Die Kriminalität im Internet wächst parallel zur immer stärkeren Digitalisierung unserer Lebenswelt. Gerade Unternehmen und Organisationen – als potentiell besonders lohnenswerte, weil zahlungskräftige Ziele – stehen im Fokus der Cyber-Kriminellen, die ihnen mit Phishing, Ransomware oder Social Engineering auf den Leib rücken. Dementsprechend wichtig ist ein durchdachtes Konzept der Cyber-Sicherheit – auch in kleineren Unternehmen. Eine aktuelle Studie im Auftrag des TÜV-Verbands hat nun untersucht, wie gut die deutsche Wirtschaft auf das Problem vorbereitet ist und an welchen Stellen es noch Verbesserungsbedarf gibt.
So wurden im letzten Jahr mehr als zehn Prozent der deutschen Unternehmen Opfer eines Cyber-Angriffs, eines Sabotageakts oder eines Hardware-Diebstahls. Das entspricht in der untersuchten Gruppe (Unternehmen ab 10 Mitarbeitern aufwärts) ca. 50.000 Fällen. Eine Ursache dafür liegt gemäß des Bundesamts für Sicherheit in der Informationstechnik darin, dass die kriminellen Täter mit immer höherer Professionalität vorgehen, während gleichzeitig die fortschreitende Digitalisierung für eine immer größere Angriffsfläche sorgt. Als dementsprechend wichtig schätzt BSI-Vizepräsident Dr. Gerhard Schabhüser die Bedeutung von IT-Sicherheitsvorkehrungen für Unternehmen ein. Cyber-Sicherheit sei eine Daueraufgabe von höchster Priorität, bei der zu keiner Zeit nachgelassen werden dürfe. Besonders in kleinen Unternehmen sei dies aber häufig nicht der Fall.
Wie denkt die deutsche Wirtschaft über Cyber-Sicherheit?
Die Ergebnisse der „TÜV Cybersecurity Studie“ bestätigen diese Einschätzung. Demnach sind sich große und mittlere Unternehmen stärker bewusst, welche Gefahren von der Cyber-Kriminalität ausgehen. So sprachen sich vier von fünf befragten Unternehmen dafür aus, dass IT-Sicherheit ein wesentlicher Faktor für einen erfolgreichen Geschäftsbetrieb sei. Fast ebenso viele (76 Prozent) gaben dementsprechend an, durch gute Arbeit in diesem Bereich einen Wettbewerbsvorteil zu haben, der bspw. in den Beziehungen zu Kunden und Partnern eine Rolle spielt.
In kleinen Unternehmen mit 10 bis 49 Mitarbeitern spielt das Thema laut den Studienergebnissen aber eine geringere Rolle. Nur knapp die Hälfte gab hier an, dass Cyber-Sicherheit eine große Rolle spiele. Mehr als ein Viertel betrachtet das Thema sogar als irrelevant.
Die Methoden der Kriminellen: Phising, Ransomware und Social Engineering
Wie gefährlich diese Einschätzung ist, zeigt der Blick auf die Methoden der Täter. Längst sind diese nicht mehr nur unter „gewöhnlichen“ kriminellen Banden zu finden. Auch staatliche Akteure beteiligen sich an den Machenschaften, mit dem Ziel sensible Daten zu erlangen oder Geld zu erpressen. Dabei nutzen die Verantwortlichen modernste Methoden, oft bevor solche Trends und Entwicklungen im Rest der Bevölkerung ankommen.
Die Zeiten, in denen sich Phishing-Emails durch gravierende Rechtschreib- und Grammatikfehler selbst enttarnten sind lange vorbei. Sprach-KIs wie ChatGPT werden beispielsweise durch Verbrecher für die Produktion täuschend echter Texte verwendet. Das Ergebnis lässt sich nicht mehr ohne Weiteres von seriösen Nachrichten unterscheiden – eine hohe Aufmerksamkeit und gesundes Misstrauen sind also enorm wichtig.
Eine weitere Gefahr sind Ransomware-Angriffe, bei denen Hacker Daten verschlüsseln und die Unternehmen anschließend erpressen. Da die Unternehmen ihren Betrieb schnellstmöglich fortsetzen möchten, ist das oft von Erfolg gekrönt. Viele zahlen lieber, bevor es zum noch größeren wirtschaftlichen Schaden kommt.
Neben diesen eher technischen Methoden drohen auch im zwischenmenschlichen Umgang Gefahren: das sogenannte Social Engineering. Angreifer versuchen hier etwa, Mitarbeiter zu manipulieren, indem sie sich als Kollege aus dem IT-Support ausgeben und sensible Daten verlangen.
Was droht im Fall eines erfolgreichen Angriffs?
Die Folgen können verheerend sein: Verwaltungsanwendungen sind nicht erreichbar, Kunden können keine Käufe tätigen, die Produktion kann ausfallen und wichtige Daten werden entwendet. Finanzielle Einbußen sind die Folge und auch die öffentliche Wahrnehmung kann beeinträchtigt werden. Je nach Dauer und Art des Problems kann ein solcher Angriff einen Betrieb mehrere Wochen behindern oder gar lahmlegen. Laut Dr. Johannes Bussmann, dem Präsidenten des TÜV-Verbands, entstehen dadurch jährliche Schäden in mehrstelliger Milliardenhöhe.
Welche Maßnahmen sind möglich?
Dementsprechend überrascht es nicht, dass in Unternehmerkreisen immer mehr Mittel in die Hand genommen werden, um Missstände zu beseitigen. Die Ansatzpunkte dafür sind vielfältig. Die Inbetriebnahme aktueller Software und Hardware zählt ebenso dazu wie Beratungen durch externe Experten und Schulungen der Belegschaft. Ein Drittel der Unternehmen nutzt auch Penetrationstests, bei denen Hacker beauftragt werden Schwachstellen zu finden; ein Viertel führt Notfallübungen durch, in denen die schlimmstmöglichen Szenarien durchgespielt werden. Hinzu kommen Zertifizierungen, die Unternehmen einen Rahmen dafür geben, systematisch eine ganzheitliche Verbesserung ihres Cyber-Schutzes anzupeilen. Sie sind bei erfolgreicher Umsetzung zudem dazu geeignet, diese Bemühungen zusätzlich nach außen hin zu belegen.
Rolle des Gesetzgebers
Die befragten Unternehmen sehen aber nicht nur bei sich selbst Verantwortung, sie wünschen sich auch ein klares Handeln des Gesetzgebers. Sie sehen die EU in der Verantwortung, hier Regelungen zu finden, die für höchstmögliche Sicherheitsstandards sorgen. Kleine und mittelständische Unternehmen brauchen gemäß Bussmann Unterstützung bei der Vorbereitung gegen die wachsende Bedrohung durch Cyber-Kriminalität, auch weil der Fachkräftemangel sie besonders trifft.
Fazit
Spätestens jetzt sollten sich Unternehmer, die sich bisher nicht mit der Cyber-Sicherheit ihrer Firma befasst haben, darüber klar werden, dass die Gefährdung durchaus real ist. Auch eine geringe Mitarbeiterzahl schützt nicht vor Angriffen. Es gilt, die eigene IT-Infrastruktur gründlich und unvoreingenommen zu prüfen – ohne in Panik oder Aktivismus zu verfallen. Das lohnt sich letzten Endes, denn ein erfolgreicher Angriff kann ernsthafte geschäftsschädigende Folgen haben.
Karsten Köhler, Redakteur beim VSRW-Verlag