Die Anzahl erfasster Cyberstraftaten und -angriffe in Deutschland nimmt stetig zu. Besonders Unternehmen sind gefährdet. Neben finanziellen Einbußen droht ein Reputationsverlust. Mit den richtigen Maßnahmen können die Risiken aber deutlich verringert werden.
Der Begriff Cybersicherheit steht für alle Maßnahmen, um Computer, Server, Mobilgeräte, elektronische Systeme, Netzwerke und Daten gegen böswillige Angriffe zu verteidigen. Für Unternehmen bedeutet das: Oftmals hängt die gesamte Produktions- und Verkaufskette von funktionierenden Onlinestrecken ab. Daher gilt es, Kundendaten zu schützen, Betriebsgeheimnisse zu wahren oder unbefugte Zugriffe auf Konten und Bankverbindungen zu verhindern.
Bedrohungen im Cyberraum wachsen
Im vergangenen Jahr erfasste die Polizei 136.865 Fälle von Cybercrime. Allerdings wird von einer deutlich höheren Dunkelziffer ausgegangen. Dabei operieren die Täter verstärkt aus dem Ausland heraus, was die deutschen Behörden bei der Aufklärung vor höhere Anforderungen.
Die häufigste Betrugsart ist Social Engineering, bei dem der Kunde durch Manipulation dazu gebracht wird, zum Beispiel betrügerische Zahlungen selbst auszulösen. So täuscht ein Krimineller eine andere Person über seine Identität, um eine Zahlung zu erwirken oder versucht, durch das Erschleichen von Vertrauen an sensible Daten zu kommen.
Darüber hinaus sehr verbreitet sind der Daten- und Identitätsdiebstahl durch Phishing-Mails oder der Diebstahl von Passwörtern und Login-Daten. Künstliche Intelligenz vereinfacht und perfektioniert den Betrug zunehmend, indem täuschend echte Bilder, Videos, Stimmen und Texte erstellt werden.
Auch Erpressungsversuche mittels Ransomware-Angriffe nehmen zu. Dabei werden erst nach Zahlung eines Lösegeldes die gesperrten eigenen Daten wieder freigegeben. Alternativ erpressen die Täter Unternehmen mit der Veröffentlichung der gestohlenen Daten, oder sie verkaufen sie im Darknet, um damit andere Angriffe zu starten.
Plattformen im Darknet bieten sogar einen sogenannten „Cybercrime–Service“ an. Das Angebot reicht von Schadsoftware, Phishing-Kampagnen bis hin zu DDoS (Distributed Denial of Services-) Attacken. Letztgenannte bedeuten, dass ein Server gezielt mit so vielen Anfragen bombardiert, dass das System die Aufgaben nicht mehr bewältigen kann und im schlimmsten Fall zusammenbricht. So können selbst „IT-Laien“ in das Geschäft mit Cyberkriminalität einsteigen.
Handeln notwendig
Die wachsende Bedrohung zeigt: Unternehmen müssen handeln. Ein Unternehmen, das seine Kundendaten nicht schützen kann, wird Probleme haben, das Vertrauen neuer Kunden zu gewinnen. Ein Online-Händler, dessen Website mutwillig lahmgelegt wurde, macht keinen Umsatz. Ein Startup, dessen Geschäftsidee gestohlen wurde, verliert seine ganze Innovation. Alles Szenarien, die die Existenz von Unternehmen gefährden können. Cybersicherheit wird für sie somit zum überlebenswichtigen Thema.
Vorbeugende Maßnahmen sind entscheidend
Wichtigster Schritt im Kampf gegen Cyberkriminalität ist, das Thema auf der eigenen Agenda zu priorisieren. Es folgt die Entwicklung und Implementierung geeigneter Maßnahmen im Betrieb. Dazu gehören insbesondere die Sensibilisierung und Einbindung aller Mitarbeiter. Der Faktor Mensch spielt hier eine wichtige Rolle, denn bei nicht-geschulten Mitarbeitern gelingt es Cyberkriminellen viel leichter, sich via Phishing und Social Engineering Zugang zu Informationen und Systemen zu verschaffen.
Die IT-Sicherheit kann noch so gut funktionieren, im besten Fall ist der aufmerksame Mitarbeiter die entscheidende Hürde, an der der Angreifer scheitert.
Ein wichtiger Punkt ist zum Beispiel die erhöhte Sensibilität im E-Mail-Verkehr. Der Mitarbeiter sollte sich fragen: Ist mir der Absender bekannt und passt die Klar-E-Mail-Adresse, die per Mouseover angezeigt wird, zu der bekannten E-Mail-Adresse? Wurde mir ein entsprechender E-Mail-Anhang avisiert? Welche Bedeutung hat ein Link in einer E-Mail?
Interne Schulungen zur Cybersicherheit sollten daher in jedem Unternehmen, unabhängig von der Größe, obligatorisch sein. So kann das Einfallstor für Schadsoftware durch aufmerksame Mitarbeiter deutlich verkleinert werden.
Vollständige Cybersicherheit gibt es nicht
Eine vollständige Sicherheit vor Cybergefahren ist dennoch eine Illusion. Trotzdem sollte sich jedes Unternehmen einen aktuellen Blick über den Sicherheitszustand der eigenen IT, der Kontroll-Software und -Hardware (OT) oder der miteinander verbundenen Rechner und Systeme verschaffen, um in weitere Maßnahmen zur Cybersicherheit zu investieren. Hierfür gibt es spezialisierte Cyber-Security-Anbieter am Markt, die Unternehmen gezielt nach ihren Bedarfen beraten und unterstützen.
Kommt es dennoch zu einem Cyberangriff und damit die IT zum Erliegen, sollte jedes Unternehmen über einen ausgedruckten Notfallplan verfügen. Neben den Geschäftsprozessen und Geschäftspartnern sollten dabei auch der Zahlungsverkehr des Unternehmens mitbedacht werden.
Präventive Maßnahmen sind zum Beispiel:
- Schulung von Geschäftsführung und Mitarbeitern,
- Aufmerksamkeit/ Hinweise externer Dienstleister ernstnehmen,
- Regelmäßig Updates der eingekauften Software installieren,
- Aktuelle Sicherheits-Software (Virenschutz, Firewalls etc.),
- Regelmäßiger Cybersicherheits-Check,
- Regelmäßige Backups durchführen und Wiederherstellung testen,
- Notfallplan erstellen, ausdrucken und üben,
- Cyberschutzversicherung.
Besonders wichtig: Informiert und wachsam bleiben! Die Hausbank bietet hilfreiche Tipps zur Sicherheit im Cyberraum sowie beim Banking generell. Auch öffentliche Institutionen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI)y, beraten hierzu – seit 2020 sogar mit einem eigenen Referat für kleinere und mittlere Unternehmen.
Außerdem sind Netzwerke wie die Allianz für Cybersicherheit (ACS) hilfreiche Instrumente auf dem Weg zu mehr Cybersicherheit.
Fazit: Cybersicherheit ist zentral für Unternehmen
Cybersicherheit ist ein überlebenswichtiges Thema für Unternehmen. Die gestiegenen Fallzahlen machen das deutlich. Hundertprozentige Sicherheit gibt es nicht, aber mit dem richtigen Schutz lassen sich Risiken beherrschen.