Cyberattacken verhindern

Schwachstelle Rechner oder Faktor Mensch?

Cyberattacken gehören aktuell zu den größten Geschäftsrisiken – auch für kleine und mittelständische Unternehmen wie Planungsbüros. Dennoch gehen sowohl Geschäftsführung als auch Mitarbeiter oftmals zu sorglos mit diesem Thema um. Dabei gibt es einfache Strategien, wie man sich vor Cyberattacken schützen kann.

Wahrscheinlich hat jeder schon einmal eine E-Mail erhalten, in der er vermeintlich von seiner Bank gebeten wird, dringend die eigenen Zugangsdaten zu aktualisieren, da ansonsten die Sperrung des Kontos droht. In der E-Mail befindet sich ein Link, der direkt auf die Website der Bank und zur Eingabe der Daten führen soll. Inzwischen ist bekannt, dass es sich bei solchen Mails um Phishing und einen möglichen Cyberangriff handelt. Dennoch werden schädliche Links oft genug geklickt bzw. entsprechende Dokumente heruntergeladen – und das nicht nur von Privatpersonen: neun von zehn Unternehmen sind bereits Opfer von Cyberattacken in Form von Datendiebstahl, Sabotage und Spionage geworden.
Perseus-Umfrage von 2020 zu den häufigsten Arten von Cyberangriffen
Bild: Perseus Technologies
Perseus-Umfrage von 2020 zu den häufigsten Arten von Cyberangriffen
Bild: Perseus Technologies

Diese Angriffe haben laut einer Studie des Branchenverbands der deutschen Informations- und Telekommunikationsbranche Bitkom e.V. im Jahr 2020/2021 einen Schaden von mehr als 223 Mrd. € für die deutsche Wirtschaft verursacht und zählen damit zu den größten Geschäftsrisiken überhaupt. Dabei gehören die eingangs beschriebenen Phishing-E-Mails zu den häufigsten Angriffsmethoden, dicht gefolgt von Erpresser-Software und anderen Malware-Programmen (siehe Grafik).

KMU gehören zu den „Hidden Champions“ mit wertvollen Daten

Cyberangriffe können jedes Unternehmen treffen. Größe und Branche spielen dabei keine Rolle – im Gegenteil: Vor allem die sogenannten KMU sind oftmals schlechter gegen Cyberangriffe gewappnet als die Branchenriesen. Dies ist einerseits darin begründet, dass Unternehmen dieser Art häufig zu klein sind oder ihnen nicht das Budget zur Verfügung steht, um eine interne Ansprechperson für die Bereiche IT und Cybersicherheit zu beschäftigen. Darüber hinaus ist es im hektischen Arbeitsalltag oftmals schwierig, sich von Seiten der Geschäftsführung mit diesen auf den ersten Blick komplex wirkenden Themen auseinanderzusetzen.

Andererseits herrscht nach wie vor der weit verbreitete Irrglaube, dass kleinere Unternehmen für Cyberkriminelle uninteressant seien. Dabei kann jeder Betrieb, der mit personenbezogenen Daten arbeitet, ins Visier krimineller Hacker geraten. Und: Insbesondere die KMU – dazu zählen im deutschsprachigen Raum viele Planungs- und Ingenieurbüros sowie Unternehmen für Gebäudeausrüstung – gehören zu den sogenannten Hidden Champions, die oftmals wichtige Patente, Konstruktionspläne oder ein internationales Kundenportfolio besitzen.

Das Cybersicherheitsunternehmen Perseus Technologies bietet u.a. Online-Trainings für Mitarbeitende an
Bild: Perseus Technologies

Das Cybersicherheitsunternehmen Perseus Technologies bietet u.a. Online-Trainings für Mitarbeitende an
Bild: Perseus Technologies

All diese Daten sind sehr interessant für Cyberkriminelle: um sie zu stehlen und bspw. im Darknet weiterzuverkaufen, für Industriespionage oder einfach, um sie im Zuge eines Ransomware-Angriffs zu verschlüsseln und erst gegen die Zahlung von Lösegeld wieder freizugeben. Und für Letzteres gibt es noch nicht mal eine Garantie. In einer solchen Situation kann es im schlimmsten Fall zum Betriebsausfall kommen. Die verloren gegangenen Daten müssen von Fachleuten mühsam wiederhergestellt werden, sofern ein aktuelles Backup vorliegt. Ist dies nicht vorhanden, sind die Daten unwiederbringlich verloren. Der daraus entstandene finanzielle Schaden ist immens. Hinzu kommt der Image- und Vertrauensverlust bei Kunden und in der Öffentlichkeit.

Der Faktor Mensch: Häufigstes Einstiegstor und bester Schutz zugleich

In den vergangenen Jahren war immer wieder ein Zusammenhang zwischen Krisen und dem erhöhten Aufkommen von Cyberkriminalität zu beobachten. So vermeldete das BKA im ersten Halbjahr der Corona-Pandemie einen massiven Anstieg von Cyberangriffen in Form von Phishing-E-Mails, gefälschten Websites, DDoS-Attacken und Desinformationskampagnen mit der Corona-Krise als Narrativ. Aktuell nutzen Cyberkriminelle den Bezug zum Krieg zwischen Russland und der Ukraine vermehrt beim Versenden schadhafter E-Mails oder zum Erstellen gefälschter Websites und zur Verbreitung von Falschinformationen.

