Cyberattacke - das klingt bedrohlich und das ist es auch. Gerade hatte es die CDU erwischt. Hacker haben die Daten der Kalender der Parteimitglieder abgegriffen, auch den vom Parteivorsitzenden Merz. Vorletzte Woche wurden in London nahezu alle Krankenhäuser lahmgelegt. Alles in allem entstanden durch gehackte Computersysteme, Datenlecks und Lösegelderpressung der deutschen Wirtschaft allein 2023 ein Schaden von 148 Milliarden Euro, so der Branchenverband Bitkom. Heute beginnt in Potsdam am Hasso-Plattner-Institut die zweitägige Potsdamer Konferenz für Nationale CyberSicherheit. Prof. Dr. Christian Dörr, Leiter des Fachgebiets "Cybersecurity – Enterprise Security" am Hasso-Plattner-Institut (HPI), erklärte auf radioeins, dass es nicht die Frage ist, ob Unternehmen angegriffen werden, sondern nur noch wann.

Ja, das ist natürlich das Problem der Infrastruktur. Die nehmen wir eigentlich gar nicht wahr, solange sie funktioniert. Und wenn sie nicht funktioniert, dann sind alle ganz aufgeregt und sagen: Oh je, was ist hier? Und die reale Situation, gerade was passiert, die ist wirklich sehr akut. Die ist schon seit vielen Jahren akut. Wir nehmen das Thema immer noch viel zu unzureichend wahr, machen viel zu wenig Investitionen in Deutschland in das Thema und Sie haben eben die Zahl genannt, über 150 Milliarden. Andere Studien sagen über 200 Milliarden. Das sind schon wirklich große Schäden, die dort in der Volkswirtschaft entstehen. 200 Milliarden, das muss man sich mal bewusst machen, das sind fünf Prozent des Bruttoinlandsproduktes. Das sind riesige Verluste, die dort aufgehäuft werden. Und es trifft wirklich jeden. Also die Studien zeigen, in den letzten zwölf Monaten sind acht von zehn Unternehmen in Deutschland Opfer von Cyberangriffen geworden. Und es ist nicht mal eine Frage, ob sie angegriffen werden, sondern nur noch wann.

Also es ist in der Tat keine Frage des Geldes per se, weil wir haben unglaublich viele Maßnahmen, die wir heute anwenden können. Ressourcen, Tutorials vom Bundesamt für Sicherheit und Informationstechnik zum Beispiel, die sogar vieles davon kostenlos ist. Das heißt, es ist oftmals ein Problem einfach der Awareness bei den Unternehmen, dass ich mir klar mache, oh je, das ist wirklich ein Thema, das geht auch nicht weg. Und da muss ich jetzt etwas dran steuern. Ich muss mich in Sicherheit vertiefen. Ich muss es einfach umsetzen. Und wie gesagt, es gibt viele Maßnahmen, die ich umsetzen kann. Es gibt aber auch viele Dinge, die ich einfach, wo ich meine Mitarbeiter sensibilisieren kann. Das ist der beste Schutz, den ich in Unternehmen haben kann. Und auch da muss ich nicht unbedingt viel Aufwände machen, um viel zu erreichen. Und was fehlt, ist insbesondere ein Gesamtkonzept. So drüber nachzudenken, was brauche ich denn eigentlich? Und, dass die Unternehmen damit auf den Weg gehen

Ja, also das konkrete Problem mit GPS ist, dass die Signale von den Satelliten, die sind in so genannten mittleren Orbit, die sind unglaublich leise auf der Erde. Und deswegen dauert es ja auch mal ein bisschen Zeit, bis der Satellitenempfänger alle Satelliten empfunden hat. Und wir kennen das mit der Satellitennavigation. Das sind sehr, sehr schwache Signale. Und wenn ich irgendetwas dazwischen tue, zwischen Satellit und den Empfänger, der entsprechend lauter redet, der das Signal entweder stört oder ein anderes Signal vortäuschen kann, dann gewinnt er natürlich. Und das passiert gerade im Baltikum. Das ist jetzt aber auch kein neuer Angriff. Also die Fachwelt weiß, dass diese Angriffe möglich sind, diese Angriffe werden auch schon in der Praxis seit vielen, vielen Jahren gemacht. Also ich würde fast sagen, wir gehen auf 20 Jahre zu, dass in der Praxis ausgebeutet werden. Und das hat halt nie wirklich die allgemeine Bevölkerung erreicht, dass das ein Problem ist.

Es gibt viele Maßnahmen, die zum Beispiel das Militär einsetzt, wo dann Backup-Infrastrukturen in der Industrie vorgehalten werden, um mit sowas umzugehen. Aber das meine ich halt genau mit der Infrastruktur. Sie ist da und alle nutzen sie. Aber wenn sie dann mal nicht da ist, dann ist natürlich große Aufmerksamkeit da.

Aber diese Probleme sind überall und uns ist gar nicht bewusst, was alles IT beinhaltet. Also Sie hatten eben das Beispiel Krankenhäuser erwähnt. So ein Krankenhaus ist im Prinzip ein Netzwerk. Also so ein Kernspintomograph oder ein Röntgengerät, da wird kein Film entwickelt oder so ein Sticker, sondern das ist ein PC, wo das Bild digital ausgelesen wird und digital dann an den Radiologen geschickt. Wenn Sie über ein Auto sprechen, ein Auto hat knapp 100 Computer eingebaut, die verschiedensten Computer und fünf Kilometer Kabel, die alle diese Computer miteinander verbinden. Und das ist halt wichtig. Also wenn Sie Aufzug fahren, steuert das ein Computer. Wenn Sie mit dem Zug fahren, steuert das ein Computer. Im Krankenhaus ist es ein Computer. Und all das ist angreifbar.

Leider nein. Das Problem ist, dass sich die offensiven Cyberkapazitäten, insbesondere von Cyberkriminellen aus den Gruppen aus dem Ausland, deutlich schneller weiterentwickeln, als wir uns einfach auf der Verteidigungsseite aufstellen. Das sind hochprofessionelle Strukturen, die arbeiten im industriellen Maßstab, die haben Hierarchien, die haben 24 Stunden Tech-Support, die haben tiefe Taschen, um dort wirklich Fachexperten zu bezahlen. Und auf der anderen Seite stehen gut vorbereitete Unternehmen, aber auch sehr, sehr viele Unternehmen ihnen gegenüber, die einfach ihre Basis-Hausaufgaben nicht gemacht haben. Also insbesondere im Mittelstand haben wir sehr viel Nachholbedarf, auch staatlicherseits, auf kommunaler Ebene. Wir erinnern uns alle an den Fall Südwestfalen-IT, letzten Herbst, wo 70 Kommunen vom Netz gegangen sind, über Monate. Anhalt-Bitterfeld ist uns auch noch bekannt. Also da haben wir sehr, sehr viele unvorbereitete Unternehmen und Organisationen auf der hiesigen Seite. Und dann kommt es natürlich zum Clash, wenn ich einen sehr potenten Angreifer habe, der enorm viel investiert hat, sehr technisch gut aufgestellt ist und der auf solche unvorbereitete Seite tippt.