Stromausfall durch zerstörte Leitungen, gezielte Sabotage von Internetkabeln in der Ostsee, per Ransomware lahmgelegte Krankenhäuser oder Fabriken: Deutschland ist Ziel von digitalen und klassischen Angriffen, zugleich ist die deutsche Wirtschaft schlecht auf solche hybriden Bedrohungen vorbereitet. Bei einem Internetausfall könnten Unternehmen im Schnitt ihren Geschäftsbetrieb nur 20 Stunden aufrechterhalten, jedes fünfte (21 Prozent) müsste sogar sofort die Arbeit einstellen, zeigt eine repräsentative Umfrage des Digital-Branchenverbandes Bitkom.
Umgekehrt sind nur acht von 100 Unternehmen sicher, länger als 48 Stunden weiterarbeiten zu können. Zugleich rechnen drei Viertel der Unternehmen (74 Prozent) wegen der zunehmenden Spannungen zwischen Russland und der NATO mit einer erhöhten Gefahr hybrider Angriffe, acht von zehn (83 Prozent) erwarten eine ernsthafte Krise in Deutschland in Folge von hybriden Angriffen. Und 53 Prozent gehen sogar von einer militärischen Konfrontation zwischen Russland und der NATO in den kommenden fünf Jahren aus.
Das sind Ergebnisse einer Befragung von 604 Unternehmen ab zehn Beschäftigten in Deutschland im Auftrag des Digitalverbands Bitkom, die der Verband im Vorfeld der Münchener Sicherheitskonferenz und der Munich Cyber Security Conference vorgestellt hat. „Anfang Januar mussten nach einem Anschlag mehr als 100.000 Menschen in Berlin bei Minustemperaturen tagelang ohne Strom auskommen, mehr als 2.000 Unternehmen waren betroffen. Hybride Angriffe auf Deutschland, die sich in einer Grauzone zwischen Krieg und Frieden abspielen, sind kein potenzielles Risiko, sie sind Realität. Deshalb müssen wir die Resilienz von Wirtschaft, Staat und Gesellschaft massiv hochfahren“, sagt Bitkom-Präsident Dr. Ralf Wintergerst. Aktuell sagen drei Viertel (73 Prozent) der Unternehmen, Deutschland sei im internationalen Vergleich unzureichend auf hybride Angriffe vorbereitet.
Als besonders gefährdet gelten nach Ansicht der Unternehmen die Energieversorgung (90 Prozent) sowie Banken und Versicherungen (89 Prozent). 77 Prozent sagen, die Wasser- und Abwasserversorgung sei stark gefährdet, 67 Prozent die Lebensmittelversorgung, 65 Prozent das Gesundheitswesen mit Krankenhäusern und Ärzten und 64 Prozent Telekommunikation und IT. Rund die Hälfte nennen Transport und Verkehr (54 Prozent) sowie die öffentliche Verwaltung (50 Prozent). Schlusslichter sind die Abfallentsorgung (28 Prozent) sowie Medien und Kultur (21 Prozent).
„Neben der Energieversorgung sind das Finanzwesen und die Kommunikation die neuralgischen Punkte der deutschen Wirtschaft“, so Wintergerst. „Zum notwendigen Schutz gehört zuallererst, es potenziellen Angreifern nicht unnötig leicht zu machen. Wir sollten darauf verzichten, Datenleitungen im Gigabit-Grundbuch öffentlich zugänglich zu verzeichnen, denn das bedeutet ein zusätzliches Risiko für Sabotageakte. Wir brauchen im Bereich kritischer Infrastrukturen Datensparsamkeit und ein strenges Sicherheits- und Zugangskonzept.“
Die Wirtschaft ist nicht nur indirekt von hybriden Angriffen betroffen, Unternehmen werden auch ganz unmittelbar Opfer von Cyberangriffen und Sabotage. Eine deutliche Mehrheit von 59 Prozent hält es für wahrscheinlich, selbst Ziel hybrider Angriffe zu werden, bei 61 Prozent ist der Schutz vor diesen Attacken Chefsache. Zugleich hält sich kein Unternehmen für sehr gut darauf vorbereitet, nur zwölf Prozent für eher gut. 38 Prozent geben an, eher schlecht vorbereitet zu sein, weitere 40 Prozent sind gar nicht vorbereitet: 35 Prozent planen aber, Vorkehrungen zu treffen, fünf Prozent haben das nicht vor. Zehn von 100 Unternehmen können oder wollen keine Angaben zum Stand der Vorbereitungen auf hybride Angriffe machen. „Wir müssen die Lücke zwischen Gefahrenbewusstsein und Schutzniveau schnellstmöglich schließen“, so Wintergerst.
Viele Unternehmen wollen den Schutz hochfahren. Vier von zehn Unternehmen planen höhere Investitionen (37 Prozent), dabei wollen neun Prozent in diesem Jahr deutlich mehr Geld ausgeben, 28 Prozent eher mehr. 44 Prozent planen unveränderte Investitionen in die Vorbereitung auf hybride Angriffe und deren Folgen. Kein Unternehmen will die Ausgaben senken, fünf Prozent treffen gar keine Vorsorge.
