Bitkom-Umfrage

-

Firmen kaum gewappnet gegen hybride Angriffe

Anfang Januar mussten nach einem Anschlag mehr als 100.000 Menschen in Berlin bei Minustemperaturen tagelang ohne Strom auskommen, mehr als 2000 Unternehmen, darunter auch Apotheken, waren betroffen. »Hybride Angriffe auf Deutschland, die sich in einer Grauzone zwischen Krieg und Frieden abspielen, sind kein potenzielles Risiko, sie sind Realität. Deshalb müssen wir die Resilienz von Wirtschaft, Staat und Gesellschaft massiv hochfahren«, sagt Bitkom-Präsident Ralf Wintergerst.

Eine Befragung von 604 Unternehmen ab 10 Beschäftigten in Deutschland im Auftrag des Bitkom-Verbands ergab, dass die deutsche Wirtschaft schlecht gegen hybride Angriffe gerüstet ist. Keine der befragten Firmen hält sich für sehr gut darauf vorbereitet, nur 12 Prozent für eher gut. 38 Prozent geben an, eher schlecht vorbereitet zu sein, weitere 40 Prozent sind gar nicht vorbereitet. 35 Prozent planen aber, Vorkehrungen zu treffen. Eine deutliche Mehrheit von 59 Prozent hält es für wahrscheinlich, selbst Ziel hybrider Angriffe zu werden. »Wir müssen die Lücke zwischen Gefahrenbewusstsein und Schutzniveau schnellstmöglich schließen«, so Wintergerst.

Bei einem Internetausfall könnten Unternehmen im Schnitt ihren Geschäftsbetrieb nur 20 Stunden aufrechterhalten, jedes fünfte (21 Prozent) müsste sogar sofort die Arbeit einstellen, ergab die Umfrage. Umgekehrt seien nur 8 Prozent der Befragten sicher, länger als 48 Stunden weiterarbeiten zu können.

Zudem erwarten 8 von 10 der befragten Unternehmen eine ernsthafte Krise in Deutschland infolge von hybriden Angriffen. Zugleich rechnen drei Viertel der Unternehmen wegen zunehmender Spannungen zwischen Russland und der NATO mit einer erhöhten Gefahr hybrider Angriffe. Mehr als die Hälfte der Unternehmen geht sogar von einer militärischen Konfrontation zwischen Russland und der NATO in den kommenden fünf Jahren aus.

Als besonders gefährdet gelten laut Umfrage die Energieversorgung sowie Banken und Versicherungen. 77 Prozent sagen, die Wasser- und Abwasserversorgung sei stark gefährdet, 67 Prozent die Lebensmittelversorgung, 65 Prozent das Gesundheitswesen mit Krankenhäusern und Ärzten und 64 Prozent Telekommunikation und IT.

»Zum notwendigen Schutz gehört zuallererst, es potenziellen Angreifern nicht unnötig leicht zu machen. Wir sollten darauf verzichten, Datenleitungen im Gigabit-Grundbuch öffentlich zugänglich zu verzeichnen, denn das bedeutet ein zusätzliches Risiko für Sabotageakte«, erklärte Wintergerst. »Wir brauchen im Bereich kritischer Infrastrukturen Datensparsamkeit und ein strenges Sicherheits- und Zugangskonzept.«

Laut Umfrage hätten die Unternehmen zwar eine Vielzahl von konkreten Vorkehrungen zum Umgang mit erfolgreichen hybriden Angriffen getroffen, es fehle aber ein flächendeckender und umfassender Schutz. 57 Prozent verfügen über Backups ihrer Daten und hätten auch erfolgreiche Restore-Tests durchgeführt, 15 Prozent haben das vor.

In 51 Prozent der befragten Firmen gibt es Ausweicharbeitsplätze beziehungsweise Homeoffice-Regelungen für den Fall, dass im Unternehmen nicht gearbeitet werden kann. Rund ein Viertel hat für den Krisenfall durch zusätzliche Lagerhaltung vorgesorgt. Zudem haben 16 Prozent der Firmen Vereinbarungen mit alternativen Lieferanten getroffen, falls bestehende Lieferketten ausfallen. 28 Prozent setzen auf Sicherheitsüberprüfungen in sensiblen Bereichen. Ebenfalls 28 Prozent haben ein Krisen- oder Notfallmanagement.

Über eine Notstromversorgung verfügen 20 Prozent der Unternehmen; nur jedes zehnte führt regelmäßige Krisenübungen durch. Viele Unternehmen wollen den Schutz hochfahren, zudem planen 4 von 10 Unternehmen höhere Investitionen. »Wir müssen bei den konkreten Vorsorgemaßnahmen für den Fall einer Krise besser werden. Einen Notfallplan braucht jedes Unternehmen, er entscheidet über die Handlungsfähigkeit in den wichtigen ersten Stunden«, sagt Wintergerst. »Die Unternehmen brauchen konkrete Handreichungen und Unterstützung, wie sie vorsorgen müssen und vorsorgen können.«

Ein Problem für die Firmen seien die fehlende Informationen über mögliche hybride Angriffe. Nur rund jedes fünfte Unternehmen fühlt sich aktuell ausreichend durch Sicherheitsbehörden informiert. »Einheitliche und klare Informationen des Staates sind von herausragender Bedeutung«, so Wintergerst. 

Von der Politik erwarten die deutschen Firmen mehr Informationen, Prävention, aber auch konkrete Aktionen. So wünschen sich 71 Prozent eine staatliche Informationskampagne zum Verhalten bei hybriden Angriffen. Um die Prävention zu stärken, unterstützen 79 Prozent verpflichtende Sicherheitsstandards mit praxisnahen Leitlinien, zugleich erwarten 68 Prozent aber auch Förderprogramme für Sicherheitsmaßnahmen. 54 Prozent sprechen sich für eine massive Förderung der deutschen Sicherheitsindustrie aus und 49 Prozent für regelmäßige bundesweite Übungen mit Bevölkerung und Unternehmen.

»Wir müssen die Resilienz von Verwaltung, Wirtschaft, Bevölkerung und Infrastruktur zu einem Top-Thema machen«, so Wintergerst. »Damit das schnellstmöglich gelingt, sollten wir uns an den Staaten orientieren, die dabei schon weiter sind als wir, etwa in Skandinavien.«