Großkonzerne, Hotels, Einzelhändler: Kaum ein Unternehmen hat sein IT-System ausreichend gegen Datenklau abgesichert - auch, weil die Diebe ihre Strategie immer wieder ändern. Das neueste Ziel der Hacker: Mittelständler.

Sven Blumenstein gibt seine persönlichen Daten nur ungern an, wenn er in einem Hotel eincheckt. Der IT-Sicherheitsexperte des Beratungsunternehmens Cirosec in Heilbronn weiß, dass die Informationen meist kaum geschützt sind. Gut die Hälfte der Drei- bis Fünf-Sterne-Hotels schlampt seiner Erfahrung nach bei der Absicherung von Kundendaten. Oft genug überprüft er Hotels - schon einfache Tricks können den Weg ins System bahnen. Der Lohn sind Einblicke in die Reservierungssysteme, die Übersicht über die Pay-TV-Nutzer oder die Gästeverwaltung. Bei einem Hotel, das Cirosec unter die Lupe nahm, war der ungeschützte Zugriff auf die Daten von 72.000 Kunden möglich.

Blumenstein hat wie viele seiner Kollegen aus der IT-Sicherheitsbranche mehr zu tun denn je. Die Meldungen über Systemeinbrüche häufen sich. Erst vermeldete der Unterhaltungselektronikriese Sony den Diebstahl von 100 Millionen Kundendatensätzen. Dann konnten Hacker bei den Handelsketten Rewe und Penny Daten im großen Stil auslesen. Sogar der Zoll und die Bundespolizei haben inzwischen Systemeinbrüche eingeräumt.

Vom Großteil der Fälle jedoch bekommt die Öffentlichkeit gar nichts mit. Die Sorglosigkeit, mit der Hotels und andere mittelständische Unternehmen teilweise mit Kundendaten umgehen, ist für einen Strategieschwenk bei vielen Cyberkriminellen verantwortlich, den die Sicherheitsfachleute des Telekommunikationsunternehmens Verizon bemerkt haben: Statt sich an den abgesicherten Systemen der Großunternehmen zu versuchen oder Technologiefirmen mit aufwendigen Angriffen auszuforschen, greifen sie verstärkt kleine Betriebe an. Schließlich haben diese Unternehmen oft Nachholbedarf bei der Organisation ihrer IT-Sicherheit. Nur jedes vierte schult und informiert laut einer Untersuchung des Vereins "Deutschland sicher im Netz" (DSIN) regelmäßig seine Mitarbeiter, nur jedes dritte hat ein IT-Sicherheitskonzept, das von der Geschäftsleitung getragen wird.

Hotels sind beliebte Ziele - Die Folge: Nicht mehr Unternehmen aus der Finanzindustrie stehen Verizon zufolge an der ersten Stelle der Angriffsopfer, sondern das Hotel- und Gaststättengewerbe. Virtuelle Einbrüche in dieser Branche waren 2010 allein für 40 Prozent der Datenverluste verantwortlich. Sie versprechen fette Beute: In Hotelsystemen beispielsweise sind die Namen der Gäste der letzten Jahre gespeichert, oft inklusive ihrer Postanschriften, E-Mail-Adressen, Telefon-, Handy- und Personalausweis- sowie Kreditkartennummern.

Verantwortlich für derartige Angriffe sind nicht Hacker-Aktivistengruppen wie Lulzsec oder Anonymous, die sich mit Einbrüchen bei der Nato oder bei Sony öffentlich brüsten, sondern einfache Kriminelle. "Es sind Leute, die lieber im Stillen agieren", sagt Blumenstein. Sie probieren - oft ohne große eigene Computerkenntnisse - vorkonfigurierte Angriffstools aus, die an möglichst vielen Zielrechnern die gleichen Attacken fahren. Weil es genügend unsichere Systeme gibt, hat ein solcher Massenangriff große Aussichten auf Erfolg.