Führende Behörden und Branchenverbände schlagen Alarm: Die Zahl der Cyberangriffe auf Unternehmen wächst unaufhörlich. Der angerichtete Schaden kostet die Betriebe schon heute eine hohe Milliardensumme. Was können Unternehmen dagegen tun? Der folgende Text zeichnet ein umfassendes Lagebild für Unternehmen, klärt auf und versorgt Sie mit wertvollen Tipps und Strategien.
Cybersicherheit: Die Bedrohung für Unternehmen wächst kontinuierlich
Computer- und Netzwerksysteme sind heutzutage für fast alle Unternehmen und Organisationen von zentraler Bedeutung. Es ist also logisch, dass sie geschützt werden müssen. Die vergangenen Jahre haben darüber hinaus gezeigt, wie verletzlich diese Systeme oft sind – und wie mangelhaft geschützt. In den vergangenen Jahren hat sich die Bedrohungslage in Deutschland insbesondere im Bereich der Cybersecurity verschärft. Das ist sogar amtlich bestätigt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert einen steilen Anstieg von Cyberangriffen auf Unternehmen. Als Top-3-Bedrohungen der Zielgruppe „Wirtschaft“ nennt das BSI Ransomware, Schwachstellen wie offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten und Sicherheitslücken in der IT-Supply-Chain.
Neun von zehn Unternehmen sind von Cyberangriffen betroffen
Bei den Attacken handelt es sich in den meisten Fällen um Phishing-Angriffe. Dabei versuchen die Angreifer, Mitarbeiter dazu zu bringen, vertrauliche Informationen preiszugeben. Auch Malware-Angriffe sind verbreitet. Sie zielen darauf ab, Computer- und Netzwerksysteme zu infizieren. Die Zahlen sprechen eine deutliche Sprache: Eine repräsentative aktuelle Studie des Branchenverbands Bitkom hat im August gezeigt, dass der deutschen Wirtschaft 2021 ein Schaden von 203 Milliarden Euro durch den Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage entstanden ist. 2020 lag er mit 223 Milliarden Euro sogar noch höher. 84 Prozent der Unternehmen sind 2021 Opfer eines Cyberangriffs geworden. Und damit nicht genug: Der Gesamtschaden ist damit mittlerweile fast doppelt so hoch wie der in den Jahren 2018 und 2019 (103 Milliarden Euro) zusammen.
Zahl der Angriffe auf Unternehmen in Baden-Württemberg ist drastisch gestiegen
Auch in Baden-Württemberg sind Unternehmen und Organisationen vermehrt Ziel von Cyberangriffen. Laut dem BSI waren im Jahr 2020 etwa 60 Prozent der gemeldeten Cyberangriffe auf KMU gerichtet. Da diese oft über weniger Ressourcen und weniger ausgereifte Sicherheitsmaßnahmen verfügen, sind sie besonders anfällig für Angriffe. Zwar hat das Land Baden-Württemberg mittlerweile eine Cybersicherheitsagentur gegründet. Allerdings befindet sich diese derzeit noch im Aufbau und sollte Unternehmen keinesfalls dazu verleiten, ihre Maßnahmen im Bereich Cybersicherheit hinten anzustellen. Auch kleinere Unternehmen dürfen sich nicht scheuen, in Cybersicherheitsmaßnahmen zu investieren. Denn diese Investitionen kommen die Unternehmen deutlich günstiger als die unkalkulierbaren Kosten und Folgen, die durch Cyberattacken entstehen.
Cyber- oder IT-Sicherheit: Das sind die Unterschiede
Aber was ist Cybersicherheit eigentlich? Nicht wenige Menschen verwenden die Begriffe Cybersicherheit und IT-Sicherheit synonym. Allerdings gibt es erhebliche Unterschiede.
Im Gegensatz zur Cybersicherheit bezieht sich IT-Sicherheit auf die Informationssicherheit, also alle Strategien, Methoden, Lösungen und Tools zum Schutz zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der Daten und digitalen Ressourcen eines Unternehmens inklusive aller Informationstechnologie-Systeme und -Infrastrukturen.
Dazu gehören auch Dinge wie Kundenakten, Personalakten und Finanzinformationen. Informationssicherheit im eigentlichen Sinn hat es also schon weit vor dem Computerzeitalter gegeben, weil es schlicht darum geht, vertrauliche Informationen und somit die Existenz des Unternehmens abzusichern.
Cybersicherheit ist dagegen ein Aufgabenbereich innerhalb der IT-Sicherheit zur Abwehr von Bedrohungen gegen vernetzte digitale Systeme wie Computer, Server, Mobilgeräte, elektronische Systeme, unterschiedliche Arten von Netzwerken aber auch Roboter und cyber-physische Systeme in Produktionsprozessen.
