Etwa 18.700 Euro: Das ist der Schaden, der deutschen Unternehmen letztes Jahr im Durchschnitt durch Cybercrime entstanden ist – mehr als in jedem anderen Land der Welt. Das jedenfalls ergab eine Erhebung eines Spezialversicherers, bei der 5.181 Manager in Deutschland, den USA, Großbritannien, Frankreich, Spanien, Irland, Belgien und den Niederlanden befragt sowie Daten des Versicherungsunternehmens ausgewertet wurden. Es berichtete u. a. die Tagesschau.
Unternehmen in Deutschland besonders betroffen
In Deutschland hat sich der Schaden im Vergleich zum Vorjahr fast verdoppelt. Schuld scheint vor allem das Homeoffice zu sein, das durch die Corona-Pandemie ausgeweitet wurde und mittlerweile Standard ist. Der Ukraine-Krieg hat bislang zum Glück noch keine signifikanten Auswirkungen auf die Cyber-Security deutscher Unternehmen.
Die Betonung liegt auf „bislang“. Denn es gibt Hinweise, dass seit des russischen Angriffskriegs gegen die Ukraine 42 Länder Opfer russischer Hacker-Attacken wurden. Microsoft spricht von insgesamt 128 betroffenen Organisationen.
Die Zahlen verdeutlichen: Es ist allerhöchste Zeit, die Frage zu stellen. Ist meine eigene Firma eigentlich ausreichend vor Hackerangriffen geschützt? Übrigens: Weitet man die Betrachtung auf den gesamtwirtschaftlichen Schaden in Deutschland aus, so lag dieser 2021 bei rund 223 Milliarden Euro.
Das Institut der deutschen Wirtschaft schätzt, dass davon 25 Milliarden alleine durch unsicher gestaltete Heimarbeitsplätze entstanden. Zudem verweist das Institut auf die Gefahren im Zusammenhang mit dem Ukraine-Konflikt.
Die Gefahren: Nicht nur Homeoffice betroffen
Hacker lieben unser Homeoffice. Schließlich sind die Sicherheitsstandards selten ausgereift, wenn Mitarbeitende ihre privaten Rechner nutzen und über die private „Leitung“ telefonieren. Auch Zugangs- und Zugriffskontrollen werden nicht beachtet. Datenschutz? Fehlanzeige. Und das, obwohl die von der DGSVO vorgeschriebenen technischen und organisatorischen Maßnahmen (kurz: TOM) prinzipiell auch am Heimarbeitsplatz gelten, wenn dort personenbezogene Daten verarbeitet werden.
Neben dem Homeoffice sind aber auch die internen Systeme, wenn man in einer vernetzten Arbeitswelt überhaupt noch von internen Systemen sprechen kann, weiterhin im Fokus der Hacker. Es sind veraltete Hard- und Software sowie ein mangelhaftes Sicherheitsbewusstsein, was digitalen Angreifern Tür und Tor öffnet.
Security-Checks, Schulungen und weiterführende Maßnahmen
Um nicht Opfer der eingangs erwähnten Hackerangriffe, deren Zielsetzung im Übrigen komplett unterschiedlich sein kann – mal ist es Erpressung, mal klassische (Industrie-)Spionage, mal der bloße Spaß am Schaden anrichten – zu werden, sollten Unternehmen handeln. Zunächst einmal gilt es, den aktuellen Sicherheitsstatus zu ermitteln.
IT-Security-Experte Jan Bindig von der Bindig Media GmbH in Leipzig, die unter der Marke Protect-IT-Solutions als Full-Service-IT-Dienstleister auch IT-Sicherheitschecks anbietet, erklärte uns: „Es ist teilweise abenteuerlich, was uns im Zuge eines Penetrationstests (ein Test, bei dem ein Hackerangriff simuliert wird) an Sicherheitslücken auffällt. Einige unserer Kunden haben schlichtweg Glück gehabt, dass noch nichts Schlimmes passiert ist. Viele kommen erst zu uns, wenn das Kind schon in den Brunnen gefallen ist. Aber auch dann helfen wir natürlich gerne weiter“.
Das Weiterhelfen besteht Bindig zufolge nicht nur im Detektieren der Sicherheitsrisiken durch „beauftragtes Hacken“ (auch: Ethical Hacking), sondern auch durch das nachhaltige Schließen der Sicherheitslücken in Unternehmen.
Dazu zählen moderne All-IP-Kommunikationslösungen, eine ausgeklügelte Backup-Strategie, umfangreiche technische Sicherheitsmaßnahmen, aber eben auch ein Bewusstsein (Neudeutsch: Awareness) bei der gesamten Belegschaft. Denn oft ist es die Schwachstelle Mensch, über die Angreifer ihre Ziele erreichen.
Sicherheitskonzepte in Kombination mit Awareness-Trainings
Mit sicheren Cloud-Lösungen für verteiltes Arbeiten, der durch Software unterstützen Passwortverwaltung, einer anständigen Firewall, von der Firma gestellten Endgeräten fürs Homeoffice sowie einer im besten Fall vom Profi gemanagten IT-Überwachung mit Antivirus-Management ist es nicht getan.
Durch gezielte persönliche Beeinflussung schaffen es Cyberkriminelle, die nicht nur digitale Angriffe umsetzen, an sich sichere IT-Systeme zu umgehen und sich beispielsweise Passwörter oder direkt sensible Informationen zu erbeuten. Social-Engineering nennt sich dieses Vorgehen – die Angriffsmethoden heißen Quid Pro Quo, Pretexting, Tailgating und Phishing.
Effektiv schließen lässt sich die „Schwachstelle Mensch“ mit regelmäßigen Schulungen, bei der IT-Experten Mitarbeitende und Führungskräfte für das Thema sensibilisieren. Ein IT-Sicherheitskonzept definiert weiterführend klare Regeln und Handlungsempfehlungen im Notfall.
Digitalisierungsberater Mike Barteczko aus Chemnitz regt dazu an: „Die Digitalisierung bietet nicht nur Chancen, sondern birgt ebenso große Risiken. Mit einer Zertifizierung, beispielsweise in Form eines ITQ-Siegels, zeigen Firmen, dass sie die Sicherheitsrisiken ernst nehmen und proaktiv handeln. Das schafft Vertrauen bei Geschäftspartnern und Kunden – tut also dem Markenaufbau, breit kommuniziert, richtig gut“.
Keine Kommentare bisher