Digitalisierung

Cyber-Kriminelle durch bessere IT-Sicherheit abwehren

Erpressungs­ver­su­che mit Ran­som­ware ha­ben wie­der­holt Be­trie­be lahm­ge­legt. Aber zur IT-Si­cher­heit ge­hört die Abwehr auch an­de­rer At­ta­cken. Un­ter­neh­men müs­sen sich in­tensiv auf Cyber-Kri­mi­na­li­tät, -Sa­bo­ta­ge und -Spi­o­na­ge vor­be­rei­ten und ih­re Ver­teidigung stärken.

Teilen auf

LinkedIn Xing Whatsapp

Verstärkt sorgen Cyber-Angriffe für Schlagzeilen, die mit der IT von Unternehmen auch deren Geschäftsbetrieb lahmlegen oder zumindest stark beeinträchtigen. In den USA hatten deshalb vor kurzem tausende Tankstellen im Osten des Landes kein Benzin mehr. In Schweden musste eine Lebensmittelhandelskette für ein paar Tage 800 Filialen schließen, weil die Kassen streikten. Und in Deutschland beklagten zahlreiche Bankkunden vorübergehend einen eingeschränkten Zugriff auf ihre Konten, da sie sich nicht einloggen konnten. Aufsehen erregen vor allem Attacken mit direkten und so meistens sehr öffentlichkeitswirksamen Auswirkungen auf viele Verbraucher. Oft handelt es sich hier um sogenannte Ransomware-Attacken. Dabei verschlüsseln Angreifer die Daten des Unternehmens und fordern für ihren Rückzug die Zahlung eines Lösegelds. Sie verlangen für die Freigabe der Firmen-IT eine finanzielle Kompensation in Form einer Kryptowährung, deren Weg sich nicht nachverfolgen lässt. Bis zum Eingang des Betrags bleibt der Geschäftsbetrieb ihres Opfers gut sichtbar – und dadurch maximal imageschädigend – eingeschränkt oder ganz unmöglich.

Die meiste Hacker-Angriffe laufen im Verborgenen ab

Doch das ist nur die Spitze des Eisbergs. Im Verborgenen laufen viel mehr und für die betroffenen Betriebe oft noch gefährlichere Angriffe ab. Der Digitalverband Bitkom schätzt den Schaden allein in Deutschland durch Datenverluste, Umsatzausfälle sowie organisatorische Aufräumarbeiten nach Angriffen für 2020/2021 auf 220 Milliarden Euro. Das ist doppelt so viel wie im Zwei-Jahres-Zeitraum davor. Und die finanziellen Belastungen durch Cyber-Attacken dürften steigen. Die Accenture-Studie „The Cost of Cybercrime“ beziffert den weltweit drohenden Schaden für den Fünf-Jahres-Zeitraum 2019/2023 auf 5,2 Billionen US-Dollar. Dagegen können sich Betroffene bald vielleicht nicht einmal mehr versichern lassen, um die Folgen erfolgreicher Cyber-Attacken abzufedern. Wegen der großen Bedrohung und der erheblichen Schäden verschwinden bereits erste Policen gegen Ransomware-Angriffe wieder vom Markt. Umso wichtiger ist es, dass Unternehmerinnen und Unternehmer sich intensiver dem Thema IT-Sicherheit zuwenden. Sie sollten die wesentlichen Aspekte kennen sowie eine durchdachte Abwehrstrategie formulieren und realisieren, über die auch alle Beschäftigten informiert sind.