Auch die vermehrte Nutzung des Internets als Kommunikationsmittel und die Verwendung privater Endgeräte für den Berufsalltag im Homeoffice haben Cyberkriminalität befeuert. Der Faktor Mensch spielt dabei eine entscheidende Rolle: Der Großteil aller erfolgreichen Cyberangriffe wird durch einen unbedachten Klick auf einen böswilligen Link oder den versehentlichen Download von Schadprogrammen verursacht. Dies kann jedoch verhindert werden. So sollte grundsätzlich das Bewusstsein für die Angreifbarkeit vorhanden sein: Es kann jede und jeden von uns treffen. Dem gilt es entgegenzuwirken. Technische Maßnahmen wie Firewalls und Antiviren-Programme sind die Basis für jede funktionierende IT-Sicherheit.

Wie jedes wichtige Thema braucht auch Cybersicherheit einen organisatorischen Rückhalt. Dazu gehört z. B., dass alle im Unternehmen wissen, wen sie zu diesem Thema ansprechen bzw. an wen sie sich in Verdachtsfällen wenden können – und auch sollten. Mit einer guten Backup-Strategie bleiben Unternehmensdaten bei einem Cybervorfall unbeschädigt. Zudem ist im Falle eines Cyberangriffs eine schnelle Reaktion äußerst wichtig. Wie reagiert werden soll und wer weiterhelfen kann, sollte in einem Notfallplan festgehalten werden. Dieser sollte in Papierform vorliegen und allen Mitarbeitenden bekannt sowie sofort zugänglich sein.

Darüber hinaus sind die eigenen Mitarbeitenden der beste Schutz gegen Cyberangriffe – wenn das Wissen und die Sensibilisierung dafür vorhanden sind. Präventive Cybersicherheits-Trainings und Phishing-Simulationen steigern das Bewusstsein gegenüber Cyberrisiken erheblich und beugen Cyberangriffen durch das richtige Handeln in einer Gefahrensituation vor.

Cybersicherheit nachhaltig leben

Und dennoch: Cybersicherheit ist kein einmaliges Unterfangen, sondern ein laufender Prozess. Für einen nachhaltigen Schutz ist es erforderlich, dass Cybersicherheit kultiviert und in den Arbeitsalltag integriert wird. Dies sollte von der Geschäftsführung ausgehen, indem das Thema immer wieder angesprochen, greifbar gemacht und von der Führungsebene vorgelebt wird. Auch kommt es auf die Integration einer gesunden Fehlerkultur in das Cybersicherheitskonzept eines Unternehmens an. Mitarbeitende müssen offen mit Fehlern in Bezug auf Cybersicherheit – z. B. den Klick auf einen schadhaften Link – umgehen können und dürfen nicht dafür „bestraft“ werden. Das ganze Unternehmen sollte anhand solcher Vorfälle gemeinsam lernen. Denn am Ende gilt: Cybersicherheit entsteht durch das bewusste Handeln aller.

x

Thematisch passende Artikel:

Ausgabe 7-8/2023

Cybersicherheit in der Gebäudeautomation

Wie sich das Zusammenspiel zwischen OT und IT weiterentwickelt

BACnet bietet als offenes und neutrales Kommunikationsprotokoll für die Vernetzung von Gebäuden eine Reihe entscheidender Vorteile und hat sich so aus guten Gründen zum bevorzugten Protokoll für...

mehr

Cyber-Sicherheit in der Gebäudeautomation

Mit IT-Mechanismen Risiken minimieren und Immobilien gegen Cyber-Angriffe schützen

Die Cyber-Risiken wachsen Einerseits benötigt man für die Fernwartung die Anbindung ins Internet, um die HLK-Anlagen effizienter und langlebiger warten zu können. Auf der anderen Seite birgt das...

mehr

Umfrage zur Cybersicherheit in deutschen Unternehmen

Studie zeigt Unsicherheiten und Mängel auf

Globale Krisen, angespannte Wirtschaftslage, Fachkräftemangel – die Liste an Herausforderungen insbesondere für kleine und mittlere Unternehmen (KMU) in Deutschland ist lang. Vor allem das Thema...

mehr
Ausgabe 09/2024

IT-Sicherheit in automatisierten Gebäuden

Maßnahmen gegen Cyberangriffe

Unternehmen setzen vermehrt auf intelligente Lösungen, um ihre Produktivität und betriebliche Effizienz bzw. Flexibilität zu steigern. Diese Vorteile der Konnektivität und Digitalisierung erhöhen...

mehr
Ausgabe 11/2011 Digitale Aufzeichnungsgeräte

Recorderreihe „Bank“

Mit der Recorderreihe „Bank” hat Dallmeier eine Serie von Aufzeichnungssystemen entwickelt, die durch ihre Zertifizierungen und speziellen Systemparameter für den Einsatz in Geldinstituten...

mehr