Die IT vieler Betriebe ist nach Einschätzung der Industrie- und Handelskammer Region Stuttgart einer Vielzahl von Angriffsrisiken ausgesetzt. Doch die Unternehmen schützten sich nicht ausreichend dagegen.

Stuttgart - Die Sicherheit im Internet ist bei Unternehmen in der Region nicht ausreichend gewährleistet. Fast kein Betrieb erreiche die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Das hat die Industrie- und Handelskammer (IHK) Region Stuttgart mit einem Test über ihre Mitgliedsbetriebe herausgefunden. „Der Missbrauch im Internet ist zu einer eigenen Branche der Kriminalistik geworden“, warnte Hauptgeschäftsführer Andreas Richter. Besonders in der Industrie müssten die Sicherheitslücken geschlossen werden, sagte er. Das Bewusstsein für die Notwendigkeit sicherer Internetverbindungen wolle die IHK erhöhen, sagte Richter.

 

Bei dem Test, den die IHK zum ersten Mal durchgeführt hat, wurden die Webseiten und E-Mail-Server von rund 16 000 Unternehmen mit einem Programm überprüft, in Absprache mit dem Landesdatenschutzbeauftragten. So erhielt die IHK keine Einzeldaten von bestimmten Unternehmen, sondern nur die zusammengefassten Ergebnisse. Das Augenmerk lag vor allem auf der Verschlüsselung und den Protokollen, die festlegen, wie die Server mit den Internetbrowsern kommunizieren.

Lesen Sie auch

Betriebe kommen den Empfehlungen kaum nach

Nur 41 Prozent der überprüften Internetseiten lassen eine Verbindung über das sichere Kommunikationsprotokoll HTTPS zu. Davon wiederum erscheint bei 90 Prozent eine Warnung, da die Verschlüsselung wahrscheinlich nicht bewusst stattfindet.

Bei den Protokollen empfiehlt das BSI, nur die beiden neuesten Versionen zu verwenden: TLS 1.1 oder 1.2. Der Test zeigt aber: Dieser Empfehlung kommen nur 13 Betriebe nach. Der Vorgänger TLS 1.0 wird laut IHK noch von fast 6000 Servern unterstützt. Da viele Smartphones nicht mit den neuen Protokollen kompatibel seien, werde TLS 1.0 noch so häufig angeboten, erläuterte Michael Wilfer, Vorsitzender des IHK-Ausschusses für Informationstechnologie. Wenn gleichzeitig aber eine sichere Verschlüsselung gegeben ist, sei der Server auch mit der Altversion des Protokolls ausreichend geschützt.

Verschlüsselung ist ein großes Problem

Das gelte aber nur für TLS 1.0, erklärte Wilfer. Rund 1500 Betriebe nutzen sogar noch ältere Versionen namens SSL 2.0 und 3.0. Diese Protokolle seien schon längst geknackt worden. „Die sollten überhaupt nicht mehr eingesetzt werden“, riet deshalb der Ausschussvorsitzende. Bei der Verschlüsselung hält sich laut dem Test noch kein Betrieb vollständig an die Standards des BSI. Die große Mehrheit biete unsichere Verfahren an, manche Betriebe sogar sehr unsichere. Der Test der E-Mail-Server fällt insgesamt noch schlechter aus als der der Internetauftritte. Wilfer vermutete, dass die Mail-Server von vielen Unternehmen selbst betrieben werden. Bei den Webseiten würden die Betriebe eher auf größere Anbieter mit größerer Sicherheit setzen.

Die Folgen seien für Unternehmen fatal, sagte Hauptgeschäftsführer Richter. Inhalte könnten problemlos abgegriffen werden. Bei vertraulichen Daten verstoßen die Betriebe dann auch gegen das Gesetz. Kriminelle könnten außerdem Trojaner oder andere Schadsoftware verbreiten. „Viele kleine und mittlere Unternehmen sind sich der Gefahren nicht bewusst“, sagte Richter. Auch bei Industrie 4.0 gebe es ein erhebliches Risiko. Dort könnten die Hacker die Produktion sabotieren. Solche Fälle kämen laut Richter aber nie ans Licht, da die Betriebe sich keinen Imageschaden in Sachen Datenschutz erlauben können.Jetzt will die IHK Region Stuttgart ihre Mitglieder umfassend informieren, damit diese ihre IT-Sicherheit erhöhen. „Im Idealfall ist es nur ein Konfigurationsaufwand“, sagte Alvar Freude, der das Programm für den Test entwickelt hatte. Das müsse man für jeden Betrieb jedoch einzeln betrachten. Im Verhältnis zum Risiko sind die Umstellungskosten laut Wilfer aber sehr gering. Dennoch rechne die IHK nicht mit einem kurzfristigen Durchbruch. „Es wird ein mühsames Thema“, sagte er und begründete dies so: Die Gefahren seien sehr abstrakt, die IT-Sicherheit sei komplex, und auch die Anforderungen änderten sich relativ häufig.

Tests sollen quartalsweise wiederholt werden

Das Programm von Alvar Freude soll nun veröffentlicht werden, damit auch andere IHKs den Test machen können. Dadurch erhofft sich Wilfer Vergleichswerte. In der Region Stuttgart werde die IHK den Test quartalsweise durchführen, um die Entwicklung beobachten zu können.