Jeder Betrieb ist ein potenzielles Ziel für Cyber-Attacken

Wer seine Gegner nicht kennt, tut sich schwer mit der Verteidigung. Daher sollten Firmenchefs und Firmenchefinnen sich sowie ihren Beschäftigten zunächst klar machen, aus welchen Richtungen eine mögliche Cyber-Attacke kommen könnte. Grundsätzlich mag bei der Analyse der Bedrohungslage eine Rolle spielen, in welcher Branche ein Unternehmen tätig ist, in welchen Regionen es sich engagiert und wieviel Umsatz es macht. Forschungsergebnisse großer Pharma- oder Technologiekonzerne scheinen auf den ersten Blick interessanter zu sein als die nackten Vertriebszahlen eines mittelständischen Automobilzulieferers. Aber Achtung: Gerade einem der zahlreichen deutschen Hidden Champions, die führend in ihrer Marktnische sind, dürften schon solche Datendiebstähle schaden. Manche Konkurrenten könnten sich derartige Einblicke einiges kosten lassen, falls sie glauben, dass es ihre Position im Wettbewerb verbessert. Der Wert von Daten – und damit der erforderliche Geheimhaltungsgrad – ist immer relativ. Zudem wird der Diebstahl selbst vermeintlich unwichtiger Daten – egal durch wen – spätestens dann problematisch, wenn die Sicherheitslücken dem Firmenimage schaden.

Mehr zum Thema
Datenschutz aktuell 2021 – die DS-GVO in der Praxis

Das Fachseminar Datenschutz aktuell 2021 – die Datenschutz-Grundverordnung in der Praxis
hilft, aktuelle Fragestellungen im Datenschutz zu lösen und setzen die entsprechenden Maßnahmen gesetzeskonform umzusetzen. Weitere Informationen gibt es unter

Datenschutz aktuell 2021 – die Datenschutz-Grundverordnung in der Praxis

Mit diesen Cyber-Angreifern sind Unternehmen konfrontiert

Besonders gefährlich ist es, wenn Betriebe oder Personen von professionellen Cyber-Kriminellen angegriffen werden.

  • Erpresser können mit Ransomware jedes Unternehmen für kriminell motivierte Attacken ins Visier nehmen. Sobald die Daten verschlüsselt sind und der Geschäftsbetrieb stockt, schicken sie ihre der Ertragskraft des Unternehmens angepasste Forderung. Die liegt meistens unter den Kosten, die durch absehbare Umsatzverluste während der Erpressung sowie den Einsatz externer IT-Fachkräfte zur Wiederherstellung der Daten oder Funktionsfähigkeit der IT drohen. Darum erscheint es verlockend, das Problem durch Anweisung eines Lösegelds zu beseitigen. Fachleute warnen davor. Jede Zahlung signalisiert den Angreifern, dass ihre Masche funktioniert – und bringt Geld für weitere, noch ausgefeiltere Attacken.
  • Spione und Saboteure infiltrieren im Auftrag von Mitbewerbern oder staatlichen Stellen die Firmen-IT. Sie nisten sich für längere Zeit ein und tarnen sich, denn sie beabsichtigen keine Erpressung. Sie suchen sensible Daten über Kunden oder Produkte, die ihrem Auftraggeber im Wettbewerb helfen. Erbeutete Forschungsergebnisse beschleunigen die Entwicklung des Auftraggebers, ausgespähte Angebote helfen ihm, in Ausschreibungen knapp die Konditionen der Konkurrenten zu unterbieten. Manchmal geht es auch um Sabotage. Ein geschickt platzierter Computervirus kann jederzeit die Produktion unterbrechen oder Maschinen zerstören.
  • Diebe und Betrüger wollen sich durch den Zugriff auf oder die Manipulation von Daten finanzielle Vorteile verschaffen. Entweder gelingt es ihnen, Geld unbemerkt in ihre Richtung umzuleiten, indem etwa längerfristig regelmäßig kleine Transaktionen zu ihren Gunsten stattfinden. Oder sie zweigen Produkte beziehungsweise Material ab. Bekannt ist auch die Chef-Masche, bei der angebliche Vorgesetzte per digitaler Kommunikation rasche Geldüberweisungen veranlassen. Oft gewinnen Cyber-Angreifer die dafür nötigen Zugangsinformationen oder Kenntnisse über persönliche Details durch Social Engineering. Schlimmstenfalls entsteht dadurch ein Identitätsdiebstahl – Kriminelle übernehmen komplett die digitale Existenz ihres Opfers und nutzen sie für diverse Aktivitäten. Nicht nur, um Konten zu plündern, sondern auch für Verbrechen unter den Namen der Opfer, etwa Geldwäsche oder unbezahlte Online-Bestellungen.

