INNOVATIVE INVESTMENTCHANCEN IM DYNAMISCHEN MARKT DER IT-SICHERHEIT
Eintrittsstellen von Online-Kriminellen auf Rechner und in Netzwerke
Die größte Schwachstelle ist und bleibt der Mensch, weil auf seine Schwächen Verlass ist. Obwohl die typischen Gefahrenquellen eigentlich bekannt sind, gelingen noch immer viele Angriffe über fingierte E-Mails, USB-Sticks oder den leichtfertigen Umgang mit Passwörtern – wie zum Beispiel der gelbe „Post-it-Zettel“ am Bildschirm. Fairerweise muss man anmerken, dass die Methoden der Angreifer immer filigraner werden. Trojaner zu erkennen, wird immer schwieriger, da sie sich zum Beispiel als normalen PDF-Anhang tarnen oder in Installationsprogrammen für Cloud-Dienstleistungen verstecken.
Darüber hinaus können Mitarbeiter natürlich auch bewusst Schadsoftware in das System einschleusen oder Daten stehlen. Die Beweggründe sind dabei unterschiedlich: Die einen möchten sich am Unternehmen für vermeintliches Unrecht „rächen“, die anderen einen lukrativen Nebenverdienst erschließen. So versuchen auch Cyberkriminelle, Mitarbeiter von besonders attraktiven Zielfirmen über soziale Netzwerke als gut bezahlte Handlanger anzuwerben.
Das zweite Zugangstor in Unternehmensnetze sind oft technische Schwachpunkte in den immer komplexeren IT-L andschaften. Dies beginnt mit der zunehmenden Nutzung von privaten Geräten der Mitarbeiter („Bring your own Device“) und der Tatsache, dass diese Geräte meist nicht dem vollen Zugriff der IT-Abteilung unterliegen. Das Gleiche gilt für Laptops von Geschäftspartnern, die bei Besuchen ans Firmennetz angeschlossen werden. Häufig eröffnen auch fehlende Software-Updates oder von außen zugängliche Produktivsysteme (zum Beispiel für den Manager auf Reisen) Einfallsmöglichkeiten für Schadsoftware. Das gilt ebenso für Fernwartungslösungen von Maschinenherstellern. Hier ist eine umfassende Sicherung unumgänglich. Kommt es schließlich zu einem Eintritt von Fremdsoftware, kann sie sich oft schnell verbreiten, da einzelne Netzteile nicht umfassend voneinander getrennt sind oder eine Dokumentation der IT-Infrastruktur schlichtweg nicht vorhanden ist.
Verschiedene Arten von Cyberattacken und ihre Ziele
Die häufigsten Formen von Cyberangriffen lassen sich wie folgt kategorisieren:
Phishing
Diese Art von Attacke dürfte jeder schon einmal erlebt haben. Dabei werden täuschend echt wirkende Köder-Mails verschickt, um Personen zur Freigabe persönlicher Daten wie Passwörter für Bankkonten zu bewegen. In Unternehmen wurden gefälschte E-Mails von vermeintlichen Vorgesetzten auch schon dazu benutzt, Mitarbeiter zur Überweisung von Geldbeträgen auf Konten von Cyberkriminellen zu bewegen. Der bekannteste und spektakulärste Fall dieser Art ereignete sich 2017 beim Kabelspezialisten Leoni, wo aufgrund einer fingierten Mail 40 Millionen Euro unwiederbringlich auf Konten in Hongkong und China transferiert wurden.
DoS- oder DDoS-Attacke
Bei „Denial of Service” (DoS) oder “Distributed Denial of Service” (DDoS) ist es das Ziel, die Server von Unternehmen oder Behörden durch zahlreiche gezielte Anfragen lahmzulegen. Diese Sabotageangriffe sind zwar wirksam, haben aber oft nur einen kurzfristigen Ausfall der Systeme zur Folge.
Schadsoftware
Die bekannteste Variante von Schadsoftware sind Viren. Dies sind versteckte Programmcodes, die an Dateien angehängt werden. Beim Aufruf der Wirtsdatei wird der zusätzliche Programmcode des Virus mit ausgelöst. Das Virus kann dabei je nach Ausprägung unterschiedliche Vorgänge anstoßen: Daten löschen, das Betriebssystem stören oder Schäden an einer anderen Software auslösen. Auch kann eine Übertragung von Daten an Dritte erfolgen. Noch gefährlicher, insbesondere für Unternehmen, ist die Ransomware. Diese Form der Schadsoftware blockiert den Zugriff auf Systeme und Daten oft ganzer Unternehmen, die nur gegen Zahlung eines Lösegelds (englisch: Ransom) wieder freigegeben werden. Häufig haben die Betroffenen aber keine Gewissheit, ob sie nach der Zahlung eines Lösegeldes wieder Zugriff auf ihre Daten haben. Das macht den Umgang mit einem solchen Angriff besonders schwierig.
