Wie Unternehmen Cyberkriminellen trotzen können

So berichten dem aktuellen Wirtschaftsschutzbericht des Digitalverbands Bitkom zufolge 87 Prozent der 1.000 befragten Unternehmen von Diebstahl von Daten und IT-Geräten, digitaler und analoger Industriespionage oder Sabotage. 73 Prozent der Firmen registrierten im vergangenen Jahr eine Zunahme von Cyberangriffen. Den entstandenen Schaden schätzt der Bitkom auf 202,4 Mrd. Euro – neben Kosten für Betriebsausfälle, Ersatzmaßnahmen und Erpressungen auch Umsatzeinbußen durch den Verlust von Wettbewerbsvorteilen oder Plagiate. Zugenommen haben vor allem Ransomware-Attacken, bei denen Daten verschlüsselt und gegen Lösegeldzahlung wieder freigegeben werden, aber auch Distributed-Denial-of Service-(DDoS)-Angriffe, die Systeme lahmlegen, sowie Phishing-Angriffe und Schadsoftware. Hinzu kommen neue Angriffsmethoden wie Deepfakes und Robocalls, bei denen KI genutzt wird, um Opfern eine falsche Identität des Angreifers vorzugaukeln.

Konkrete Zahlen für die Berliner Wirtschaft kennt Mischa Hansel nicht. Der Professor für Sozialwissenschaften mit Schwerpunkt Cyber- und Informationssicherheit an der Hochschule für Wirtschaft und Recht (HWR) schätzt aber, dass auch in Berlin die große Mehrzahl der Unternehmen schon einmal von Cyberkriminellen attackiert wurde. „Die Frage ist heute nicht mehr, ob ein Unternehmen angegriffen wird, sondern wann“, warnt Hansel. Es gelte deshalb, sich vorzubereiten, um Angriffe im Ernstfall abwehren oder zumindest Schäden begrenzen zu können. Tätergruppen seien oft nicht sonderlich versiert, die meisten Angriffe könnten mit essenziellen Sicherheitsvorkehrungen abgewehrt werden. „Cyberkriminelle stilisieren sich als unbesiegbare Überflieger, als Virtuosen der Cybertechnik, doch gerade bei erpresserischen Ransomware-Attacken dient diese PR dazu, die Zahlungsbereitschaft der Opfer zu erhöhen.“

Die meisten Kriminellen lebten von schlecht abgesicherten Netzwerken und brächten keineswegs höchstes technisches Know-how mit. Es sei ein Fehler, aus Ehrfurcht vor der vermeintlichen Übermacht in Untätigkeit zu verfallen. „Nicht der besonders raffinierte Hacker sei das Problem, sondern die fehlende Basisabsicherung im Unternehmen.“ Zu den effektivsten Schutzmaßnahmen gehören laut Hansel regelmäßige Updates und Patches aller Systeme, ein sauber implementiertes Rechtemanagement, starke Passwortrichtlinien, Multi-Faktor-Authentifizierung, Sensibilisierung und Schulungen der Mitarbeitenden sowie die Einrichtung von Firewalls und Virenschutzprogrammen. KI könne zudem helfen, Anomalien im Netzwerk aufzuspüren. Nicht zuletzt brauchen Unternehmen ein Business-Continuity-Management, einen Schlachtplan, der zeigt, wie es im Angriffsfalle weitergeht.

"IT-Sicherheit ist ein erfolgskritischer Faktor für Betriebe jeder Größe und muss von der Geschäftsführung entsprechend priorisiert, vorgelebt und von allen Mitarbeitenden mitgetragen werden“, weiß auch IHK-Hauptgeschäftsführerin Manja Schreiner. Dass Cyberangriffe auf Berliner Unternehmen und Institutionen zum Alltag gehören, hat die Kammerorganisation selbst bereits erfahren müssen. Umso wichtiger sei es, sich aktiv mit dieser Realität auseinanderzusetzen. „Gerade kleine und mittlere Unternehmen sind in dieser Lage nicht auf sich allein gestellt: Die IHK Berlin, staatliche Stellen sowie ein starkes Netzwerk regionaler Unterstützungsangebote stehen bereit, um Wissen zu vermitteln, konkrete Hilfestellung zu leisten und praxisnahe Lösungen aufzuzeigen.“

Zwei, die dieses Wissen in die Unternehmerwelt tragen, sind Olaf Borries und Lars Huwald. Als Cyberpolizisten betreuen sie zusammen mit Stephan Wende die Zentrale Ansprechstelle Cybercrime (ZAC) des LKA Berlin und kennen die Schwachstellen in den IT-Systemen der Unternehmen: „Haupteinfallstore für Cyberattacken sind E-Mails mit Links zu Phishing-Seiten oder Schadsoftware im Anhang, veraltete Software, nicht gepatchte Systeme sowie zunehmend mehr sogenannte Supply-Chain-Angriffe. Dabei wird in vielen Organisationen eingesetzte Software direkt beim Hersteller angegriffen – im Erfolgsfall mit häufig fatalen Folgen für alle Nutzer.“ Social Engineering sei ein weiterer wichtiger Bereich. Hier werde der Mensch als Schwachstelle direkt angegriffen – meist unter Ausnutzung freiwillig herausgegebener oder einfach recherchierbarer Informationen.

