehmen wird besser

Am Ende eines Pentests gibt es von IT-Sicherheitsexperte Zejda einen Bericht. Darin stehen Punkte, die nachgebessert werden sollen. "Die Schwachstellen sind grundsätzlich sehr individuell, aber hängen natürlich von der eingesetzten Software ab", sagt er. Es gebe Unternehmen, die sich viele Gedanken über die Sicherheit machten und die ein sehr hohes Niveau haben. "Interessanterweise spielt Größe dabei eigentlich keine Rolle." Es gebe kleine Unternehmen, die sehr gut, aber auch welche, die sehr schlecht aufgestellt sind. Genauso sei das bei sehr großen Unternehmen. Dort gebe es jedoch Mindeststandards durch Richtlinien und Regularien.

Sein Fazit zur Sicherheit von Bayerns Unternehmen: "Die IT-Sicherheit kommt mehr in den Vordergrund. Für uns wird es schwieriger, administrative Rechte zu erreichen." Zejda und seine Kollegen sind aber ausschließlich zur Analyse der Systeme bei den beauftragenden Unternehmen. Die Lücken müssen die Firmen immer selbst schließen.