Man-in-the-Middle-Angriff
Hierbei versucht ein Angreifer, sich unbemerkt zwischen die Kommunikation zweier oder mehrerer Parteien zu positionieren, diese mitzulesen oder zu manipulieren. Besonders im Mittelpunkt steht hier die Kommunikation im wirtschaftlichen Leben, zum Beispiel zwischen einer Bank und ihren Kunden. Häufig gelingen diese Angriffe bei der Nutzung ungeschützter WLAN-Hotspots. Um „Man-in-the-Middle-Angriffe“ zu vermeiden, kommt bei immer mehr Online-Transaktionen das zweistufige Authentifizierungsverfahren zur Anwendung, das zum Beispiel die zusätzliche Eingabe eines per SMS übermittelten Codes zur Identitätsüberprüfung verlangt.
Angriff auf Kennwörter
Passwörter stehen besonders im Interesse von Cyberkriminellen. Neben der Phishing-Methode versuchen Kriminelle daher, Plattformen mit zahlreichen Nutzern (zum Beispiel Telekommunikationsunternehmen, Versicherungen, Online-Händler) auch direkt zu knacken und dort im größeren Stil Passwörter zu entwenden. Da viele Menschen privat und geschäftlich die gleichen Passwörter nutzen, werden diese zum Beispiel wieder zu Angriffen auf Unternehmensnetze genutzt. Der Datendieb nutzt die erbeuteten Kennwörter häufig nicht selbst, sondern verkauft sie über das Darknet an hierauf spezialisierte Kriminelle. Angesichts der hohen Anzahl von Betroffenen und des potenziellen Schadens können solche Fälle erhebliche Schadensersatzforderungen nach sich ziehen. Eine weitere Methode, um Kennwörter anzugreifen, ist der umfassende Einsatz von Rechnerleistung, bei der man so lange verschiedene Passwortkombinationen ausprobiert, bis man die passende ermittelt hat. Diese „Brute-Force-Methode“ ist aber bei langen Passwörtern äußerst zeitaufwendig und damit wenig effizient.
Häufigere Schäden durch Phishing & Passwortdiebstahl
Welche der folgenden Arten Cyberangriffen haben innerhalb der letzten
12 Monaten in Ihrem Unternehmen einen Schaden verursacht?
Quelle: Bitkom Research 2022 | Basis: alle befragten Unternehmen (n=1.066) | Mehrfachnennungen möglich
Quelle: Bitkom Research 2022 |
Basis: alle befragten Unternehmen (n=1.066)
Wenn auch gerade Unternehmen versuchen, sich mit zahlreichen Hard- und
Softwarelösungen gegen die Cyberattacken zu wappnen, hat man doch den Eindruck, in der Geschichte vom Hasen und dem Igel zu sein. Die Kriminellen finden immer neue Wege, in einzelne Endgeräte oder Unternehmensnetze zu gelangen. Genauso wie bei der Abwehr von Online-Angriffen zunehmend künstliche Intelligenz genutzt wird, kommt sie auch auf der anderen Seite bei der Entwicklung neuer, perfiderer Angriffsmethoden zum Einsatz. Es findet ein ständiges Wettrüsten statt. Die Anzahl der Angriffe nimmt dabei stetig zu. So entstehen wohl täglich 200.000 neue Varianten von Viren, Trojanern und Würmern. Wie häufig große Netze dabei attackiert werden, zeigt der Online-Sicherheitstacho der Deutschen Telekom, die täglich allein 450.000 Angriffe auf ihre Locksysteme verzeichnet.
Deutsche Wirtschaft in der Breite von Angriffen betroffen
War Ihr Unternehmen innerhalb der letzten 12 Monate (2017 und 2019: innerhalb der letzten zwei Jahre)
von Diebstahl, Industriespionage oder Sabotage betroffen?
Laut einer Umfrage von Bitkom, dem Branchenverband der deutschen Informations- und Telekommunikationsbranche, unter deutschen Unternehmen waren 84 Prozent von ihnen im Jahr 2022 von Datendiebstahl, Industriespionage und Sabotage betroffen – deutlich mehr als noch 2017, als die Quote nur bei 53 Prozent lag.
Die Angriffe verlagern sich dabei immer mehr auf den digitalen Bereich. 45 Prozent der befragten Unternehmen befürchten inzwischen, dass Cyberattacken ihre geschäftliche Existenz bedrohen können. Ein dramatischer Anstieg zum Vorjahr, als nur neun Prozent diese Befürchtung hatten.
