Der 19. Juli verlief für viele Menschen anders als geplant. An mehreren Flughäfen herrschte Chaos, die Aktienmärkte rauschten ab, Unternehmen wie Allianz und BMW kämpften mit Störungen in den betrieblichen Abläufen. Grund war ein fehlerhaftes Update bei einer Cybersicherheitslösung des Unternehmens Crowdstrike, das weltweite IT-Ausfälle zur Folge hatte.

Wie stark deutsche Unternehmen betroffen waren, zeigen nun Ergebnisse einer Umfrage unter 331 von den Ausfällen betroffenen Unternehmen, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Digitalverband Bitkom am Donnerstag veröffentlicht haben. Die Untersuchung ist den Autoren zufolge nicht repräsentativ, sie zeige aber ein aussagekräftiges Stimmungsbild. Einige Unternehmen waren dabei direkt und auch indirekt betroffen. Die 62% der Teilnehmer, die nach eigenen Angaben direkt betroffen waren, mussten mit Ausfällen von Computern oder Servern umgehen. 48% der Befragten spürten indirekte Auswirkungen, etwa weil ihre Kunden oder Zulieferer betroffen waren.

Knapp die Hälfte der betroffenen Unternehmen musste sogar vorübergehend den Betrieb einstellen, die Unterbrechung dauerte im Schnitt zehn Stunden. Vier von zehn Firmen konnten durch die Störungen Leistungen für ihre Kunden nicht erbringen. Bis alle Störungen behoben waren, benötigten die betroffenen Betriebe durchschnittlich zwei Tage. Zur Anzahl der Personenstunden, die bis zur Behebung aller Störungen erforderlich waren, wollten oder konnten 43% der direkt Betroffenen keine Angaben machen. Unter den Betrieben, die sich dazu äußerten, ist die Spanne enorm. Während kleine Mittelständler mit bis zu 19 Beschäftigten mit 15 Arbeitsstunden auskamen, stieg die Zahl bei größeren Unternehmen sprunghaft an. Unternehmen mit 500 bis 1.999 Beschäftigten kamen im Schnitt bereits auf 103 Personenstunden. Bei Konzernen mit mehr als 2.000 Beschäftigten fielen durchschnittlich fast 1.400 Personenstunden an, um die Probleme in den Griff zu bekommen.

„Es wird auch in Zukunft keinen 100-prozentigen Schutz vor IT-Sicherheitsvorfällen geben", kommentierte BSI-Präsidentin Claudia Plattner die Ergebnisse. Unternehmen müssten jedoch mit präventiven Maßnahmen ihre Resilienz erhöhen. Eingeübte IT-Notfallkonzepte seien dabei wichtiger Bestandteil der Krisenvorsorge. Das zeigt auch die Befragung: Immerhin 62% der Firmen hatten einen Notfallplan. Von ihnen bescheinigten knapp zwei Drittel ihrem Notfallplan eine gute oder sehr gute Praxistauglichkeit beim Crowdstrike-Vorfall. Allerdings mussten 14% feststellen, dass ihr Notfallplan eher nicht oder gar nicht funktionierte. Bei den übrigen Unternehmen war der Plan vorhanden, kam aber nicht zum Einsatz.

Jedoch hatten 27% der Befragten noch keinen Notfallplan. 12% wussten nicht, ob ein solcher existiert. Bitkom-Präsident Ralf Wintergerst mahnt zu Verbesserungen in der Cybersicherheit: „Diesmal ist es glimpflich ausgegangen, auch dank der gemeinsamen Anstrengungen von Wirtschaft und Behörden, mit Unterstützung von Crowdstrike und Microsoft. Es muss aber ein Warnschuss für uns sein.“ Viele Unternehmen ziehen aus dem Vorfall Konsequenzen: Zwei Drittel wollen einen IT-Notfallplan entwickeln oder den bestehenden Plan nachbessern.

Um künftig besser vorbereitet zu sein, plant mehr als die Hälfte der Unternehmen Schulungen oder hat mit diesen bereits begonnen. 55% wollen das Patch-Management zur Aktualisierung ihrer Software verbessern. Zu den häufig genannten To-Dos zählt der Vorsatz, regelmäßiger Updates einzuspielen (52%), Backup-Systeme einzuführen oder zu verbessern (49%), die Netzwerke stärker zu segmentieren (49%) und Redundanzen in der IT aufzubauen (48%).