Wie sich Unternehmen vor Cyberangriffen schützen können und warum komplexe Zugangsregeln allein nicht helfen werden.
Sollen die Gehälter der Geschäftsführer und der Abteilungsleiter offengelegt werden? Die Frage ging per Mail an alle Mitarbeiter eines Unternehmens für Netzwerkbauteile. Klare Sache. Wollte man schon immer mal wissen. Überhaupt, wahrscheinlich überbezahlt, die Chefs. Viele drückten den „Ja“-Knopf in der Mail. Wäre das Ganze nicht ein Test der Sicherheitsabteilung gewesen, hätte der Klick Cyberkriminellen Zugang zum System des Unternehmens geben können. Die Firma stellt sicherheitsrelevante Teile für Computernetze her. Der Fall zeigt, dass sich selbst Mitarbeiter austricksen lassen, die täglich mit sensiblen Geräten zu tun haben und entsprechend sicherheitsbewusst sind. Das hätte teuer werden können.
Das deutsche Unternehmen, das ungenannt bleiben soll, ist nicht allein mit seinen Sicherheitslücken. Immer wieder werden Fälle bekannt, in denen Cyberkriminelle Unternehmen lahmlegen, weil sie die Daten verschlüsselt haben und Lösegeld fordern. Im Zuge des russischen Angriffs auf die Ukraine kommen vom Aggressor gesteuerte Angriffe über das Netz noch hinzu. Der Branchenverband Bitkom bezifferte den Schaden für die deutsche Industrie für 2022 auf 203 Milliarden Euro. Was tun, um sich zu schützen?
Drei Strategien bieten sich an: Das Unternehmen datentechnisch einmauern, die Mitarbeiter schulen und Diebstahl uninteressant machen. Manches ist einfach, anderes kostet viel Geld – und das können sich kleine und mittlere Unternehmen nicht immer leisten. Nichts zu tun, ist fahrlässig. „Cybersicherheit ist keine Option, sondern Notwendigkeit“, sagt Jannik Schumann vom Beratungsunternehmen Basec. Er hat reichlich Erfahrung, baute er doch die Sicherheitsarchitektur des Online-Wertpapierhändlers Trade Republic mit auf. Die Optionen im Überblick:
Ein weiterer Vorteil: Token schützen bis zu einem gewissen Grad auch vor Cyberkriminellen im eigenen Haus, unzufriedenen Mitarbeitern oder Kollegen, die gehen und noch schnell Interna mitnehmen wollen. Denn nicht jeder hat die Berechtigung, um Token in Klardaten zu verwandeln. In der Regel sind weitere Sicherheitsabfragen eingebaut. Und bei Zugriffen zu ungewöhnlichen Zeiten oder an unüblichen Stellen wird automatisch gewarnt.
Daten direkt zu verschlüsseln, wird aus Sicht des Comforte-Chefs wichtiger, weil die Datenströme durch das Internet der Dinge zunehmen, in dem der Kühlschrank bei Amazon selbsttätig nachbestellt oder das Auto mit der Werkstatt kommuniziert. „Solche Datenströme sind mit herkömmlichen Methoden nicht schützbar“, sagt Deissner. Zumal es zwischen Kühlschrank und Amazon überall Schnittstellen gibt, an denen Täter eindringen könnten.
Ist das alles eher etwas für Großkonzerne, weil es für kleine und mittelgroße Betriebe zu teuer oder kompliziert ist? Basec-Chef Schumann verneint: „Oft haben die einfachen Sachen eine große Wirkung.“ Ist das Unternehmen digital aufgestellt, sodass Kunden Aufträge online abwickeln, empfiehlt er eine regelmäßige Sicherung der gesamten Internetseite. Klar sollte sein, was passiert, wenn die Webseite nicht erreichbar ist: wer informiert wird, wer als Sicherheitsexperte ansprechbar ist, wo Unterstützung herkommt. Auch vermeintlich einfache Fragen sollten geklärt sein – etwa: Ist klar, wie wir eine Sicherung wieder aufspielen?
Besonders für Betriebe ohne große IT-Abteilungen haben mehrere Organisationen und Firmen einen Cybersicherheitscheck entwickelt. Federführend war das Bundesamt für die Sicherheit in der Informationstechnologie (BSI). Beteiligt waren 20 Partner, unter anderem Schumann, die eine eigene Norm entwickelt haben. Anhand der DIN SPEC 27076 können IT-Dienstleister jetzt Firmen zu mehr Sicherheit verhelfen. Vorgesehen ist ein bis zu zweistündiges Interview, in dem 27 Anforderungen daraufhin geprüft werden, ob das Unternehmen sie erfüllt. Als Ergebnis gibt es einen Bericht mit Handlungsempfehlungen, sortiert nach Dringlichkeit. Das Unternehmen bekommt auch Hinweise, ob und wie der Staat nötige Investitionen fördert.
Copyright © 2025. All rights reserved.