Vorsicht Cyberangriff: Wie sich Unternehmen schützen können

Ein Cyberangriff oder wenigstens der Versuch, virtuell einzubrechen, sind keine Seltenheit mehr im Alltag eines Unternehmens. Schließlich werden die Hacker immer gewiefter. Und es werden mehr. Während die Zahl der Wohnungseinbrüche in den vergangenen Jahren sank, ist die Zahl der virtuellen Attacken weiter gestiegen. Laut einer repräsentativen Studie des Digitalverbands Bitkom entstand in 2016 ein Schaden von etwa 55 Millionen Euro in Deutschland. Knapp 70% aller Unternehmen und Institutionen in Deutschland wurden laut Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) in den Jahren 2016 und 2017 zu Opfern eines Cyberangriffs. Wird die Gefahr durch Cybersicherheitsvorfälle also immer noch unterschätzt?

Oft ist es natürlich wichtig für die tägliche Arbeit, dass der Zugriff auf Unternehmens-, Kunden- oder Lieferantendaten übers Netz erfolgt. Das ist oft schneller und unkomplizierter. Folglich wird heutzutage ein Großteil der Geschäftsvorgänge über das Internet abgewickelt. Transaktionen, bei denen Geld oder Informationen den Besitzer wechseln; Verträge, die per Mail verschickt werden; Daten, die in Clouds abgelegt werden. Die digitale Arbeitswelt bietet nun mal Vorteile. Als eine Folge daraus ergeben sich aber leider auch Vorteile für Kriminelle. Und echte Nachteile für Firmen. Manchmal wird der digitale Diebstahl zum Beispiel gar nicht sofort erkannt. Manchmal vergehen sogar Tage oder gar Wochen, was eine Reaktion folglich erschwert. Ganz zu schweigen davon, dass eine Manipulation stattgefunden haben könnte, die verheerende Folgen hat. Wie groß der Schaden auch ist, bitter ist oft die Hilflosigkeit, mit der man einem Cyberangriff gegenüber steht. Was also tun?

Cyberangriff: Ein Bewusstsein für die Gefahr entwickeln

Eine Arbeit ohne Internet, Clouds und Künstliche Intelligenz aber ist ja auch kaum noch möglich. Und die gute Nachricht ist: Sicherheit für das Internet der Dinge ist sehr wohl möglich – das sehen wir an den zahlreichen Geldautomaten, denen wir unsere Daten anvertrauen. Was also sollten Firmen tun oder wenigstens beachten?

Leider mangelt es immer noch am Bewusstsein für die unsichtbare Gefahr. Eine fatale Nachlässigkeit. Unternehmen sollten sich schließlich der Gefahr eines Cyberangriffs bewusst sein. Kenne die Risiken lautet das Motto! Interne und externe Schwachstellen können eben nur erkannt werden, wenn man sich ihrer überhaupt bewusst geworden ist. Eben solche Schwachstellen, durch die ein Hacker  also möglicherweise Zugang zum System erhalten kann, müssen identifiziert werden. Dazu sollte man sich und die Angestellten über die verschiedenen Cyberbetrugsschemata und Bedrohungen informieren. Welche Methoden gibt es? An welcher Stelle könnte mein Unternehmen durchlässig sein für einen Cyberangriff?

Zusätzlich sollte in allen Bereichen der großen Konzerne genau wie in kleineren Unternehmen eine Sensibilisierung der Mitarbeiter stattfinden. Weiterhin sollte immer wieder darauf hingewiesen werden, dass bestimmte Sicherheitsvorkehrungen, und sei es nur das regelmäßige Ändern von Passwörtern oder das Durchführen von Updates, unbedingt eingehalten werden müssen. Dazu sollte es regelmäßige Schulungen geben, um das Risiko von Übergriffen im Internet zu minimieren. Dabei werden die Mitarbeiter zum Beispiel auch auf die Gefahren und das Erkennen von Phishing Mails hin geschult. So viel also zum Personal, aber auch die Technik sollte sozusagen geschult sein. Natürlich sollte daher auch gewährleistet sein, dass auf allen vorhandenen PCs oder Mobilgeräten eben auch eine Firewall samt Antivirensoftware installiert ist.

Keyboard

Eine Arbeit ohne Internet ist kaum noch möglich. Und die gute Nachricht ist: Sicherheit für das Internet der Dinge ist sehr wohl möglich.

