Ein Internetausfall würde Unternehmen in Deutschland im Schnitt nach 20 Stunden zum Stillstand bringen, 21 Prozent müssten sofort aufhören. Zugleich erwartet eine große Mehrheit eine Krise als Folge hybrider Angriffe. Nur 12 Prozent sehen sich gut vorbereitet, viele planen jedoch höhere Investitionen in Notfall- und Schutzmaßnahmen.

Deutschlands Wirtschaft hält einen längeren Ausfall von Internet und Kommunikation nur begrenzt aus. Laut einer Bitkom-Befragung unter über 600 Unternehmen ab zehn Beschäftigten könnten Firmen ihren Betrieb bei einem Internetausfall im Mittel 20 Stunden aufrechterhalten. 21 Prozent würden nach eigener Einschätzung sofort arbeitsunfähig. Nur acht Prozent trauen sich mehr als 48 Stunden Betrieb ohne Internet zu.

Anzeige

Hohe Erwartung einer Krise, geringe Zuversicht beim Schutzniveau

Die Umfrage zeichnet ein Bild aus hoher Bedrohungswahrnehmung und niedriger Selbstbewertung der Vorbereitung. 74 Prozent rechnen wegen der Spannungen zwischen Russland und der NATO mit einer steigenden Gefahr hybrider Angriffe. 83 Prozent erwarten eine ernsthafte Krise in Deutschland als Folge solcher Angriffe. 53 Prozent gehen sogar von einer militärischen Konfrontation zwischen Russland und der NATO in den kommenden fünf Jahren aus. Gleichzeitig halten 73 Prozent Deutschland im internationalen Vergleich für unzureichend vorbereitet.

Bitkom-Präsident Dr. Ralf Wintergerst verweist auf die Mischung aus digitalen und physischen Angriffsformen, die in Unternehmen schnell Kaskadeneffekte auslösen kann: »Anfang Januar mussten nach einem Anschlag mehr als 100.000 Menschen in Berlin bei Minustemperaturen tagelang ohne Strom auskommen, mehr als 2.000 Unternehmen waren betroffen. Hybride Angriffe auf Deutschland, die sich in einer Grauzone zwischen Krieg und Frieden abspielen, sind kein potenzielles Risiko, sie sind Realität. Deshalb müssen wir die Resilienz von Wirtschaft, Staat und Gesellschaft massiv hochfahren«.

Energie, Finanzwesen, Kommunikation gelten als neuralgische Punkte

Als besonders gefährdet sehen die befragten Unternehmen die Energieversorgung (90 Prozent) sowie Banken und Versicherungen (89 Prozent). Es folgen Wasser- und Abwasserversorgung (77 Prozent), Lebensmittelversorgung (67 Prozent), Gesundheitswesen (65 Prozent) sowie Telekommunikation und IT (64 Prozent). Transport und Verkehr (54 Prozent) und öffentliche Verwaltung (50 Prozent) liegen im Mittelfeld. Abfallentsorgung (28 Prozent) sowie Medien und Kultur (21 Prozent) werden am seltensten genannt.

Für die eigenen Geschäftsauswirkungen liegt die Energieversorgung noch deutlicher vorn: 97 Prozent erwarten bei erfolgreichen Attacken dort starke Effekte auf das eigene Unternehmen. Banken und Versicherungen folgen mit 88 Prozent, Telekommunikation und IT mit 85 Prozent. Wasserversorgung (69 Prozent) sowie Transport und Verkehr (67 Prozent) runden die Spitzengruppe ab. »Neben der Energieversorgung sind das Finanzwesen und die Kommunikation die neuralgischen Punkte der deutschen Wirtschaft«, fasst Wintergerst zusammen.

Mit Blick auf die Absicherung kritischer Infrastrukturen fordert Wintergerst zudem, Angriffsflächen durch öffentliche Informationen zu reduzieren: »Zum notwendigen Schutz gehört zuallererst, es potenziellen Angreifern nicht unnötig leicht zu machen. Wir sollten darauf verzichten, Datenleitungen im Gigabit-Grundbuch öffentlich zugänglich zu verzeichnen, denn das bedeutet ein zusätzliches Risiko für Sabotageakte. Wir brauchen im Bereich kritischer Infrastrukturen Datensparsamkeit und ein strenges Sicherheits- und Zugangskonzept.«

Chefsache, aber selten konsequent umgesetzt

In 61 Prozent der Unternehmen ist der Schutz vor hybriden Angriffen laut Umfrage Chefsache. 59 Prozent halten es für wahrscheinlich, selbst Ziel solcher Angriffe zu werden. Trotzdem stuft sich kein Unternehmen als »sehr gut« vorbereitet ein. Zwölf Prozent sehen sich „eher gut“ vorbereitet, 38 Prozent „eher schlecht“. 40 Prozent geben an, gar nicht vorbereitet zu sein, wobei 35 Prozent Maßnahmen planen und fünf Prozent keine Vorkehrungen vorsehen. 10 Prozent machen keine Angaben. Wintergerst sagt: »Wir müssen die Lücke zwischen Gefahrenbewusstsein und Schutzniveau schnellstmöglich schließen«.

