Kein Strom, kein Telefon, kein Geld, selbst Bus und Nahverkehr kommen zum Erliegen: Das ist der Worst Case, der bei einem Angriff auf kritische IT-Infrastrukturen eintreten könnte. Doch selbst wenn nur eines der System ausfällt, kann das verheerende Auswirkungen auf die Sicherheit oder das alltägliche Leben haben. Daher haben Regierungen weltweit so genannte Critical Infrastructure Protection (CIP)-Programme ins Leben gerufen, um die kritischen IT-Infrastrukturen von Schlüsselindustrien gegen Netzwerk-Attacken zu schützen. Doch das Interesse an solchen Programmen teilzunehmen, ist der Studie "Critical Infrastructure Protection Survey 2011" zufolge gegenüber 2010 weltweit gesunken.
Gerade einmal 36 Prozent der weltweit 3.500 befragten Unternehmen wussten überhaupt von den Regierungsplänen, so ein zentrales Ergebnis der von Symantec durchgeführten Studie. Gegenüber 2011 sank der Anteil damit von 55 um fast 20 Prozent. In Deutschland sieht die Situation ähnlich aus: Lediglich 34 Prozent waren staatliche CIP-Programm bekannt. 28 Prozent der 100 deutschen befragten Unternehmen beteiligten sich vollständig oder teilweise an den Programmen (weltweit: 37 Prozent). Auch längerfristig werden die Schutzprogramme kaum wahrgenommen: Nur 23 Prozent sind bereits länger als zwei Jahre aktiv.
Im Ernstfall nicht ausreichend geschützt
In Zeiten von Stuxnet und Duqu klingt auch ein weiteres Ergebnis der Studie alarmierend: Demnach fühlen sich Unternehmen dieses Jahr auf einen Cyberangriff weniger gut vorbereitet als in 2010. Symantec sieht dies als logische Konsequenz des Verhaltens: Wenn eine Organisation Cybergefahren als gering einschätze, werde sie sich auch nicht mit aller Kraft dagegen wappnen, so die lapidare Feststellung. Nach Selbsteinschätzung der Unternehmen verringerte sich ihre Fähigkeit, Angriffe abzuwehren im Durchschnitt um acht Prozentpunkte. So gaben in der aktuellen Studie 60 bis 63 Prozent an, dass sie wenig bis sehr gut gegen Attacken gerüstet sind - verglichen mit 68 bis 70 Prozent in 2010. In Deutschland fühlen sich dieses Jahr nur 48 bis 57 Prozent wenig bis sehr gut geschützt.
Als Begründung für die zurückgehende Beteiligung führt Symantec die Kürzungen bei Personal und Budget in den Unternehmen an. Diese würden sich vor allem auf aktuelle Bedrohungen konzentrieren und dadurch weitreichendere Schutzmaßnahmen vernachlässigen. "Dies ist eine besorgniserregende Entwicklung, stehen doch Betreiber kritischer Infrastrukturen mehr denn je im Visier organisierter Cyberkrimineller", schätzt der Software-Hersteller in einer aktuellen Mitteilung die Lage ein. Der Anbieter von Sicherheitslösungen appelliert daher an Unternehmen und Regierungen, den Schutz der für Wirtschaft und Gesellschaft wichtigen Netzwerke stärker zu forcieren und in das Zentrum ihrer Bemühungen zu stellen.
Die "Critical Infrastructure Protection Survey" wurde zwischen August und September 2011 von Applied Research durchgeführt. Dabei konzentrierte sich die Umfrage auf IT-Leiter und Führungskräfte aus Unternehmen von 14 verschiedenen Industriezweigen wie Banken-, Versicherungs- und Energiewesen, Telekommunikation oder IT, die für die Wirtschaft und Gesellschaft als kritisch eingestuft werden. Weltweit befragte Symantec knapp 3.500 Unternehmen in 37 Ländern aus Nord- und Südamerika, der EMEA-Region und dem asiatisch-pazifischen Raum. In Deutschland nahmen 100 Unternehmen an der Umfrage teil.