Warum Mitarbeiter gleichzeitig Risiko und Schutz sind
Obwohl in den Medien immer wieder von Cyberattacken zu lesen ist und diese aktuell zu den größten Geschäftsrisiken gehören, gehen viele Unternehmen zu sorglos mit dem Thema IT-Sicherheit um. Das gilt sowohl für die Geschäftsleitung als auch für die Mitarbeiter. Dabei gehören kleine und mittelständische Firmen wie Handwerksbetriebe oder Architektur- und Planungsbüros genauso zu den Zielen der Angreifer wie Behörden oder große Konzerne. Allerdings genügen einfache Strategien, um sich vor Cyberangriffen zu schützen.
Wahrscheinlich hat jeder schon einmal eine E-Mail erhalten, in der er vermeintlich von seiner Bank gebeten wird, dringend die eigenen Zugangsdaten zu aktualisieren, da ansonsten die Sperrung des Kontos droht. In der E-Mail befindet sich ein Link, der direkt auf die Website der Bank und zur Eingabe der Daten führen soll. Inzwischen ist bekannt, dass es sich bei solchen Mails um Phishing und einen möglichen Cyberangriff handelt. Dennoch werden schädliche Links oft genug geklickt bzw. entsprechende Dokumente heruntergeladen – und das nicht nur von Privatpersonen: neun von zehn Unternehmen sind bereits Opfer von Cyberattacken in Form von Datendiebstahl, Sabotage und Spionage geworden.
Phishing-E-Mails gehören zu den häufigsten Angriffsmethoden, dicht gefolgt von Erpresser-Software und anderen Malware-Programmen.
Bild: Perseus Technologies
Diese Angriffe haben laut einer Studie des Branchenverbands der deutschen Informations- und Telekommunikationsbranche Bitkom e. V. im Jahr 2020/2021 einen Schaden von mehr als 223 Mrd. € für die deutsche Wirtschaft verursacht und zählen damit zu den größten Geschäftsrisiken überhaupt. Dabei gehören die eingangs beschriebenen Phishing-E-Mails zu den häufigsten Angriffsmethoden, dicht gefolgt von Erpresser-Software und anderen Malware-Programmen (siehe Grafik).
KMU sind Hidden Champions
Cyberangriffe können jedes Unternehmen treffen. Größe und Branche spielen dabei keine Rolle – im Gegenteil: Vor allem KMU sind oftmals schlechter gegen Cyberangriffe gewappnet als die Branchenriesen. Dies ist einerseits darin begründet, dass Unternehmen dieser Art häufig zu klein sind oder ihnen nicht das Budget zur Verfügung steht, um eine interne Ansprechperson für die Bereiche IT und Cybersicherheit zu beschäftigen. Darüber hinaus ist es im hektischen Arbeitsalltag oftmals schwierig, sich von Seiten der Geschäftsführung mit diesen auf den ersten Blick komplex wirkenden Themen auseinanderzusetzen.
Andererseits herrscht nach wie vor der weit verbreitete Irrglaube, dass kleinere Unternehmen für Cyberkriminelle uninteressant seien. Dabei kann jeder Betrieb, der mit personenbezogenen Daten arbeitet, ins Visier krimineller Hacker geraten. Und: Insbesondere die KMU – dazu zählen im deutschsprachigen Raum viele Handwerksbetriebe, Architektur- und Ingenieurbüros sowie Unternehmen für Gebäudeausrüstung – gehören zu den sogenannten Hidden Champions, die oftmals wichtige Patente, Konstruktionspläne oder ein internationales Kundenportfolio besitzen.
All diese Daten sind sehr interessant für Cyberkriminelle: um sie zu stehlen und bspw. im Darknet weiterzuverkaufen, für Industriespionage oder einfach, um sie im Zuge eines Ransomware-Angriffs zu verschlüsseln und erst gegen die Zahlung von Lösegeld wieder freizugeben. Und für Letzteres gibt es noch nicht mal eine Garantie. In einer solchen Situation kann es im schlimmsten Fall zum Betriebsausfall kommen. Die verloren gegangenen Daten müssen von Fachleuten mühsam wiederhergestellt werden, sofern ein aktuelles Backup vorliegt. Ist dies nicht vorhanden, sind die Daten unwiederbringlich verloren. Der daraus entstandene finanzielle Schaden ist immens. Hinzu kommt der Image- und Vertrauensverlust bei Kunden und in der Öffentlichkeit.
Die Bedeutung des Faktor Mensch
In den vergangenen Jahren war immer wieder ein Zusammenhang zwischen Krisen und dem erhöhten Aufkommen von Cyberkriminalität zu beobachten. So vermeldete das BKA im ersten Halbjahr der Corona-Pandemie einen massiven Anstieg von Cyberangriffen in Form von Phishing-E-Mails, gefälschten Websites, DDoS-Attacken und Desinformationskampagnen mit der Corona-Krise als Narrativ. Auch den Bezug zum Krieg zwischen Russland und der Ukraine nutzen Cyberkriminelle beim Versenden schadhafter E-Mails oder zum Erstellen gefälschter Websites und zur Verbreitung von Falschinformationen.
Die vermehrte Nutzung des Internets als Kommunikationsmittel und die Verwendung privater Endgeräte für den Berufsalltag im Homeoffice haben Cyberkriminalität ebenfalls befeuert. Der Faktor Mensch spielt dabei eine entscheidende Rolle: Der Großteil aller erfolgreichen Cyberangriffe wird durch einen unbedachten Klick auf einen böswilligen Link oder den versehentlichen Download von Schadprogrammen verursacht. Dies kann jedoch verhindert werden. So sollte grundsätzlich das Bewusstsein für die Angreifbarkeit vorhanden sein: Es kann jede und jeden treffen. Dem gilt es entgegenzuwirken. Technische Maßnahmen wie Firewalls und Antiviren-Programme sind die Basis für jede funktionierende IT-Sicherheit.
Das IT-Sicherheitsunternehmen Perseus Technologies bietet u. a. Online-Trainings für Mitarbeiter an.
Bild: Perseus Technologies
Wie jedes wichtige Thema braucht auch Cybersicherheit einen organisatorischen Rückhalt. Dazu gehört z. B., dass alle im Unternehmen wissen, wen sie zu diesem Thema ansprechen bzw. an wen sie sich in Verdachtsfällen wenden können – und auch sollten. Mit einer guten Backup-Strategie bleiben Unternehmensdaten bei einem Cybervorfall unbeschädigt. Zudem ist im Falle eines Cyberangriffs eine schnelle Reaktion äußerst wichtig. Wie reagiert werden soll und wer weiterhelfen kann, sollte in einem Notfallplan festgehalten werden. Dieser sollte in Papierform vorliegen und allen Mitarbeitenden bekannt sowie sofort zugänglich sein. Darüber hinaus sind die eigenen Mitarbeitenden der beste Schutz gegen Cyberangriffe – wenn das Wissen und die Sensibilisierung dafür vorhanden sind. Präventive Cybersicherheits-Trainings und Phishing-Simulationen steigern das Bewusstsein gegenüber Cyberrisiken erheblich und beugen Cyberangriffen durch das richtige Handeln in einer Gefahrensituation vor.
Cybersicherheit nachhaltig leben
Und dennoch: Cybersicherheit ist kein einmaliges Unterfangen, sondern ein laufender Prozess. Für einen nachhaltigen Schutz ist es erforderlich, dass Cybersicherheit kultiviert und in den Arbeitsalltag integriert wird. Dies sollte von der Geschäftsführung ausgehen, indem das Thema immer wieder angesprochen, greifbar gemacht und von der Führungsebene vorgelebt wird. Auch kommt es auf die Integration einer gesunden Fehlerkultur in das Cybersicherheitskonzept eines Unternehmens an. Mitarbeiter müssen offen mit Fehlern in Bezug auf Cybersicherheit – z. B. den Klick auf einen schadhaften Link – umgehen können und dürfen nicht dafür „bestraft“ werden. Das ganze Unternehmen sollte anhand solcher Vorfälle gemeinsam lernen. Denn am Ende gilt: Cybersicherheit entsteht durch das bewusste Handeln aller.