Strategien zum Schutz vor Cyberangriffen

Warum Mitarbeiter gleichzeitig Risiko und Schutz sind

Obwohl in den Medien immer wieder von Cyberattacken zu lesen ist und diese aktuell zu den größten Geschäftsrisiken gehören, gehen viele Unternehmen zu sorglos mit dem Thema IT-Sicherheit um. Das gilt sowohl für die Geschäftsleitung als auch für die Mitarbeiter. Dabei gehören kleine und mittelständische Firmen wie Handwerksbetriebe oder Architektur- und Planungsbüros genauso zu den Zielen der Angreifer wie Behörden oder große Konzerne. Allerdings genügen einfache Strategien, um sich vor Cyberangriffen zu schützen.

Wahrscheinlich hat jeder schon einmal eine E-Mail erhalten, in der er vermeintlich von seiner Bank gebeten wird, dringend die eigenen Zugangsdaten zu aktualisieren, da ansonsten die Sperrung des Kontos droht. In der E-Mail befindet sich ein Link, der direkt auf die Website der Bank und zur Eingabe der Daten führen soll. Inzwischen ist bekannt, dass es sich bei solchen Mails um Phishing und einen möglichen Cyberangriff handelt. Dennoch werden schädliche Links oft genug geklickt bzw. entsprechende Dokumente heruntergeladen – und das nicht nur von Privatpersonen: neun von zehn Unternehmen sind bereits Opfer von Cyberattacken in Form von Datendiebstahl, Sabotage und Spionage geworden.

Phishing-E-Mails gehören zu den häufigsten Angriffsmethoden, dicht gefolgt von Erpresser-Software und anderen Malware-Programmen.
Bild: Perseus Technologies

Phishing-E-Mails gehören zu den häufigsten Angriffsmethoden, dicht gefolgt von Erpresser-Software und anderen Malware-Programmen.
Bild: Perseus Technologies

Diese Angriffe haben laut einer Studie des Branchenverbands der deutschen Informations- und Telekommunikationsbranche Bitkom e. V. im Jahr 2020/2021 einen Schaden von mehr als 223 Mrd. € für die deutsche Wirtschaft verursacht und zählen damit zu den größten Geschäftsrisiken überhaupt. Dabei gehören die eingangs beschriebenen Phishing-E-Mails zu den häufigsten Angriffsmethoden, dicht gefolgt von Erpresser-Software und anderen Malware-Programmen (siehe Grafik).

KMU sind Hidden Champions

Cyberangriffe können jedes Unternehmen treffen. Größe und Branche spielen dabei keine Rolle – im Gegenteil: Vor allem KMU sind oftmals schlechter gegen Cyberangriffe gewappnet als die Branchenriesen. Dies ist einerseits darin begründet, dass Unternehmen dieser Art häufig zu klein sind oder ihnen nicht das Budget zur Verfügung steht, um eine interne Ansprechperson für die Bereiche IT und Cybersicherheit zu beschäftigen. Darüber hinaus ist es im hektischen Arbeitsalltag oftmals schwierig, sich von Seiten der Geschäftsführung mit diesen auf den ersten Blick komplex wirkenden Themen auseinanderzusetzen.

Andererseits herrscht nach wie vor der weit verbreitete Irrglaube, dass kleinere Unternehmen für Cyberkriminelle uninteressant seien. Dabei kann jeder Betrieb, der mit personenbezogenen Daten arbeitet, ins Visier krimineller Hacker geraten. Und: Insbesondere die KMU – dazu zählen im deutschsprachigen Raum viele Handwerksbetriebe, Architektur- und Ingenieurbüros sowie Unternehmen für Gebäudeausrüstung – gehören zu den sogenannten Hidden Champions, die oftmals wichtige Patente, Konstruktionspläne oder ein internationales Kundenportfolio besitzen.

All diese Daten sind sehr interessant für Cyberkriminelle: um sie zu stehlen und bspw. im Darknet weiterzuverkaufen, für Industriespionage oder einfach, um sie im Zuge eines Ransomware-Angriffs zu verschlüsseln und erst gegen die Zahlung von Lösegeld wieder freizugeben. Und für Letzteres gibt es noch nicht mal eine Garantie. In einer solchen Situation kann es im schlimmsten Fall zum Betriebsausfall kommen. Die verloren gegangenen Daten müssen von Fachleuten mühsam wiederhergestellt werden, sofern ein aktuelles Backup vorliegt. Ist dies nicht vorhanden, sind die Daten unwiederbringlich verloren. Der daraus entstandene finanzielle Schaden ist immens. Hinzu kommt der Image- und Vertrauensverlust bei Kunden und in der Öffentlichkeit.

Die Bedeutung des Faktor Mensch

In den vergangenen Jahren war immer wieder ein Zusammenhang zwischen Krisen und dem erhöhten Aufkommen von Cyberkriminalität zu beobachten. So vermeldete das BKA im ersten Halbjahr der Corona-Pandemie einen massiven Anstieg von Cyberangriffen in Form von Phishing-E-Mails, gefälschten Websites, DDoS-Attacken und Desinformationskampagnen mit der Corona-Krise als Narrativ. Auch den Bezug zum Krieg zwischen Russland und der Ukraine nutzen Cyberkriminelle beim Versenden schadhafter E-Mails oder zum Erstellen gefälschter Websites und zur Verbreitung von Falschinformationen.

Die vermehrte Nutzung des Internets als Kommunikationsmittel und die Verwendung privater Endgeräte für den Berufsalltag im Homeoffice haben Cyberkriminalität ebenfalls befeuert. Der Faktor Mensch spielt dabei eine entscheidende Rolle: Der Großteil aller erfolgreichen Cyberangriffe wird durch einen unbedachten Klick auf einen böswilligen Link oder den versehentlichen Download von Schadprogrammen verursacht. Dies kann jedoch verhindert werden. So sollte grundsätzlich das Bewusstsein für die Angreifbarkeit vorhanden sein: Es kann jede und jeden treffen. Dem gilt es entgegenzuwirken. Technische Maßnahmen wie Firewalls und Antiviren-Programme sind die Basis für jede funktionierende IT-Sicherheit.

Das IT-Sicherheitsunternehmen Perseus Technologies bietet u. a. Online-Trainings für Mitarbeiter an.
Bild: Perseus Technologies

Das IT-Sicherheitsunternehmen Perseus Technologies bietet u. a. Online-Trainings für Mitarbeiter an.
Bild: Perseus Technologies

Wie jedes wichtige Thema braucht auch Cybersicherheit einen organisatorischen Rückhalt. Dazu gehört z. B., dass alle im Unternehmen wissen, wen sie zu diesem Thema ansprechen bzw. an wen sie sich in Verdachtsfällen wenden können – und auch sollten. Mit einer guten Backup-Strategie bleiben Unternehmensdaten bei einem Cybervorfall unbeschädigt. Zudem ist im Falle eines Cyberangriffs eine schnelle Reaktion äußerst wichtig. Wie reagiert werden soll und wer weiterhelfen kann, sollte in einem Notfallplan festgehalten werden. Dieser sollte in Papierform vorliegen und allen Mitarbeitenden bekannt sowie sofort zugänglich sein. Darüber hinaus sind die eigenen Mitarbeitenden der beste Schutz gegen Cyberangriffe – wenn das Wissen und die Sensibilisierung dafür vorhanden sind. Präventive Cybersicherheits-Trainings und Phishing-Simulationen steigern das Bewusstsein gegenüber Cyberrisiken erheblich und beugen Cyberangriffen durch das richtige Handeln in einer Gefahrensituation vor.

Cybersicherheit nachhaltig leben

Und dennoch: Cybersicherheit ist kein einmaliges Unterfangen, sondern ein laufender Prozess. Für einen nachhaltigen Schutz ist es erforderlich, dass Cybersicherheit kultiviert und in den Arbeitsalltag integriert wird. Dies sollte von der Geschäftsführung ausgehen, indem das Thema immer wieder angesprochen, greifbar gemacht und von der Führungsebene vorgelebt wird. Auch kommt es auf die Integration einer gesunden Fehlerkultur in das Cybersicherheitskonzept eines Unternehmens an. Mitarbeiter müssen offen mit Fehlern in Bezug auf Cybersicherheit – z. B. den Klick auf einen schadhaften Link – umgehen können und dürfen nicht dafür „bestraft“ werden. Das ganze Unternehmen sollte anhand solcher Vorfälle gemeinsam lernen. Denn am Ende gilt: Cybersicherheit entsteht durch das bewusste Handeln aller.

x

Thematisch passende Artikel:

Ausgabe 02/2022

Cybersicherheit von Hard- und Software bald Standard?

Ob Kommunen, Konzerne oder kleine Unternehmen: Cyberattacken nehmen seit Jahren massiv zu. Erschreckend wird es, wenn sogar Energieversorgungs-einrichtungen wie Windkraftanlagen und Atomkraftwerke...

mehr

Umfrage zur Cybersicherheit in deutschen Unternehmen

Globale Krisen, angespannte Wirtschaftslage, Fachkräftemangel – die Liste an Herausforderungen insbesondere für kleine und mittlere Unternehmen (KMU) in Deutschland ist lang. Vor allem das Thema...

mehr

Hohe Relevanz von Cybersicherheit, aber keine Wettbewerbsvorteile

Sophos veröffentlicht einen neuen, aktuellen Teil ihrer Management-Studie „Chef, wie hältst du es mit der Cybersicherheit“ für Deutschland, Österreich und die Schweiz. Die veröffentlichten...

mehr

Fünf Trends im Bereich Informationssicherheit 2024

Auf welche Trends und Praktiken Unternehmen in diesem Jahr besonders achten sollten

1. Zero-Trust-Sicherheit Wenn eine Website aufgrund eines Angriffs offline gehen muss, ist das für das betroffene Unternehmen ärgerlich. Wenn aber das gesamte System durch eine Cyberbedrohung...

mehr