München. Der Befund ist vernichtend. Mehr als drei von vier Unternehmen im industriellen Mittelstand Deutschlands glauben, gegen Cyberangriffe gut geschützt zu sein, aber die wenigsten sind es. „Wir konnten uns Administratorrechte geben und waren Gott im Firmennetzwerk“, sagt Michael Wiesner. Vor allem über veraltete Programme und Systeme habe er sich binnen zehn Minuten kompletten Zugriff auf mehr als die Hälfte aller von ihm und seinen Kollegen angegriffenen Firmennetze verschaffen können, gesteht der „weiße“ Hacker.

Im Rahmen einer Studie des heimischen Versicherungsverbands GDV und mit Wissen der betroffenen Mittelständler haben der Sicherheitsberater und seine Test-Hacker versucht, was geht. Das Ergebnis: Meistens geht fast alles.

23 von 40 Firmen waren leicht zu hacken

Über 500 deutsche Mittelständler hat der Verband zum Thema Cybersicherheit befragt, anschließend Experten im Darknet nach dort käuflichen Zugangsdaten für Firmennetze suchen lassen und am Ende bei 40 Freiwilligen durch Wiesner die Probe aufs Exempel gemacht. Bei 23 dieser 40 intensiv geprüften Firmen zwischen zehn und 850 Beschäftigten sind die Hacker rasch in deren IT-Herz vorgedrungen.

Homeoffice und Uralt-Systeme größtes Problem

„Wir hätten auf die Kronjuwelen zugreifen und die Unternehmen lahmlegen können“, stellt Wiesner klar. Hauptproblem sei, dass Mittelständler oft keine IT-Sicherheitsupdates aufspielen oder Uralt-Systeme verwenden, für die es solche überhaupt nicht mehr gibt. Dazu komme, dass es gelungen sei, in jeder zweiten Firma Mitarbeiter per Phishing-Email zu verleiten, einen Anhang anzuklicken und Zugangsdaten einzugeben. Gelockt wurde mit angeblicher Datenschutzschulung.

Besonders angreifbar seien Homeoffice-Arbeitsplätze. Hier seien nur zwölf der 40 genauer getesteten Firmen grundsätzlich sicher gewesen, betont Wiesner. Viele Mitarbeiter würden berufliche Emailadressen für private Zwecke bis hin zu Datingportalen nutzen und identische Passwörter verwenden. Wer solches Personal privat hackt, hat dann auch das Passwort für den Firmenzugang.

Firmen wähnen sich in falscher Sicherheit

Noch erschreckender ist, dass Mittelständler sich selbst oft anders einschätzen und für cybersicher halten. Mehr als drei von vier der 500 befragten Firmen aus den fünf Branchen Elektro, Chemie, Kunststoffverarbeitung, Maschinenbau und Lebensmittelproduktion halten ihre IT-Systeme für umfassend geschützt. Wiesner hat aber Sicherheitslücken entdeckt, die teils bereits seit 2008 bekannt sind, aber nie per Update beseitigt wurden. Gleiches gilt für IT-Notfallkonzepte, die greifen sollen, wenn ein Angriff von außen erfolgreich ist. Auch die sind oft völlig veraltet und wurden oft auch nie getestet.

Dabei zählen Deutschlands Mittelständler in den fünf genauer untersuchten Branchen zu beliebten Zielen von Cyberkriminellen. Jedes vierte Unternehmen wurde nach eigenen Angaben schon einmal gehackt. Allgemein im Mittelstand sind es nur 14 Prozent. „Es gibt Irrglauben und auch Beruhigungspillen“, stellt Gert Baumeister als Chef der GDV-Initiative CyberSicher klar.

Fast zwei von drei der in der Studie untersuchten Unternehmen argumentiert, zu klein zu sein, um in den Fokus von Cyberkriminellen zu geraten. Klar sei aber, dass man deutsche Mittelständler mit kleinem Aufwand in der Breite erfolgreich angreifen könne, stellt der Experte klar, der auch Sicherheitschef der Württembergischen Versicherung ist.

Teils nicht mal Cyberpolicen abgeschlossen

In einer weiteren Stufe der Studie haben vom GDV beauftragte Experten von 2.500 zufällig ausgewählten Mittelständlern im Darknet von über 1.000 Firmen insgesamt mehr als 35.000 Kombinationen von Email und Passwort gefunden. Die Fahrlässigkeit der Firmen sei teils so groß, dass in manchen Fällen nicht einmal eine Cyberpolice gegen Angriffe aus dem Internet gezahlt hätte, warnt Baumeister. Im Schnitt ein IT-Experte für 90 Beschäftigte sei einfach zu wenig, warnt Wiesner.