So erhöhen Sie die IT-Sicherheit für Ihr Unternehmen
Wie wichtig IT-Sicherheit für Unternehmen ist, zeigt diese Summe: Cyberkriminelle haben 2021 laut Bitkom in Deutschland etwa 203 Milliarden Euro Schaden angerichtet. Der Branchenverband der deutschen Informations- und Telekommunikationsbranche schätzt, dass 9 von 10 Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen waren. „Früher oder später wird jeder Opfer einer Cyberattacke und wer es noch nicht war, der hat es womöglich nur noch nicht gemerkt“, sagt auch Franziska Neuberger, Referatsleiterin bei der IHK für München und Oberbayern. „Daher ist es extrem wichtig, dass sich Unternehmen vor solchen Angriffen schützen – das gilt für die Großen wie für die Kleinen.“
Das sind Auswirkungen von Cyberangriffen auf Unternehmen
Die Auswirkungen einer Cyberattacke können gerade für kleine und mittlere Unternehmen existenzbedrohend sein. Zu den Folgen zählen:
- Betriebsabläufe werden gestört, es droht das Risiko der Handlungsunfähigkeit.
- Das Unternehmen wird zu einer Lösegeldzahlung erpresst, damit die Prozesse wieder laufen oder abgezogene Daten herausgegeben werden.
- Daten werden geklaut, die Informationen über Patente enthalten.
- Kundeninformationen werden im Internet veröffentlicht, wodurch ein erheblicher Imageschaden entsteht.
- Zahlungsverkehr mit Kundinnen und Kunden oder Partnerinnen und Partnern ist eingeschränkt oder gar nicht mehr möglich.
Cybersicherheit: Welche Attacken auf Unternehmen kommen am häufigsten vor?
Welche Unternehmen wovon am ehesten betroffen sind, lässt sich laut Neuberger nicht pauschal sagen. „Die Industriespionage trifft eher innovative Unternehmen. Während sogenannte DDos-Attacken, bei denen Webseiten gezielt lahmgelegt werden, weniger zu beobachten sind, nehmen die Ransomware-Angriffe stetig zu.“
Ransom ist das englische Wort für Erpressung – Ransomware sind Schadprogramme, mit denen sich Hacker/-innen Zugang zu Computersystemen verschaffen. Das gelingt ihnen etwa, indem beispielsweise Mitarbeitende ahnungslos Programme installieren, oder über Sicherheitslücken in bestehenden Programmen. „Oft schlagen die Hacker am Wochenende zu, verschlüsseln die Daten und verlangen Geld, um sie wieder freizugeben“, sagt die IHK-Expertin.
Drei Maßnahmenbündel, um die Informationssichert im Unternehmen zu erhöhen und es vor Cyberangriffen zu schützen
1. Technische Maßnahmen
- Updates immer sofort erledigen: „Jeder kennt das: Man wird zu einem Update aufgefordert und wartet dann oft tage- oder gar wochenlang, um es auszuführen“, sagt Neuberger. „Das kann aber fatal sein, denn nur durch die Updates werden Sicherheitslücken in der Software gestopft.“ Wer zum Update aufgefordert wird, sollte das schleunigst erledigen.
- Die Computer mit einer Firewall schützen.
- Die E-Mail-Programme nur mit Spamfilter laufen lassen.
- Die Mitarbeitenden müssen sich in den Systemen mit sicheren Passwörtern einloggen. Zugangsberechtigungen sollen sequenziert und verschiedene Bereiche mit unterschiedlichen Passwörtern abgeschottet werden.
- Eine Backupstrategie entwickeln: Die regelmäßigen Sicherheitskopien aller Daten sollten vom Netz getrennt aufbewahrt werden. Bei einem Angriff können dann Daten aus dem Schrank geholt und immerhin der Stand von vor ein paar Wochen wieder hergestellt werden.
- Auch hilfreich: Eine IT-Firma beauftragen, die das eigene Unternehmen zur Probe „angreift“ – so werden die Schwachstellen sichtbar. Für die Finanzierung externer Profis kann zum Beispiel unser Firmenkredit verwendet werden.
2. Organisatorische Maßnahmen
- Die Kronjuwelen schützen: Jedes Unternehmen muss sich bewusst machen, welche seine sensibelsten Daten sind – und dann eine Strategie entwickeln, diese besonders gut zu schützen.
- Einen Notfallplan entwickeln: Jedes Unternehmen sollte den Worst Case durchdenken. Zu den wichtigen Fragen gehören: Welche Backup-Systeme habe ich? Wen muss ich alles kontaktieren? Wen aus dem Unternehmen muss ich an den Tisch holen? Welche relevanten Behörden, Banken und Institutionen muss ich informieren, und wie können Prozesse auch kurzfristig analog laufen?
- Sind die Systeme erstmal platt, sind oft auch Kontaktdaten nicht mehr aufrufbar. In regelmäßigen Abständen sollten diese daher ausgedruckt und abgelegt werden.
- Unternehmen sollten einen IT-Sicherheitsverantwortlichen benennen, der entsprechend geschult wird und bei einem Angriff weiß, wie die Abläufe sind.
3. Sensibilisierung der Mitarbeitenden
- Schulung, Schulung, Schulung: Nach Ansicht von Neuberger können Mitarbeitende nicht häufig genug darauf hingewiesen werden, dass sie E-Mail-Anhänge mit Skepsis betrachten und keine unbekannte Software runterladen sollen. Die Schulungen können auch Tests enthalten, wie Phishing-Mails erkannt werden, oder ob der USB-Stick, der auf dem Parkplatz gefunden wird, in den Firmenrechner gesteckt werden soll.
- Auch Workshops für gesamte Teams können helfen, nicht mehr auf falsche Update-Aufforderungen hereinzufallen oder Ransomware herunterzuladen.
- Eine weitere Möglichkeit sind Test-Phishing-Mails. Fallen die Mitarbeiter darauf herein, wird ihnen erneut die Gefahr erklärt.
Wie reagiere ich nach einem Cyberangriff auf mein Unternehmen?
Wer einen Angriff bemerkt, der muss so schnell wie möglich alles vom Internet abkoppeln, also den Netzwerkstecker ziehen. Dann die IT-Fachleute holen und am besten den Notfallplan hervorziehen. „Wir raten jedem Unternehmen, den Vorfall zu melden. Egal ob bei den Landeskriminalämtern, direkt bei der Polizei oder beim Verfassungsschutz. Hier gilt: keine Scheu. Die Beamten kommen meist unauffällig in den Betrieb, so dass nicht sofort jeder mitbekommt, was gerade los ist“, so Neuberger.
Kosten für die Schutzvorkehrungen kann Neuberger nicht beziffern. „Das ist sehr individuell, aber es gibt auch jede Menge kostenloses Material und Hilfestellung im Internet.“ Dazu zählt etwa der Sec-O-Mat von der Transferstelle für IT-Sicherheit im Mittelstand TISiM, bei dem Unternehmen testen können, wie es um ihre Cybersicherheit bestellt ist. Weitere Informationen und Checklisten gibt es etwa auf den IHK-Websites oder von der Allianz für Cyber-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik.