Arne Schönbohm, der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), nannte es eine „extrem kritische Bedrohungslage“. Der Chef eines US-Cybersicherheitsunternehmens Tenable sprach gar von einem „Fukushima-Moment für die IT-Sicherheit“, als IT-Sicherheitsforscher Ende vergangenen Jahres eine gravierende Sicherheitslücke in einem Log4j genannten Programmbaustein der Softwareplattform Java entdeckten. Das BSI veröffentlichte umgehend einen roten Alarm, die höchste Warnstufe.
An der Brisanz der Schwachstelle hat sich bis heute nichts geändert. Vor zwei Wochen erst warnten Experten des US-Heimatschutzministeriums erneut vor den potenziell gravierenden Folgen eines Hackerangriffs über die Log4j-Lücke. Schließlich steckt der verletzbare Softwarecode weltweit milliardenfach in Websites und Onlineangeboten, Unternehmenswendungen und vernetzten Geräten. Hacker, die die Lücke ausnutzen, könnten schlimmstenfalls die betroffenen Systeme übernehmen. Die Folgen: Datendiebstahl, Erpressung, Sabotage.
Angesichts der Deutlichkeit der Warnungen sollte anzunehmen sein, dass IT-Verantwortliche jeglicher Unternehmen umgehend ihre Systeme daraufhin überprüfen, ob auch sie von der Schwachstelle betroffen sind. Eigentlich sogar, dass sie längst die kurz nach Bekanntwerden der Lücke bereitgestellte Reparatursoftware installiert haben, um die Hackergefahr an dieser Stelle zu bannen.
Die Realität sieht anders aus – zumindest im deutschen Mittelstand. Der wird seinem in Sachen Cybersicherheit seit Jahren notorisch schlechten Ruf wieder einmal vollauf gerecht. Das belegt eine repräsentative Umfrage des Marktforschers Forsa im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft, deren Ergebnisse der Verband kürzlich veröffentlicht hat.
Demnach haben nur 40 Prozent der deutschen Mittelständler ihre IT nach Bekanntwerden der Log4j-Schwachstelle daraufhin überprüft, ob sie davon betroffen sind. Schlimmer noch: Selbst von dieser Minderheit haben sich nur zwei Drittel anschließend noch die Mühe gemacht zu prüfen, ob über Hacker die Lücke womöglich schon Schadprogramme ins Unternehmen eingeschleust haben.
Oder um es noch deutlicher zu sagen: Allen Warnungen zum Trotz ist es fast Dreiviertel aller deutschen Mittelständler völlig egal, ob ihre Firmen-IT für Hacker sperrangelweit offensteht! Es interessiert offenbar allenfalls eine Minderheit der Verantwortlichen, ob sensible Firmendaten, Konstruktionspläne, personenbezogene Informationen von Kunden oder andere wertvolle Informationen gestohlen oder die eigenen IT-Systeme von Cyberkriminellen verschlüsselt werden.
Anfang dieses Jahres hatten wir der besonderen Verletzlichkeit des Mittelstandes durch Hackerangriffe und der erschreckenden Ignoranz der Verantwortlichen eine ganze WirtschaftsWoche-Titelgeschichte gewidmet. Eine Erkenntnis damals: Der Irrglaube vieler Mittelständler ist einfach unerschütterlich, man sei zu klein, zu unbedeutend, zu randständig, um in den digitalen Weiten des Internets aufzufallen.
Dass die Realität längst anders aussieht; dass sich die Schäden durch Erpressungssoftware bei deutschen Unternehmen nach Erhebungen des IT-Branchenverbandes Bitkom zwischen 2019 und 2012 auf 24,3 Milliarden Euro fast verfünffacht haben; dass dabei überproportional häufig Mittelständler betroffen waren – all das scheint der größte Teil des deutschen Mittelstandes offenbar wirklich am eigenen Leibe erleben zu müssen, bevor die Verantwortlichen dort das Thema angemessen ernst nehmen.
Lesen Sie auch: Viele Mittelständler kämpfen mit Gasengpässen und Kapazitätsproblemen, mit Fachkräftemangel und Rezessionsrisiken – und mit der Regulierungswut der Bürokratie. Und proben nun den Aufstand gegen ihre Überregulierung.