Bei den konkreten Vorkehrungen zeigt sich ein heterogenes Bild. 58 Prozent verfügen über alternative Kommunikationsmittel, 57 Prozent haben Backups und nach eigenen Angaben erfolgreiche Restore-Tests durchgeführt. 51 Prozent nennen Ausweicharbeitsplätze oder Home-Office-Regelungen. Deutlich seltener sind organisatorische und infrastrukturelle Maßnahmen: 28 Prozent haben zusätzliche Lagerhaltung für Krisenfälle, 16 Prozent Vereinbarungen mit alternativen Lieferanten. Ein Krisen- oder Notfallmanagement existiert bei 28 Prozent. Eine Notstromversorgung geben 20 Prozent an. Regelmäßige Krisenübungen führt nur jedes zehnte Unternehmen (10 Prozent) durch.

Wintergerst betont die Bedeutung der ersten Stunden: »Wir müssen bei den konkreten Vorsorgemaßnahmen für den Fall einer Krise besser werden. Einen Notfallplan braucht jedes Unternehmen, er entscheidet über die Handlungsfähigkeit in den wichtigen ersten Stunden«. Gleichzeitig fordert er Unterstützung: »Die Unternehmen brauchen konkrete Handreichungen und Unterstützung, wie sie vorsorgen müssen und vorsorgen können«.

Personalengpässe als zusätzlicher Risikofaktor

Für den Fall einer militärischen Auseinandersetzung kommt ein weiterer Engpass hinzu: Beschäftigte könnten durch Aufgaben im Zivilschutz oder bei der Bundeswehr ausfallen. Nur 30 Prozent der Unternehmen haben nach eigenen Angaben einen guten Überblick, wie viele Mitarbeitende Zivilschutzorganisationen unterstützen. Bei der Bundeswehr sind es 20 Prozent. Selbst unter Unternehmen mit „gutem Überblick“ kann jedes fünfte (21 Prozent) keine genaue Zahl nennen. Im Schnitt schätzen diejenigen, die Zahlen angeben können, einen Ausfall von neun Prozent der Belegschaft.

Investitionen steigen, Informationslage bleibt aus Unternehmenssicht schwach

37 Prozent planen höhere Investitionen in die Vorbereitung auf hybride Angriffe und deren Folgen, neun Prozent davon »deutlich mehr«, 28 Prozent »eher mehr«. 44 Prozent wollen die Ausgaben unverändert lassen. Senkungen nennt kein Unternehmen, fünf Prozent treffen laut Umfrage keine Vorsorge.

Als Hemmnis gilt die Informationslage: Nur 22 Prozent fühlen sich ausreichend durch Sicherheitsbehörden informiert. Gleichzeitig erwarten 80 Prozent im Fall eines hybriden Angriffs die verlässlichsten Informationen von staatlichen Stellen wie BSI oder Katastrophenschutz. Vertrauen genießen außerdem öffentlich-rechtlicher Rundfunk (73 Prozent) und private Medien (67 Prozent). Internationale Organisationen wie NATO oder EU nennen 63 Prozent, Branchenverbände 60 Prozent. Private Sicherheitsdienstleister kommen auf 48 Prozent, soziale Netzwerke auf 44 Prozent. Nur 11 Prozent setzen hier primär auf eigene Analysen oder ein eigenes Security-Operation-Center.

Erwartungen an Politik: Standards, Förderung, Lagebilder und Übungen

Von der Politik wünschen sich die Unternehmen vor allem Orientierung und Verbindlichkeit. 71 Prozent befürworten eine staatliche Informationskampagne zum Verhalten bei hybriden Angriffen, 50 Prozent ein Lagebild. 62 Prozent wollen hybride Angreifer öffentlich benannt sehen. Bei der Prävention unterstützen 79 Prozent verpflichtende Sicherheitsstandards mit praxisnahen Leitlinien, 68 Prozent erwarten Förderprogramme für Sicherheitsmaßnahmen. 54 Prozent sprechen sich für eine stärkere Förderung der deutschen Sicherheitsindustrie aus, 49 Prozent für regelmäßige bundesweite Übungen mit Bevölkerung und Unternehmen.

Bei Maßnahmen im digitalen Raum zeigen die Antworten einen robusten Kurs: 60 Prozent halten Cyberangriffe der Bundeswehr gegen feindliche Hackergruppen für sinnvoll, 58 Prozent die Ausweitung von Überwachungsbefugnissen im digitalen Raum. 49 Prozent sagen, massive Cyberangriffe auf einen NATO-Staat sollten wie ein militärischer Angriff betrachtet werden. Wintergerst ordnet das Ziel übergreifend ein: »Wir müssen die Resilienz von Verwaltung, Wirtschaft, Bevölkerung und Infrastruktur zu einem Top-Thema machen«. Als Vorbild nennt er Länder mit weiter entwickelter Vorsorge: »Damit das schnellstmöglich gelingt, sollten wir uns an den Staaten orientieren, die dabei schon weiter sind als wir, etwa in Skandinavien.«