Auch Freizeit-Hacker oder Beschäftigte sind ein Risiko

Neben professionellen Cyber-Kriminellen, die auf eigene Rechnung oder im Auftrag von Mitbewerbern oder staatlichen Stellen agieren, gibt es weitere Risiken.

  • Freizeit-Hacker attackieren Firmennetzwerke, weil sie beweisen wollen, dass sie selbst die besten Sicherheitsmaßnahmen aushebeln können. Doch obwohl sie nichts stehlen oder zerstören wollen, können sie dem Unternehmen unabsichtlich schaden, während sie sich umsehen. Etwa, indem sie Sicherheitsroutinen auslösen, wenn ihr Schnüffeln entdeckt wird, was zeitraubende und teure Reaktionen durch das Unternehmen auslösen kann. Oder indem durch ungeschicktes Navigieren im Netzwerk Datenverluste verursachen. Deshalb sind auch „gute Hacker“, die nicht im Auftrag des Unternehmens nach Sicherheitslücken suchen, als großes Risiko zu betrachten.
  • Beschäftigte können ebenfalls eine Cyber-Bedrohung sein. Dies gilt insbesondere für gekündigte Personen, die ihre letzten Tage im Betrieb beziehungsweise ihren Zugang für Racheaktionen nutzen wollen. Zwar können auch eigene Mitarbeiter oder Mitarbeiterinnen, die nur einen Fehler machen, Schäden anrichten. Die Auswirkungen sind aber meistens nicht so weitreichend, und viele dieser Missgeschicke lassen sich durch Schulungen verhindern. Dagegen können Entlassene ein massives Cyber-Risiko sein, wenn sie den Zugang sowie die Kenntnisse für großangelegte Sabotageaktionen oder Datendiebstähle haben. Diese zahlenmäßig vermutlich überschaubare Gruppe sollte viel mehr in den Fokus der Aufmerksamkeit von Unternehmerinnen und Unternehmern rücken.
Mehr zum Thema
Datenschutz im Unternehmen – Mitarbeiterunterweisung 2021

Sensibilisieren Sie Ihre Beschäftigten durch das Lernvideo Datenschutz im Unternehmen – Mitarbeiterunterweisung 2021 für die verschiedenen Aspekte rund ums Thema Datenschutz. Damit erhalten Sie auch den Nachweis über die jährliche Pflichtunterweisung. Mehr Infos gibt es hier

Datenschutz im Unternehmen – Mitarbeiterunterweisung 2021

Unternehmen müssen auf sechs Handlungsfeldern aktiv sein

Letztlich geht es bei der IT-Sicherheit immer um einen Dreiklang aus Hardware, Software und Wetware. Als Wetware wird häufig der Mensch bezeichnet, der neben dem Computer und den darauf laufenden Programmen die dritte Variable ist, die bei der Cyber-Sicherheit eine wichtige Rolle spielt. Schließlich bedienen Menschen die Hard- und Software, was sie automatisch zu einem potenziellen Sicherheitsrisiko macht. Auch die physische Sicherung der Geschäftsräume und die Etablierung sinnvoller organisatorischer Strukturen und Maßnahmen ist für den ausreichenden Schutz gegen Cyber-Kriminelle unumgänglich. Dazu zählen unter anderem gute Zugangskontrollen zum Betriebsgelände, stets aktuelle Softwarepakete inklusive moderner Firewalls, starke Passwörter für alle Zugangsmöglichkeiten zum Netzwerk, intensive Schulungen der Mitarbeiter zu allen IT-Sicherheitsthemen inklusive Social Engineering, ausgeklügelte Konzepte zur kontinuierlichen Datensicherung sowie regelmäßige Test, ob technische sowie organisatorische Abwehrmaßnahmen im simulierten Ernstfall tatsächlich greifen. Beratungsunternehmen und auch staatliche Stellen sind wertvolle Partner bei der Suche nach möglichen Schwachstellen und der Analyse der aktuellen Bedrohungslage.

