IT-Kriminelle nehmen auch Premiumhersteller ins Visier: Medienberichten zufolge erbeuteten Hacker bei Ferrari im Frühjahr Kundendaten und forderten Lösegeld. Bekannt wurde der Fall, da der italienische Hersteller sich nicht hatte erpressen lassen und die Kunden in einem Schreiben von dem Vorfall in Kenntnis setzte und warnte. Die Flucht nach vorn brachte zwar einen Imageschaden mit sich, aber die Alternative, also Lösegeld zu zahlen und sich erpressbar zu zeigen, bringt maximal kurzfristige Vorteile. Doch auch weniger bekannte Firmen sind für Cyberkriminelle attraktiv: So warnte der der Gesamtverband der Deutschen Versicherungswirtschaft, dass sich auch kleine und mittelständische Betrieben nicht in falscher Sicherheit wiegen dürften und es Handlungsbedarf bei der Cybersicherheit gebe. „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, kommentiert Bitkom-Präsident Achim Berg 2021 im Rahmen einer Studie zum Thema Cyber-Sicherheit. Der deutsche Digitalverband befragte dazu 1.000 Unternehmen quer durch alle Branchen. Haupttreiber des enormen Anstiegs seien Erpressungsvorfälle, verbunden mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen.
Eintrittskarte Social Engineering
Ein Großteil der Angriffe beginnt mit Social Engineering, der Manipulation von Beschäftigten. Die Kriminellen nutzen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um etwa sensible Daten wie Passwörter zu erhalten. Systeme würden verschlüsselt und der Geschäftsbetrieb lahmgelegt. Gestohlene Kunden- und Unternehmensdaten erzeugten nicht nur Reputationsschäden, sondern führten auch zum Verlust von Wettbewerbsfähigkeit, mahnte Berg.
Die aktuelle Cybersicherheitslage in Deutschland bleibt also weiterhin angespannt. So zumindest beurteilen IT-Experten die Situation. Im Gegensatz dazu sehen sich viele Unternehmen als gut geschützt an, wie eine Umfrage im Auftrag des eco-Verbands ergab: 53 Prozent der Befragten schätzen die Absicherung ihres Unternehmens als gut beziehungsweise sehr gut ein, während 28 Prozent eine ausreichende Absicherung angeben. Nur jede und jeder Fünfte (19 Prozent) empfindet die Cybersicherheit im eigenen Unternehmen als unzureichend. Für Oliver Dehning, Leiter der Kompetenzgruppe Sicherheit im eco-Verband, birgt die falsche Wahrnehmung potenzielle Gefahren: „Die IT-Landschaft wird immer komplexer, wodurch sich auch die Angriffsfläche von Unternehmen und Institutionen vergrößert. Gleichzeitig wächst stetig die Bedrohungslage durch zunehmend professioneller organisierte Formen von Cyberkriminalität. Viele mittelständische Unternehmen schätzen ihre Cyberresilienz zu optimisch ein. Vor dem Hintergrund globaler Krisen müssen diese Unternehmen besonders jetzt aktiv Sicherheitsmaßnahmen implementieren.“
Denn Nichtstun kostet nicht nur Reputation, sondern auch Geld: Laut „Cyber Readiness Report 2020“ des Versicherungsunternehmens Hiscox kostete eine Attacke im Schnitt rund 51.200 Euro. Ein Teil der Kosten entsteht, weil kompromittierte IT-Systeme vom Netz gehen und die Daten anschließend wiederhergestellt werden müssen. Um Mitgliedsunternehmen zu unterstützen, informiert die eco-Kompetenzgruppe Sicherheit regelmäßig zum Bereich Cybersicherheit und organisiert thematische Veranstaltungen, wie die Internet Security Days (ISD). Laut der Bitkom-Studie reagieren Unternehmen auf die wachsende Bedrohung und stocken Investitionen in IT-Sicherheit auf: In der Umfrage gaben zumindest 24 Prozent der befragten Unternehmen an, diese deutlich erhöht zu haben, 39 Prozent etwas. In 33 Prozent der Unternehmen sind die Ausgaben unverändert geblieben. Gemessen am gesamten IT-Budget sind die Aufwendungen für ein Mehr an Sicherheit aber weiter gering. Durchschnittlich sieben Prozent ihrer IT-Mittel setzen die Unternehmen für IT-Sicherheit ein.
Thomas Kuhn, Sicherheitsbeauftragter/CISO, IT-Sicherheitsprofi und Trainer bei TÜV NORD, beobachtet einen deutlichen Wandel in Art und Qualität der Attacken: „Vor 30 Jahren gab es vor allem Hacker, die sich selbst und anderen lediglich beweisen wollten, dass sie in IT-Systeme eindringen können. Inzwischen ist eine organisierte Kriminalität herangewachsen, die das Ziel hat, Unternehmen zu erpressen und/oder zu schädigen.“
IT-Sicherheit ist Chefsache
Zwar kümmern sich Geschäftsführer in der Regel nicht selbst um die Installation von Sicherheitsmechanismen oder das Monitoring, aber sie müssen die Entscheidung treffen, wie viel ihr Unternehmen in das Thema investiert und wie viel Risiko eingegangen werden darf. Dafür ist eine Risikoanalyse bzw. Risikoabschätzung erforderlich. Für Thomas Kuhn besteht ein guter grundlegender IT- und Informationssicherheitsschutz aus drei Bestandteilen: Zuerst sei es notwendig, jemanden im Unternehmen zu finden, der sich des Themas IT-Sicherheit annimmt. In kleinen Unternehmen sei das in der Regel eine Teilzeitaufgabe. An vorderster Stelle sollte immer stehen, sich Antworten auf folgende Frage zu überlegen: Was mache ich, wenn es zu leichten oder schweren Sicherheitsvorfällen kommt? Wen informiere ich, welche Dienstleister binde ich ein und wie gehe ich bei der Abwehr vor? Dann könnten Verantwortliche mit anderen Mitarbeitenden für den Ernstfall üben. Zweitens: Für Unternehmen jeder Größe ein Muss sei eine Kombination aus Perimeterschutz (Firewall) und Endgeräteschutz (Endpoint Protection), also einer Lösung, die beispielsweise Geräte wie Laptops, Desktop-PCs sowie Serversysteme überwacht und gegen Attacken abschirmt. Eine Firewall allein reiche nicht aus zum Schutz der IT-Infrastruktur. Drittens: Schließlich sollten sich Unternehmen um Back-up und Restore kümmern, damit Daten bei einem Angriff wiederhergestellt werden könnten. Entscheidend sei, dass es sich nicht einfach um ein operatives Back-up handle, mit dem Daten nach versehentlichem Löschen wiederhergestellt werden können, sondern um eines, dass offline und off-site geschützt verfügbar sei. Nur dann bestünden gute Chancen, dass es Cyberkriminelle nicht einfach übernehmen beziehungsweise versuchen, sich vor Ort Zugänge zu verschaffen. Als eine Orientierung für KMU, die kein IT-Sicherheitsmanagementsystem einführen können, empfiehlt Thomas Kuhn ein leichtgewichtiges ISMS nach ISO 27001 oder den BSI-Grundschutz, und hier speziell die Anforderungen für eine Basisabsicherung.