Cyberangriff: Verschlüsseln erschwert die Gefahr

Sind alle sensibilisiert, steht also der nächste Schritt an. Verschlüsseln ist ein weiterer wichtiger Aspekt. Alle Daten, ob es sich um die Sozialversicherungsnummer des Haumeisters oder das neue geheime Suppenrezept handelt, sollten daher verschlüsselt werden. Allerdings solle auch hierbei das Eine nicht vergessen werden: Wer den kryptografischen Schlüssel besitzt, hat die Macht. Die Generierung des Schlüssels sollte darum auch im eigenen Haus erfolgen. Weder Geschäftspartner noch Cloud-Anbieter sollten diesen bekommen. Denn auch wenn die Cloud-Anbieter beim Thema Datenschutz vom Gesetzgeber bald mehr gefordert werden, bleibt der Nutzer als Auftraggeber letztendlich auf der Verantwortung für seinen eigenen Datenschutz sitzen. Da öffentliche Cloud-Dienste ja gerne gehackt werden, sollten die wirklich kritischen Daten ohnehin auf internen Cloud-Lösungen gelagert werden.

Außerdem sollten eine Authentifizierungsdomäne mit verschiedenen Informationen zur Anmeldung genutzt werden. Passwortverwaltungslösungen für Administrator- und andere privilegierte Konten machen es Hackern ebenso schwer. Um sensible Systeme und Anwendungen besser zu schützen, bieten solche mehrfachen Authentifizierung eben auch einen viel größeren Schutz beim Cyberangriff.

Nicht am falschen Ende sparen

Eines darf am Ende aber nicht außer Acht gelassen werden. Es ist wie bei allem im Leben: Es kostet Geld. Und dabei ist es egal, in welcher Größenordnung das Unternehmen liegt. Für Start-ups, die sich keine eigenen Sicherheitsleute im IT-Bereich leisten können, empfiehlt es sich beispielsweise auch, Hilfe von einem externen IT-Dienstleister in Anspruch zu nehmen. Bei größeren Firmen kann es auch mal eine eigene Abteilung sein, die sich mit dem Schutz vor einem Cyberangriff beschäftigt.

Dies dürfte zwar ein Punkt sein, an dem einige Vorgesetzte oder Vorstände jetzt die Zähne zusammenbeißen sollten. Aber wirklich gute IT-Sicherheitsexperten sind auch kostspielig und sollten nicht unterbezahlt werden. Schließlich ist es eine Investition, die sich in jedem Fall lohnt. Niemand darf nämlich vergessen, dass auch ein erfolgreicher Cyberangriff viel Geld kostet. Und ein Akrobat arbeitet auch selten ohne Netz, weil er weiß, dass das Fehlen sein Ende bedeuten kann.

Trotzdem geben gerade mittelständische Firmen nicht gerne Geld für die eigene IT-Sicherheit aus. Demnach wurden im deutschen Mittelstand laut der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC die IT-Budgets der 400 befragten mittelständischen Unternehmen in 2017 sogar noch geschrumpft. Hier muss unbedingt ein Umdenken stattfinden. Deshalb sollte auch der Mittelstand nicht zu sorglos sein.

Zudem können Cloud Provider in der Regel mehr Ressourcen für die Sicherheit aufbringen als kleine und mittelständische Unternehmen und sind daher häufig sicherer.

Fazit: Wo ein Wille ist, ist auch ein Schutz

Manch einer denkt vielleicht, dass nur große Firmen betroffen sind. Das ist natürlich ein Irrglaube. Sicher steht ein Hackerangriff wie er auf Sony oder gar auf die Bundesregierung stattfand eben im Mittelpunkt der Medien, weshalb jeder davon erfährt. Aber auch kleinere und mittelständische Unternehmen werden durch einen Cyberangriff geschädigt. Die Folgen können schließlich gravierend sein. Beispielsweise kann eine manipulierte Software dazu führen, dass sich in der Produktion Abweichungen einschleichen. So könnte die Größe einer Komponente verändert worden sein. Folglich passt diese Komponente nun also nicht mehr zum Rest und vielleicht müssen dadurch ja sogar ganze Produktionszyklen eingestampft werden.

Im Worst Case muss nach einem Cyberangriff auch mal eine Rückrufaktion gestartet werden. Sicher der Alptraum jedes Firmenchefs. Überstunden sind dann wohl das geringste Problem. Aber genau diese Risiken lassen sich also begrenzen. Schulungen, Verschlüsselungen oder auch die Hilfe von Experten – man muss es nur wollen. Eine weitere Möglichkeit ist, einen Prototypen in einem geschützten Umfeld zu testen. Für weitere Infos dazu steht das IOX Team gerne zur Verfügung.