Das Problem verschärft sich, da in der Cyberkriminalität innerhalb weniger Jahre professionelle Strukturen entstanden sind. So waren 2022 bereits mehr als die Hälfte aller Attacken auf Unternehmen auf professionelle Gruppierungen zurückzuführen, nach nur 21 Prozent im Jahr 2019. Hier hat sich eine arbeitsteilige kriminelle Industrie gebildet, die über das Darknet kommuniziert. So gibt es fokussierte Malware-Entwickler, Dienstleister für das Testen und die Verbreitung der Schadprogramme sowie Spezialisten für das Eintreiben von Lösegeldern oder das Verkaufen gestohlener Daten. Die Erlöse werden unter den Beteiligten aufgeteilt. Häufig erfolgen die Taten auch im Auftrag Dritter. Man könnte analog zu den Trends im Softwarebereich auch von einer Entwicklung hin zum „Crime as a Service“ sprechen.
Häufigere Schäden durch Phishing & Passwortdiebstahl
Welche der folgenden Arten Cyberangriffen haben innerhalb der letzten
12 Monaten in Ihrem Unternehmen einen Schaden verursacht?
Quelle: Bitkom Research 2022 | Basis: alle befragten Unternehmen, die in den letzten 12 Monaten (2019: 2 Jahren) von Datendiebstahl, Industriespionage oder Saboatge betroffen waren (2022: n=899; 2021: n=935; 2019: n=801) | Mehrfachnennungen möglich
Vor dem Hintergrund des immer professionelleren Vorgehens der Angreifer stiegen die Schadenssummen in den vergangenen Jahren dramatisch an. Sie haben sich laut Bitcom-Umfrage allein in Deutschland in nur fünf Jahren auf über 200 Milliarden Euro pro Jahr vervierfacht. Der Schaden entsteht dabei nicht nur aus dem möglichen Stillstand der IT-Systeme oder der nur bedingten Handlungsfähigkeit des Unternehmens. Das weitaus größere Risiko sind bleibende Umsatzeinbußen durch Marktanteilsverluste, plagiierte Produkte, Schadensersatzklagen und nur schwer wieder zu behebende Imageverluste. Viele Unternehmen versuchen daher, die Attacken nicht öffentlich werden zu lassen und geräuschlos intern zu lösen. Aufgrund der erheblichen Auswirkungen auf die Lieferfähigkeit und Erreichbarkeit ist dies jedoch oft nicht möglich. Allein in den vergangenen Monaten waren in Deutschland so bekannte Namen wie Metro, Aurubis, Hipp, Knauf, die Deutsche Presse-Agentur oder Continental von Cyberattacken betroffen. Die Angreifer fokussieren sich dabei nicht nur auf kommerzielle Institutionen. So wurden 2022 auch der Caritasverband München, die IHK, der TÜV Nord oder das Fraunhofer-Institut in Stuttgart von Online-Angriffen heimgesucht. Selbst führende Firmen aus dem IT-Bereich wie die Software AG oder der französische IT-Dienstleister Sopra Steria wurden in den vergangenen Jahren Opfer. Bei Sopra Steria entstand dabei ein Schaden von 50 Millionen Euro. Dramatische Auswirkungen können auch Angriffe auf staatliche Institutionen, Städte und insbesondere auf die kritische Infrastruktur haben. Die medienwirksame Attacke auf den Deutschen Bundestag 2015 war dabei noch vergleichsweise harmlos, ebenso der Ausfall von Informationstafeln der Deutschen Bahn 2017. Der Hackerangriff, der Mitte 2021 die öffentliche Verwaltung des gesamten Landkreises Anhalt-Bitterfeld traf, hatte da schon eine andere Dimension. Zeitweise konnten keine Gehälter ausgezahlt, Kraftfahrzeuge zugelassen oder Sozialhilfen angewiesen werden. Am Ende war ein Schaden von 1,5 bis zwei Millionen Euro entstanden.
Kritische Infrastruktur rückt in den Fokus von Cyberangriffen
Wie hat sich die Anzahl der Cyberattacken auf Ihr Unternehmen in den vergangenen 12 Monaten entwickelt?