Ein Problem für die Unternehmen sind fehlende Informationen über mögliche hybride Angriffe. Nur rund jedes fünfte Unternehmen (22 Prozent) fühlt sich aktuell ausreichend durch Sicherheitsbehörden informiert. Zugleich erwarten 80 Prozent im Fall eines hybriden Angriffs die verlässlichsten Informationen von staatlichen Stellen wie dem BSI oder dem Katastrophenschutz. „Einheitliche und klare Informationen des Staates sind von herausragender Bedeutung“, so Wintergerst. 73 Prozent vertrauen dabei auf den öffentlich-rechtlichen Rundfunk, 67 Prozent auf private Medien, 63 Prozent auf internationale Organisationen wie NATO oder EU und 60 Prozent auf Branchenverbände. 48 Prozent erwarten die verlässlichsten Informationen von privaten Sicherheitsdienstleistern, 44 Prozent über soziale Netzwerke und elf Prozent aus eigenen Analysen oder dem eigenen Sicherheitsdienst.
Von der Politik erwarten die Unternehmen mehr Information, Prävention aber auch konkrete Aktion. So wünschen sich 71 Prozent eine staatliche Informationskampagne zum Verhalten bei hybriden Angriffen, 62 Prozent wollen, dass hybride Angreifer öffentlich benannt werden, und 50 Prozent plädieren für ein Lagebild zu hybriden Angriffen. Um die Prävention zu stärken, unterstützen 79 Prozent verpflichtende Sicherheitsstandards mit praxisnahen Leitlinien, zugleich erwarten 68 Prozent aber auch Förderprogramme für Sicherheitsmaßnahmen. 54 Prozent sprechen sich für eine massive Förderung der deutschen Sicherheitsindustrie aus und 49 Prozent für regelmäßige bundesweite Übungen mit Bevölkerung und Unternehmen.
Ssechs von zehn Unternehmen (60 Prozent) halten Cyberangriffe der Bundeswehr gegen feindliche Hackergruppen für sinnvoll, 58 Prozent die Ausweitung der Überwachungsbefugnisse von Sicherheitsbehörden im digitalen Raum und knapp die Hälfte der Befragten (49 Prozent) sagt, massive Cyberangriffe auf einen NATO-Staat sollten wie ein militärischer Angriff betrachtet werden. „Wir müssen die Resilienz von Verwaltung, Wirtschaft, Bevölkerung und Infrastruktur zu einem Top-Thema machen“, sagt Wintergerst. „Damit das schnellstmöglich gelingt, sollten wir uns an den Staaten orientieren, die dabei schon weiter sind als wir, etwa in Skandinavien.“
Alle Ergebnisse der Befragung gibt es auch online im Bitkom-Dataverse unter:
www.bitkom.org/Bitkom-Dataverse/HybrideAngriffeUnternehmen
Was genau sind eigentlich hybride Angriffe? Dazu heißt es auf der Webseite des Bundesverteidigungsministeriums: „Netzwerke oder elektronische Verbindungen von Behörden, Verwaltungen, Krankenhäusern oder Universitäten werden gestört oder lahmgelegt, die Systeme der kritischen Infrastruktur, etwa von Bahnanlagen, Flughäfen oder Kraftwerken, angegriffen. Unterwasserkabel auf dem Meeresgrund werden von sogenannten „Schattenflotten“ feindlicher Mächte vorsätzlich durchtrennt. Drohnen spionieren Einrichtungen der Bundeswehr und verteidigungswichtige Infrastruktur aus. Flugzeuge dringen mit Vorsatz unerlaubt in den Luftraum der Bundesrepublik Deutschland ein, oft mit ausgeschaltetem Transponder, also ohne vorschriftsmäßige Kennung.
Destabilisierung demokratischer Gesellschaften
Ziel der Angreifer ist es, nicht nur Schaden anzurichten, sondern insbesondere Gesellschaften zu destabilisieren und die öffentliche Meinung zu beeinflussen. Offene pluralistische und demokratische Gesellschaften bieten dafür viel Angriffsfläche und sind somit leicht verwundbar. Insgesamt wird diese Situation durch den völkerrechtswidrigen Angriffskrieg Russlands gegen die Ukraine erheblich verschärft.
Das Besondere an der hybriden Kriegsführung ist die Verschleierungstaktik. Die Täter operieren entweder anonym oder bestreiten Beteiligungen an Vorfällen und Konflikten. Sie gehen dabei äußerst kreativ und koordiniert vor, ohne die Schwelle zu einem offiziellen Krieg zu überschreiten.
Eben dies macht die Abwehr solcher Attacken so schwierig: Wenn es keinen eindeutigen Angriff oder Angreifer gibt, fällt die Gegenwehr schwer. Unberechenbarkeit wird zur Waffe. Sind wir noch im Frieden oder befinden wir uns schon im Krieg?“
Published by