So können sich Unternehmen gegen Cyber-Attacken schützen

Die Hardware muss gesichert sein. Heute läuft bei der IT in den meisten Unternehmen viel via Cloud. Anwendungssoftware und/oder Daten liegen auf einem Server, auf den die Beschäftigten vom Büro, vom Homeoffice oder von unterwegs zugreifen. Aber irgendwo muss die Hardware stehen. Entweder beim Cloud-Dienstleister, der dann höchste Sicherheitsmaßnahmen für sein Rechenzentrum vorweisen sollte. Oder im Betrieb – dann muss der Zugang zu diesen Geräten streng limitiert und kontrolliert sein. Unbefugte könnten viele IT-Sicherheitsvorkehrungen leichter aushebeln, wenn sie direkten physischen Zugang zur Hardware haben. Zudem sollten generell alle Büro- und Geschäftsräume mit IT-Ausstattung gut gesichert sein. Wer sich mit Rechnern auskennt, könnte hier sonst vielleicht eher Schwachstellen entdecken. Nach wie vor gilt etwa, dass der Zugriff auf einen Firmenrechner niemals über ungesicherte USB-Anschlüsse möglich sein sollte. Außerdem sollten Unternehmen mit größerer eigener IT auch Pläne zur Fortführung des IT-Betriebs bei Problemen –Stichwort Business Continuity – sowie Routinen zur Datenwiederherstellung aus Backups haben.

Die Software muss stets aktuell sein. Wer mit veralteten Programmversionen oder überholten Firewalls arbeitet, macht es Cyber-Kriminellen zu leicht. Softwareanbieter liefern regelmäßig Updates aus, die alle neu erkannten Sicherheitslücken stopfen. Aber diese Weiterentwicklungen bringen nur etwas, wenn sie auch installiert werden. Wer sich ein eigenes Team von IT-Administratoren leistet, muss darauf achten, dass es alle Rechner gut pflegt. Dazu gehört auch, die Laptops sowie Tele-Arbeitsplätze der Beschäftigten im Homeoffice aktuell zu halten. Schon deshalb ist es sinnvoll, für Heimarbeit oder mobiles Arbeiten die Hardware zur Verfügung zu stellen. Dann kann das Unternehmen bestimmen und kontrollieren, wie welche Software auf den Geräten zum Einsatz kommt. So lässt sich erreichen, dass alle Beschäftigten die gleiche Programmversion nutzen und es beim Weiterverarbeiten von Dokumenten keine Probleme gibt. Auch die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten sind so besser einzuhalten. Andernfalls drohen hohe Bußgelder.

Durch Schulungen die Abwehrbereitschaft stärken

Starke Passwörter sind Gold wert. Sie machen Hackern den Zugriff auf die Firmen-IT oft so schwer, dass die den Aufwand für einen digitalen Raubzug als zu hoch erachten und schlechter vorbereitete Opfer suchen. Zum A und O der IT-Sicherheit gehört daher, alle Geräte, Accounts oder Programme mit  starken Passwörtern zu schützen. Dazu zählen auch kleine Geräte wie etwa WLAN-Router – selbst darüber könnten sich Cyber-Kriminelle den Zugang zum Firmennetzwerk verschaffen.

Verschlüsselung lohnt sich immer. Geschäftliche Kommunikation sollte durch Verschlüsselungstechnologie geschützt sein, damit sich unterwegs im Internet keine sensiblen Inhalte abgreifen lassen. Dabei gilt es, die Beschäftigten mit wirkungsvollen, aber einfach bedienbaren Lösungen zu unterstützen. Denn selbst die besten Sicherheitsmaßnahmen helfen wenig, wenn der Nutzer sie nicht richtig einsetzt oder bewusst ignoriert.