Quelle: Bitkom Research 2022 | Basis: alle befragten Unternehmen (n=1.066)
Hier droht wohl in Zukunft noch größeres Ungemach. Die militärischen Cyberaktivitäten autoritär regierter Länder wie Russland und China könnten vor dem Hintergrund des Ukraine-Kriegs und eines möglichen Konflikts um Taiwan völlig neue Dimensionen annehmen. So beobachten deutsche Unternehmen bereits seit 2021 eine merkliche Zunahme der Angriffe aus beiden Ländern. Nicht völlig unberechtigt sind daher Befürchtungen, dass aus dieser Richtung großflächige Angriffe auf Stromnetze, Wasserversorgungen oder Bahnnetze erfolgen könnten, zumal diese Netze oft nur unzureichend gesichert sind. Darüber hinaus arbeiten die staatlichen Angreifer auch vermehrt mit den im Darknet organisierten professionellen Cyberkriminellen zusammen. So werden direkte Aufträge für Attacken erteilt oder Daten, die die Kriminellen aus Attacken erbeutet haben, von staatlichen Stellen dieser Länder erworben. Wie es Thomas Haldenwang, Präsident des Bundesamts für Verfassungsschutz, formulierte: „Die Grenzen zwischen kriminellen Hackern und staatlichen oder halbstaatlichen Stellen verschwimmen zunehmend.“ All dies zeigt, dass durch die umfangreiche Digitalisierung und Vernetzung und die damit ansteigenden Bedrohungen auch ein stark wachsender, lukrativer Markt zur Abwehr dieser Gefahren entsteht. Deutsche Unternehmen verwendeten im Jahr 2021 rund sieben Prozent ihrer IT-Ausgaben für die Cybersicherheit. Fachleute halten auf mittlere Sicht sogar eine Quote von 15 bis 20 Prozent für nötig.
Cybersicherheit:
Anteil der Investitionen wächst – aber zu langsam
Wie hoch ist geschätzt der Anteil des Budgets für IT-Sicherheit am gesamten IT-Budget Ihres Unternehmens (in Prozent)?
Quelle: Bitkom Research 2022 | Basis: alle befragten Unternehmen (n=1.066)
Der Markt für Cybersicherheitssoftware, -hardware und Dienstleistungen war 2021 weltweit bereits 140 Milliarden US-Dollar groß. Angesichts der aufgezeigten Trends wird er die kommenden fünf Jahre wohl um jeweils zwölf Prozent wachsen. Damit würde der Markt 2026 bereits rund 230 Milliarden Dollar betragen. Dieses Wachstum könnte angesichts der geopolitischen Situation und einer damit verbundenen zunehmenden Bedrohungslage noch zu niedrig geschätzt sein.
Der Cybersecurity-Markt ist damit ein besonders gutes Beispiel, wie die aktuellen Krisen neue Investmentchancen eröffnen oder bereits attraktive Wachstumsbereiche weiter befeuern können. Die Lieferprobleme und die Energiekrise werden nicht nur den Markt für alternative Energielösungen und die Digitalisierung der westlichen Wirtschaft antreiben. Auch der ohnehin bereits prosperierende Markt für IT-Sicherheitslösungen erfährt weitere Belebung.
Außerdem scheint eine umfassende Konsolidierung angesichts von allein über 3.000 Softwareanbietern anzustehen. Gerade kleinere Unternehmenskunden wünschen sich immer häufiger Lösungen aus einer Hand beziehungsweise möchten ihre IT-Sicherheit angesichts der enormen Dynamik und Komplexität des Themas aussourcen. Es entstehen daher auch Konzepte wie „Cybersecurity as a Service“, die für die entsprechend positionierten Anbieter erhebliche Wachstumspotenziale bieten.
Das Team der APUS Capital GmbH beschäftigt sich intensiv mit dem Thema Cybersecurity. Sowohl im APUS Capital ReValue Fonds als auch im APUS Capital Marathon Fonds finden sich wachstumsstarke, innovative Einzelwerte, die vom Trend zu Cybersecurity profitieren. Zwar stammen die meisten großen Anbieter in diesem Bereich aus den USA oder aus Israel, es finden sich aber auch unter den europäischen Unternehmen genug attraktive Anlageziele. Neben Softwaregesellschaften profitieren europäische IT-Serviceunternehmen, Halbleiterhersteller und Telekommunikationsausrüster von der stark steigenden Nachfrage nach IT-Sicherheit.
Zudem könnten hier in den kommenden zwölf Monaten einige spannende Börsengänge oder Übernahmen anstehen. Aktien aus dem Bereich Cybersecurity werden in Zukunft einen wichtigen Baustein darstellen, um vom beschleunigten Wandel zu profitieren.
Weltmärkte Cybersecurity-Produkte und -Services
Quelle: Stifel Research
Johannes Ries
Gründer und Technologieanalyst der
APUS Capital GmbH
Ende der 1980er-Jahre begann er als Finanzanalyst bei der Commerzbank und spezialisierte sich auf Technologiewerte. Später weitete er seine Expertise als weltweit tätiger Buy-Side-Analyst aus. 2011 gründete er mit Harald Schmidt die APUS Capital GmbH, die zwei Aktienfonds initiiert hat: den APUS Capital ReValue Fonds und den APUS Capital Marathon Fonds.