Borries und Huwald sind zwei aus einem Team von Ermittlern und Informatikern, die helfen, wenn sich Hacker Zugang zu Unternehmensnetzwerken verschafft haben. „Je früher wir von einem Angriff erfahren, desto schneller können wir durch Information und Kommunikation unsererseits unterstützen, aber auch den Tätern gezielt auf die Spur kommen.“ Allerdings geben die beiden Polizisten auch zu: Die meisten Angriffe erfolgen aus dem außereuropäischen Ausland. „Diese Täter können wir nicht direkt von ihrem Schreibtisch wegfangen – nicht einmal, wenn wir sie identifizieren.“

Wichtig sei daher, Angriffe zu verhindern beziehungsweise vorbereitet zu sein. „Man wird nie hundertprozentige Sicherheit erreichen, aber gar nichts zu tun, ist einfach keine Option“, so Borries. Die Polizisten gehen deshalb in die Präventionsarbeit, sensibilisieren Entscheider für die Notwendigkeit digitaler Schutzmaßnahmen. „Mit je nach Unternehmensgröße relativ kleinen Beträgen kann man schon viel für die IT-Sicherheit erreichen“, ergänzt Huwald. Wenn Unternehmen ihre wichtigsten Daten identifizieren und adäquat schützen, dazu die Mitarbeitenden sensibilisieren und ermutigen, Auffälligkeiten zu melden, in Sicherheitsübungen das Reagieren im Angriffsfall einüben, virtuelle Alarmglocken installieren und ihre Systeme aktuell halten, ist sehr viel gewonnen. 

Wie wichtig gerade regelmäßige Updates und IT-Systeme auf dem aktuellen Stand der Technik sind, erleben derzeit jene Unternehmen, Institutionen und Behörden, die ihre Rechner noch nicht auf Windows 11 umgestellt haben. Das Problem: Mitte Oktober stellte Microsoft den technischen Support und die Bereitstellung von Sicherheitsupdates für Windows 10 ein. Noch laufen aber Hunderttausende Geschäftssysteme auf dieser Plattform. „Ohne Updates werden diese Computer zur Einladung für Cyberkriminelle – Schwachstellen lassen sich einfach ausnutzen, weil Sicherheitslücken nicht mehr geschlossen werden“, erklärt Olaf Kehrer, Managing Director bei O&O Software.

Ganz einfach ist der Umstieg auf Windows 11 aber nicht. Das System stellt höhere Anforderungen an die Hardware der Rechner, sodass ältere Modelle unter Umständen nicht mit dem neuen Betriebssystem laufen. Zudem nutzen viele Unternehmen individuell für sie programmierte oder angepasst Software, die mitunter auf Windows 11-Rechnern nicht oder nicht fehlerfrei funktioniert. Noch läuft die Schonfrist von drei Jahren – die lässt sich Microsoft aber bezahlen. Doch: „Wer jetzt nicht investiert und plant, zahlt bald den mehrfachen Preis, wenn die eigene IT zur Einfallspforte für Ransomware und Datendiebstahl wird“, mahnt Kehrer.

Das kann auch rechtliche Auswirkungen haben, warnt Karsten U. Bartels, Rechtsanwalt für IT-Sicherheitsrecht und Partner bei der Kanzlei HK2 Rechtsanwälte, schließlich sind Unternehmen in der Pflicht, sich und ihre Daten vor dem Zugriff durch Fremde zu schützen. Und die rechtlichen Anforderungen an Unternehmen werden aufgrund der stetig wachsenden Bedrohung weiter ansteigen. Mit der Richtlinie NIS2 hat die Europäische Union die Standards für die Sicherheit von Netzwerken und Informationssystemen nochmals verschärft. „NIS2 verpflichtet Unternehmen, umfassende technische und organisatorische Maßnahmen zum Schutz ihrer IT zu ergreifen und dabei den Stand der Technik zu berücksichtigen“, erklärt Bartels. Zudem müssen sie Cybersicherheitsvorfälle unverzüglich melden und Krisenmanagementprozesse etablieren.

CNIS2 betrifft nicht mehr nur Unternehmen der kritischen Infrastruktur, für die bereits Sicherheitsanforderungen existieren, sondern auch zahlreiche Kleinunternehmen und Mittelständler, Dienstleister und Zulieferer. Rund 30.000 Unternehmen werden direkt und deutlich mehr mittelbar vom NIS2-Umsetzungsgesetz betroffen sein, sobald die Richtlinie in nationales Recht überführt wird, schätzt der Jurist. Wer den gesetzlichen Vorgaben nicht nachkommt, riskiert im Fall eines Angriffs erhebliche Bußgelder und eine Haftung für entstandene Schäden: „Unternehmen dürfen Cybersicherheit nicht länger als Kür betrachten, es ist Pflichtprogramm und Grundvoraussetzung für den Fortbestand aller Geschäftsmodelle im digitalen Zeitalter.“