Schulungen sind deshalb Pflicht. Niemand darf vom Personal erwarten, dass es sich permanent auf Eigeninitiative in Fragen der Cyber-Sicherheit weiterbildet. Außerdem würde dies nicht reichen. Schließlich geht es darum, dass die IT-Nutzer genau jene technischen Schutzmaßnahmen und organisatorischen Vorgaben kennen, auf die ihr Betrieb setzt. Dieses Wissen und dessen praktische Anwendung gilt es in regelmäßigen Trainings kontinuierlich aufzufrischen und zu verbessern. Außerdem gehören allgemeine Themen auf die Tagesordnung, etwa die neuesten Angriffsformen beim Social Engineering – welche weiteren Tricks haben Cyber-Kriminelle entwickelt, um sich im digitalen Raum oder in der realen Welt das Vertrauen ihres Opfers zu erschleichen? Was etwa kennzeichnet eine gute gemachte Phishing-Mail?

Mehr zum Thema
IT-Outsourcing mit DATEV

Mit den Cloud-Sourcing-Lösungen von DATEV befinden sich Ihre Anwendungen und Daten nicht mehr auf dem lokalen Arbeitsplatz oder im Firmennetzwerk, sondern liegen sicher in einer Private Cloud im DATEV-Rechenzentrum, das seit Jahren nach ISO 270001 zertifiziert ist. IT-Experten sorgen dafür, dass Ihre Software immer auf dem aktuellen Stand ist und übernehmen Wartung und Betrieb Ihres Server-Systems. Sie können von überall mit Ihrer DATEV-Software arbeiten. Mehr dazu unter

IT-Outsourcing mit DATEV

Penetrationstests und Red Teaming liefern wichtige Erkenntnisse

Zum Schutzkonzept für die Unternehmens-IT gehört dann mindestens ein weiterer Punkt: Die Strategie muss sich neuen technischen, organisatorischen oder Bedrohungsentwicklungen anpassen. Wenn Cyber-Angreifer aufrüsten, müssen die Opfer bei ihren Abwehrmaßnahmen mithalten.
Regelmäßig die Verteidigungsfähigkeit prüfen. Theoretisch lässt sich das einfach erledigen, indem Fachleute für IT-Sicherheit quasi die Papierform prüfen. Sind also die aktuellsten Programme installiert, die Beschäftigten im Anwenden geschult, Daten im zweiten Rechenzentrum als Backup gesichert? Doch Papier ist geduldig. Die echte Verteidigungsfähigkeit lässt sich etwa mit statischen Penetrationstests erkennen. Dazu attackieren beauftragte Hacker die Firmen-IT, um bei den gängigsten Angriffsmustern mögliche Schachstellen zu identifizieren. Das hilft auch kleineren Betrieben. Größere Unternehmen mit ausgefeilterer IT oder vielen digitalen Angriffspunkten sollten über das sogenannte Red Teaming nachdenken. Dabei attackieren Hacker über Tage die IT, reagieren auf Abwehrbemühungen und stellen die Verteidiger intensiv auf die Probe. Hier lassen sich Elemente wie Social Engineering einbauen, um Zugangsdaten zu erbeuten oder Viren einzuschleusen.

Wer seine Cyber-Abwehr noch nicht so durchdacht hat, kann sich mit dem Sicherheits-Check des Vereins „Deutschland sicher im Netz“ einen ersten Überblick über seine Verteidigungsfähigkeit verschaffen. Danach empfiehlt sich aber unbedingt die Rücksprache mit Fachleuten und eine rasche Stärkung der IT-Sicherheit. Schnell verbessern lässt sie sich beispielsweise durch das konsequente Verschlüsseln von E-Mails, um das Abgreifen von sensiblen Informationen zu erschweren. Darüber informiert auch folgendes Video.

Hat Ihnen der Beitrag gefallen?
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner sicher durch die Corona-Krise kommen, Steuerberater helfen bei Konjunkturpaket und Überbrückungshilfen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Fanpage

    Jetzt TRIALOG-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn