500 Milliarden Dollar Schaden verursachen Hackerattacken weltweit pro Jahr. Konzerne wie Siemens registrieren jede Woche Hunderte Attacken auf ihre IT-Systeme. Der Markt für Security-Software boomt. Matthias Nels ist Geschäftsführer der Deutschen Gesellschaft für Cybersicherheit. Das Unternehmen betreibt die Plattform cyberscan.io und scannt täglich automatisiert alle Geräte, die mit dem Internet verbunden sind, auf Schwachstellen.
Herr Nehls, würde ein attackiertes Unternehmen einen wirklich guten Hack überhaupt bemerken?
Matthias Nehls: Ich schätze, dass die meisten Unternehmen nur in zwei, drei Prozent der Fälle überhaupt registrieren, dass sie gerade gehackt werden. Bei allen Angriffen, die in den Medien bekannt werden, haben die Unternehmen keine guten Hacker am Hals gehabt, sondern sind Zufallsopfer von Massenattacken geworden. Bei richtigen Angriffen ist gerade der Ansatz, dass man nichts mitbekommt.
Was halten Sie von der Theorie, dass IT-Security-Unternehmen Schwachstellen erst selbst in Umlauf bringen, um dann Gegenmittel anzubieten?
Bekannt ist, dass der amerikanische Geheimdienst die Lücke, die später von der Erpressersoftware WannaCry ausgenutzt wurde, aufgekauft und jahrelang geheim gehalten hat. Das kam erst raus, als die NSA selbst gehackt wurde. Aber dass von Unternehmen bewusst solche Lücken programmiert werden, halte ich für ein Ammenmärchen. Lücken sind in der Regel auf Programmierfehler zurückzuführen, die auftreten, weil die Software immer komplexer wird.
Zumindest für Geheimdienste werden aber von den Unternehmen bisweilen Hintertüren eingebaut. Wäre es denkbar, dass ein IT-Security-Anbieter plötzlich wirtschaftliche Probleme bekommt, weil eine Schwachstelle in seinem Produkt bekannt wird?
Die Möglichkeit besteht natürlich. Es gibt regelmäßig Schwachstellen in Virenscannern, die aktiv ausgenutzt werden. Viele Unternehmen bauen schon allein aufgrund der politischen und geheimdienstlichen Aktivitäten mehrstufige Firewalls. Da kommt zum Beispiel erst eine amerikanische Firewall, dann eine israelische und dann ein deutsche. Das ist natürlich ein bisschen paranoid. Auf der anderen Seite haben diese Unternehmen recht. Es ist bekannt, dass nach wie vor Schwachstellen vorhanden sind oder auch absichtlich Hintertüren in den Produkten offengehalten werden, um bestimmten Organisationen den Zugang zu ermöglichen.
Also sollten deutsche Unternehmen auf heimische Lösungen setzen?
Diese Alternative gibt es nicht immer. Unternehmen wie Cisco oder Sophos sind Weltmarktführer. Ich kenne kein deutsches Firewall-Produkt, das momentan auf einem ähnlichen Stand ist. Auch in unserem Bereich gab es vor uns nur amerikanische Unternehmen.
Ob Sophos wirklich ein Kauf ist, wie Nehls die Sicherheitslage bei den DAX-Konzernen sieht und weitere Einschätzungen zu einigen besonders prominenten und aussichtsreichen Cybersecurity-Aktien finden Sie in der neuen Ausgabe (29/19) von DER AKTIONÄR – am Kiosk oder hier als E-Paper erhältlich.