Aktives Risikomanagement in Unternehmen als Schlüssel
Ein wichtiger Teil von Cybersicherheit ist das Risikomanagement in Unternehmen. Dies beinhaltet die Identifizierung von Risiken, die die Sicherheit von Computer- und Netzwerksystemen gefährden können, und die Entwicklung von Maßnahmen, um diese Risiken zu minimieren oder zu eliminieren. Dazu gehören beispielsweise die Implementierung von Sicherheitsmaßnahmen wie Firewalls und Antivirus-Software, die regelmäßige Überprüfung von Sicherheitsprozeduren und die Schulung von Mitarbeitern in sicherheitsbewusstem Verhalten. Vor allem der letzte Punkt wird immer wichtiger. Denn Cyberangriffe werden in zunehmendem Maße nicht nur von außen, sondern von innen durchgeführt. So zum Beispiel durch Mitarbeiter, die unbefugt auf sensible Unternehmensdaten zugreifen.
Gezielte Manipulation von Beschäftigten ist eine wachsende Gefahr
In diesem Bereich ist auch statistisch die größte Zunahme der Angriffe zu verzeichnen, noch vor Hobbyhackern und gut organisierten Kriminellen.
Die Autoren der Bitkom-Studie weisen explizit darauf hin, dass ein Großteil der Angriffe mit „Social Engineering“ beginne, also mit der gezielten Manipulation der Beschäftigten. Dabei nutzen die hochspezialisierten professionellen kriminellen Organisationen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um etwa sensible Daten wie Passwörter zu erhalten.
Bei fast jedem zweiten (48 Prozent) der befragten Unternehmen gab es zuletzt solche Versuche – 38 Prozent der Befragten gaben an, unter anderem per Telefon kontaktiert worden zu sein, 34 Prozent per E-Mail. Der Anstieg dürfte zu einem beträchtlichen Anteil an den veränderten Arbeitsbedingungen durch die Corona-Pandemie liegen. „Eine regelmäßige Schulung von Mitarbeiterinnen und Mitarbeitern zu Sicherheitsfragen, damit sie sich auch bei Social-Engineering-Versuchen richtig verhalten, sollte in jedem Unternehmen selbstverständlich sein“, kommentiert Bitkom-Präsident Achim Berg.
Cybersicherheit muss als fortlaufender Prozess verstanden werden
Die Bewusstseinsbildung bei den Mitarbeitern ist also ein entscheidender Präventionshebel. Das Management muss dieses Bewusstsein vorleben und in die Abteilungen tragen. Silo-Denken, also die Fokussierung von Abteilungen oder Organisationsbereichen auf das eigene Tun, wie es in der öffentlichen Verwaltung weiterhin verbreitet ist, muss vermieden werden. Kurzum: Cybersicherheit geht alle im Unternehmen an!
Für die Umsetzung ist es wichtig, dass die Beschäftigten sich mit Informations-, IT- und Cybersicherheit auskennen, um mögliche Bedrohungen einschätzen zu können und wirtschaftliche Schäden präventiv zu verhindern. Wichtig ist, dass die Unternehmen Cybersicherheit als fortlaufenden Prozess verstehen und nicht als Projekt, das durchgeführt und abgeschlossen wird. Die Angreifer verändern ihre Strategie schließlich fortwährend – dementsprechend muss natürlich auch die Verteidigung ihre Strategie permanent anpassen! Ebenso wichtig ist es, dass das Konzept in ein Gesamtsicherheitskonzept eingebettet ist, das sowohl technische also auch organisatorische Maßnahmen und Handlungsrichtlinien beinhaltet.
Was Sie als Unternehmen tun können
Cybersicherheit im Unternehmen baut auf einem Sicherheits-Grundgerüst auf, dessen Beachtung sich auf jeden Fall auszahlen wird. Das Gerüst beinhaltet folgende Punkte:
- Halten Sie Ihre Antivirenprogramme stets auf dem neuesten Stand.
- Sorgen Sie für Netzwerksegmentierung: Teilen Sie Ihr Netzwerk in kleine, separate Subnetzwerke, um die Sicherheit zu erhöhen.
- Entwickeln Sie einen Notfallplan für den Fall, dass Ihr System angegriffen wird.
- Führen Sie starke Domänenrichtlinien ein.
- Prüfen Sie Ihre IT proaktiv auf Schwachstellen.
- Führen Sie Updates und Patches sofort aus.
- Sensibilisieren Sie die Mitarbeitenden.
- Minimieren Sie den Personenkreis mit Admin-Rechten.
- Implementieren Sie Web- und Mailfilter.
- Führen Sie regelmäßige Backups durch.
Automatisierte Schwachstellenanalyse und manuelle Penetrationstests
Aufbauend auf diesem Grundgerüst sind regelmäßige Verfahren unverzichtbar, die Ihr IT-System auf Schwachstellen testen. Dabei bietet sich eine Kombination aus automatisierter Schwachstellenanalyse und manuell durchgeführtem Penetrationstest an. Eine Schwachstellenanalyse – auch Schwachstellenscanning genannt – ist allerdings allein nicht in der Lage, das höchste Sicherheitsniveau zu gewährleisten. Das automatisierte Verfahren untersucht die IT-Infrastruktur von Unternehmen proaktiv auf vorhandene Schwachstellen, erkennt ihre Komponenten und findet Sicherheitslücken, die beispielsweise durch den Einsatz von Standardkennwörtern, durch fehlende Sicherheitsupdates oder durch unzureichende Patchstände von Softwares und Diensten entstehen. Erkennt es diese Lücken, werden sie Schweregraden zugeordnet und den Sicherheitsverantwortlichen mit entsprechenden Handlungsempfehlungen übermittelt. Mithilfe des Scans können Schwachstellen also passgenau gepatcht werden.
Der Schwachstellenscan hat selbst Schwachstellen
Allerdings hat der Schwachstellenscan selbst Schwachstellen. Nicht zuletzt die, dass er von einer einzelnen Datenbank abhängig ist, deren Inhalt das Unternehmen selbst bereitstellt. Es entstehen also viele blinde Flecken, weil nur Probleme erkannt werden können, die von der Datenbank abgedeckt sind. Anders sieht es beim Penetrationstest aus. Dieser wird manuell ausgeführt und kann Sicherheitslücken entdecken, die „hinter“ der Datenbank liegen. Wo ein Schwachstellenscanner an Grenzen stößt – zum Beispiel bei der Analyse eigenentwickelter Applikationen – kann ein Penetrationstester die Funktionsweise einer solchen Applikation gezielt auf Schwachstellen prüfen. Unternehmen, die ihre Sicherheitsstrategie also nachhaltig und umfassend ausrichten wollen – und diese Ausrichtung muss angesichts der Bedrohungslage Standard sein – sollten unbedingt regelmäßige Penetrationstests durchführen lassen, flankiert von den günstigeren automatisierten Schwachstellenscans.
Hausinterne IT wird wachsender Bedrohung auf Dauer nicht Herr werden
Die Zahlen der Bitkom-Studie und anderen Untersuchungen machen das Ausmaß der Bedrohung durch Cybercrime deutlich. Vor allem führen sie vor Augen, dass die Verteidigung gegen die immer professioneller durchgeführten Attacken auf die IT der Unternehmen eine immer professioneller aufgestellte Defensive braucht. Zumindest bedenkenswert erscheint vor diesem Hintergrund die Prämisse, dass die hausinterne IT-Abteilung diese Defensive auf Dauer nicht wird leisten können.
Goldstandard Managed Security
Eine Möglichkeit, die Sicherheit komplett outzusourcen ist der Ansatz der Managed Security durch sogenannte Managed-Security-Services (MSS). Der Begriff bezeichnet einen Ansatz, bei dem Sicherheitsanforderungen einer Organisation an einen spezialisierten externen Partner ausgelagert wird. Dabei beziehen die Experten sämtliche sicherheitsrelevante Aspekte in ihren Ansatz mit ein und stimmen alle Maßnahmen präzise aufeinander ab. Netzwerke und IT-Systeme sollen so überwacht, Sicherheitslücken erkannt und behoben und Cyberangriffe aktiv bekämpft werden. Für die Wahl eines MSSP, also eines Managed-Security-Service-Providers, spricht neben dessen Expertise der Geldbeutel: Für viele Unternehmen dürfte es günstiger sein, die Kompetenz einzukaufen, statt selbst ressourcenintensive MSS-Abteilungen zu etablieren.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Eine anschauliche Reportage des SWR mit etlichen Fallbeispielen und tiefen Einblicken zu namhafte Unternehmen in Baden-Württemberg, die Opfer von Cyberattacken wurden. Seitdem hat sich die Bedrohungslage gerade in diesem Bundesland vervielfacht.
Gemeinsam stark gegen aktuelle und zukünftige Bedrohungen
Wir von der HÄUSLER KG beraten Sie gemeinsam mit den führenden Experten und Technologiepartnern, was sie wirkungsvoll gegen die allgegenwärtige Bedrohungslage unternehmen können. Dazu arbeiten wir mit einem großen Ökosystem von Branchenexperten zusammen, die uns kontinuierlich in Themen wie Cyber Defense, Trendanalysen, Threat Hunting, Bedrohungsanalysen etc. unterstützen.