Die Verschlüsselungssoftware Ryuk bedient sich zweier älterer Trojaner und ermöglicht maßgeschneiderte Erpressungsversuche. Sie ist laut dem Verband VDE daher besonders effektiv. 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass die Verschlüsselungssoftware bereits mehrere deutsche Unternehmen infiziert hat. "Vier von zehn VDE-Mitgliedsunternehmen und Hochschulen waren nach einer Umfrage bereits vor Ryuk von Cyber-Attacken betroffen. Weitere 40 Prozent wissen noch nicht einmal, ob sie angegriffen worden sind. Der VDE geht daher davon aus, dass die Dunkelziffer weitaus höher ist“, kommentiert Ansgar Hinz, Chef des Technologieverbandes VDE, die Mitgliederumfrage.

Die Erhebung ergibt, dass es Sicherheitsdefizite in der eigenen Organisation den Angreifern leicht machen: 75 Prozent sagen, dass es den Mitarbeitern an Sensibilität für das Risiko von Cyber-Attacken fehlt. 45 Prozent geben zu, dass ihre IT-Systeme nicht ausreichend geschützt sind und den Angriffen nicht standhalten können.

Mittelstand besonders hart getroffen

Größtes Problem seien die Ressourcen. 79 Prozent der Befragten sind überzeugt, dass viele Unternehmen aufgrund der wachsenden Anforderungen an die IT-Sicherheit finanziell und personell überfordert sind. "Vor allem der Mittelstand tut sich schwer, genügend IT-Experten zu finden. Viele verfügen nicht über die Ressourcen und Fähigkeiten für eigene Computer Emergency Response Teams (CERTs)", erklärt Ansgar Hinz.

Der Verband hatte daher schon 2017 mit CERT@VDE die erste anonyme Plattform zur Koordination von IT-Security-Problemen im Bereich Industrieautomation geschaffen, der mittlerweile maßgebliche Mittelständler der Elektroindustrie angehören. "Auf ausdrücklichen Wunsch des Mittelstands hat der VDE nun sein Portfolio im Bereich IT-Security erweitert und das ‘Competence Center for Information and Corporate Security’ gegründet. Neben dem CERT unterstützt der VDE mit seinem neuen Kompetenzzentrum Unternehmen bei der Analyse, Verbesserung und Umsetzung ihrer Cyber Security Strategie und bei der Einhaltung gesetzlicher und regulatorischer Anforderungen", so der VDE-Chef.

Gesetzliche Anforderungen belasten Mittelstand zusätzlich

Neben der Abwehr von Cyber-Angriffen müssen die Unternehmen die Anforderungen der EU-Datenschutzverordnung (DSGVO), des IT-Sicherheitsgesetzes und der Governance-Risk-Compliance einhalten, was den Unternehmen zusätzliches Budget abverlangt und personelle Aufstockung aus einem bereits fast leergefegten Expertenmarkt bedeutet.

"Viele unserer Unternehmen sind schlichtweg überfordert. Einerseits bedrohen Cyber-Kriminelle ihre Existenz, auf der anderen Seite schwebt das Damoklesschwert der DSGVO über ihnen. Für beides sind oftmals keine Ressourcen verfügbar", fasst Hinz das Dilemma zusammen.

Hilfe vom VDE

Gemäß seiner Satzung sei der VDE der Sicherheit verpflichtet und unterstützt daher den Mittelstand dabei, die Informationssicherheit auf allen Ebenen zu erfüllen. "Unsere Experten führen eine GAP-Analyse auf Grundlage des BSI Basis Cyber Security Check und des ISO27001 Security Check und optional weiter darüber hinaus durch und bewerten so das bestehende Sicherheitsniveau nach international anerkannten Rahmenwerken und Standards. Aufgrund unseres gesamtheitlichen Ansatzes bieten wir maßgeschneiderte, finanzierbare und praktikable Lösungen an, um bestehende Cyber-Risiken gezielt anzugehen und die Unternehmen bei der Einhaltung der Compliance Anforderungen zu unterstützen“, erklärt Ansgar Hinz. Das Thema Informationssicherheit endet längst nicht mehr bei der Implementierung technischer Maßnahmen. Eine mindestens ebenso wichtige Rolle spielen hierbei die Aspekte Governance, Risk und Compliance, fasst der VDE-Chef zusammen. (sg)