So schützen Sie sich vor Cyberkriminellen

Die Bedrohungslage durch Cyberangriffe ist für die deutsche Wirtschaft, die kritische Infrastruktur, die Gesellschaft, aber auch jeden Einzelnen sehr ernst. Das unterstrich die von Kanzler Olaf Scholz geführte Bundesregierung am 14. Juni 2023, als sie erstmals überhaupt eine „Nationale Sicherheitsstrategie“ für Deutschland beschloss – und zwar nicht nur, weil der Angriffskrieg Russlands gegen die Ukraine die europäische Sicherheitspolitik grundlegend infrage stellte. 

Wie sich Deutschland vor einem militärischen Angriff schützen sollte, ist nur ein Thema im öffentlichkeitswirksam vorgestellten Strategiepapier. Für die Nationale Sicherheitsstrategie „legen wir einen breiten Sicherheitsbegriff zugrunde“, erklärte Scholz. Sie umfasst deshalb auch Maßnahmen, um zum Beispiel die Rohstoffversorgung, Deutschlands Handelsbeziehungen sowie den Schutz vor Cyber­angriffen und Desinformationskampagnen zu gewährleisten.

Scholz glaubt: „Ohne Sicherheit gibt es keine Freiheit, keine Stabilität und keinen Wohlstand.“ Und darin dürfte ihm die Mehrheit der Unternehmerinnen und Unternehmer zustimmen. Denn die Wirtschaft ist ein bevorzugtes Ziele von Cyberkriminellen. Cybersicherheit sollte deshalb Chefsache sein.

Cybersicherheit wichtiger denn je

Laut der Studie „Cybersicherheit in deutschen Unternehmen“, die der TÜV-Verband im Juni 2023 herausgegeben hat, gaben elf Prozent der 501 befragten Firmen an, im vergangenen Jahr von IT-Sicherheitsvorfällen betroffen gewesen zu sein.

42 Prozent der Unternehmen erlitten dabei finanzielle Einbußen. Bei 38 Prozent waren Dienste für Mitarbeitende, bei 29 Prozent Dienste für Kunden nicht erreichbar. 13 Prozent gaben an, dass ihre Daten gestohlen wurden, bei 13 Prozent ist sogar die Produktion ausgefallen.

Die Gefahr, dass Unternehmen Opfer von Cyberattacken werden, steigt. Schließlich sind im Zuge der Digitalisierung von Produktionslinien und Geschäftsprozessen die Angriffsflächen für Cyberkriminelle größer geworden.

Wurde Schadsoftware früher hauptsächlich von IT-Nerds über Disketten, CD-ROMs oder USB-Sticks verbreitet, haben es Hackerinnen und Hacker mittlerweile über nicht ausreichend geschützte Netzwerke, E-Mails, Cloud-Applikationen, öffentliches WLAN oder sogar Kopiergeräte wesentlich leichter, ihre Schadsoftware auf Dienstrechner zu spielen und sich unerlaubt Zugriff auf Unternehmensdaten zu verschaffen.

Ziel der Cyberkriminellen: Lösegelder erpressen

Das Bundesministerium für Wirtschaft und Klimaschutz warnt: „Die Bedrohungen durch Hackerinnen und Hacker nehmen sukzessive zu und richten sich nicht nur gegen Konzerne, sondern verstärkt auch gegen mittelständische Unternehmen. Denn sie verfügen häufig über Know-how, das es zu schützen gilt, und sie zählen in ihren Branchen oft zu den Hidden Champions.“ Die Cyberkriminellen wollen die schützenswerten Daten stehlen, um von den Unternehmen hohe Lösegelder erpressen zu können.

Dafür arbeiten die Cyberkriminellen mit einem durchaus stattlichen Werkzeugkoffer: Phishing, Ransomware, DDoS, Man-in-the-Middle, Brute Force oder APT (siehe Glossar unten) sind dabei die am häufigsten eingesetzten Methoden, um sich Zugang zu fremden Daten verschaffen zu können. Oft kombinieren Angreifer auch Varianten, um schneller zum Erfolg zu kommen.

Sie machen also ihre Hausaufgaben, die Unternehmen dagegen oftmals nicht. Sie lassen das digitale Eingangstor in die Firmen-IT nicht selten sperrangelweit offen stehen.

Detlef Schmuck, Geschäftsführer des Hamburger Hochsicherheits-Cloud-Dienstes TeamDrive, kritisiert: „Viele mittelständische Unternehmen gehen zu sorglos mit betriebs­kritischen Daten um.“ Oftmals habe nicht nur der IT-Administrator uneingeschränkten Zugang zu allen betrieblichen Daten, sondern auch der IT-affine Azubi. „Wenn dieser später das Unternehmen verlässt, behält er häufig seine Zugriffsrechte, weil niemand daran denkt“, so der Datensicherheitsexperte. Er empfiehlt: „Die bei Großunternehmen gängigen granularen IT-Berechtigungssysteme müsste es auch in kleinen und mittelständischen Unternehmen geben. Aber aus Kostengründen werden sie häufig eingespart.“

Schmuck rät KMU deshalb zum Einsatz eines cloudbasierten Datenmanagementsystems mit entsprechenden Features. Dabei seien eine Ende-zu-Ende-Datenverschlüsselung sowie eine Zero-Knowledge-Architektur die wichtigsten Kriterien, um damit alle Daten in der Cloud lückenlos zu verschlüsseln und nur bei berechtigtem Zugriff entschlüsseln zu können.

Wachsame Mitarbeitende sind wichtig

Das Thema Cybersicherheit ausschließlich bei den IT-Administratoren und -Verantwortlichen abzuladen ist definitv zu kurz gedacht. Denn nicht selten sind es vor allem die Mitarbeitenden, die durch einen falschen Klick, das Öffnen von Junk-Mails oder die mobile Arbeit in öffentlich frei zugänglichen Netzwerken Lücken in die IT-Sicherheitsarchitektur reißen.

Das Bundeskriminalamt (BKA), zuständig für die strafrechtliche Verfolgung von Cyberangriffen, empfiehlt Unternehmen, „ein Sicherheitsbewusstsein sowohl in technischer Hinsicht, aber insbesondere auch mit Blick auf die soziale Komponente zu schaffen, um Mitarbeitende vor Phishing, Social Engineering und Co. zu schützen“. Dazu seien spezielle IT-Sicherheitsschulungen für Beschäftigte eine wirksame Maßnahme, so das BKA.

Neben regelmäßigen Schulungen und einem konsequenten Rechtemanagement sollten Unternehmen ihre Beschäftigten aber auch regelmäßig auffordern, ihre Passwörter zu ändern, einmal im Monat die IT checken zu lassen und mit unangekündigten Phishing-Awareness-Tests die eigene Infrastruktur anzugreifen, empfiehlt Ulrich Irnich, CIO von Vodafone Deutschland. Mit Schwachstellen-Scans und gezielten Angriffen auf die IT-Umgebung lassen sich zusätzlich Sicherheitslücken aufdecken und Mitarbeitende regelmäßig für das Thema Cybersicherheit sensibilisieren.

Irnich wies im Rahmen einer Keynote auf dem „Online Marketing Rockstars“-Festival 2023 aber auch darauf hin, dass Unternehmen für den Fall eines Hackerangriffs in jedem Fall einen Notfallplan in der (virtuellen) Schublade haben sollten. Dazu gehöre eine vorbereitete interne wie externe Krisenkommunikation. Und wenn es im Ernstfall zur Lösegeldforderung kommt? „Ich empfehle in jedem Fall, kein Lösegeld zu zahlen, die Polizei und Behörden zu informieren, möglichst ein Back-up sowie die Log-Dateien zu sichern und den Angriff einzugrenzen“, so der IT-Experte. 

Cyberversicherungen: gut, aber teuer

Glücklich können sich die Unternehmen schätzen, die vor einigen Jahren bereits eine Cyberversicherung abgeschlossen haben. Die kommt im Fall eines erfolgten Angriffs für mögliche Schäden auf. Mit der zunehmenden Gefahr durch Hacks wird diese Art von Versicherung aber immer teurer, für viele Unternehmen sogar unbezahlbar. Vielleicht auch ein Grund dafür, dass die Gothaer Allgemeine in einer KMU-Studie aus dem Juni 2023 einen „Nachholbedarf beim Cyber-Versicherungsschutz“ feststellt.

„Obwohl die Angst vor einem Angriff aus dem Netz nach wie vor am größten ist, haben sich bislang nur 20 Prozent der für die Studie befragten KMU über eine Cyberversicherung gegen Hackerangriffe abgesichert“, heißt es in dem Papier. Thomas Bischof, Vorstandsvorsitzender der Gothaer Allgemeinen, kann das nicht nachvollziehen: „Die Kriminalität im Netz wird immer professioneller und trifft Unternehmen jeder Größe.“

Ohne Cyberversicherung würden Unternehmerinnen und Unternehmer am falschen Ende sparen und die Existenz der Firma aufs Spiel setzen, so Bischof. Allen, die sich keine Cyberversicherung (mehr) leisten können, sollte jetzt die Politik mit strengeren Vorgaben und Normen für Cyber­security helfen, um die Wirtschaft zu schützen.

Die Bedrohung durch Cyberattacken ist allgegenwärtig – und in Deutschland besonders akut. So war laut einer Studie des TÜV-Verbands im Jahr 2022 jedes zehnte Unternehmen von einem derartigen Angriff auf die IT-Systeme betroffen.

Cyberkriminelle verwenden dabei Methoden wie etwa Phishing-Mails – also täuschend echt und vertrauenswürdig wirkende E-Mails mit infizierten Anhängen oder Links, die heimlich Schadsoftware auf einem Dienstcomputer installieren. Das Ziel: Passwörter erbeuten, sensible Daten stehlen und Schaden anrichten.

In 62 Prozent der Fälle war das laut TÜV von Erfolg gekrönt. „In Deutschland sitzen einige der am höchsten entwickelten Industrien dieser Welt. Außerdem sind die Deutschen eine der führenden politischen Mächte mit großem Einfluss. Das Land ist zu einem der Hauptziele für koordinierte Cyberattacken geworden“, erklärt Yuval Porat, der mit seiner israelischen Firma Kazuar Cyber- und IT-Sicherheitslösungen anbietet.

Diskretion ist überlebenswichtig

Die Arbeit der Spezialisten von Kazuar findet dabei oftmals im Verborgenen statt – Diskretion ist in diesem Business überlebenswichtig. Die Angst von Unternehmen vor Rufschädigung und Vertrauensverlust seitens der Kundinnen und Kunden ist im Fall einer Cyberattacke groß: So entscheiden sich laut TÜV mehr als acht von zehn Unternehmen dafür, einen illegalen Zugriff durch Hacker geheim zu halten. Nur elf Prozent machten eine Attacke öffentlich.

Dass die Angst vor Cyberattacken steigt, liegt auch in der zunehmenden Professionalisierung der Szene. So bedienen sich Cyberkriminelle längst der technischen und personellen Ressourcen ganzer Regierungen. „Sie rekrutieren ehemalige Mitarbeitende von staatlichen Diensten oder arbeiten mit noch aktiven Regierungsakteuren zusammen“, berichtet Porat. Viele Banden stünden sogar unter direktem Einfluss von Ländern wie Iran, Nordkorea oder Russland, die von den Cyberangriffen ebenfalls profitieren – etwa durch Erpressungsgelder oder erbeutete Wirtschaftsdaten. Öffentlich streiten sie aber jede Beteiligung ab.

Gamechanger KI

Aufgrund dieses hohen technologischen und organisatorischen Standards sei es schon heute für mittlere und kleinere Unternehmen sehr schwer, einen ausreichenden Cyberschutz zu gewährleisten. Mit dem Einfluss von Künstlicher Intelligenz (KI) steigt dieses Gefährdungspotenzial noch an, erklärt Porat. KI-gestützte Programme wie ChatGPT könnten zum Beispiel die Sprachbarrieren in Fake-Mails überwinden und die generelle Qualität der Täuschung noch erhöhen – ein Albtraum für Unternehmen.

Hier sei ein Umdenken in Richtung ganzheitlicher Systeme erforderlich, die Schaffung eines „New Safe Heaven“. Diese parallele Cyberwelt soll auf staatlichen Security-Standards sowie kryptografischer Verschlüsselung basieren, die kooperierende Regierungen gemeinsam mit Unternehmen und der Wissenschaft aufbauen. Nur mit dieser neuen Form der Sicherheitsarchitektur werde man mit den heutigen und künftigen Cybergefahren fertig. Denn, so erklärt Porat, in der Organisation des derzeitigen Cyberraums sei niemand mehr sicher.

Einerseits hängen KI-Lösungen vom digitalen Schutz ab, andererseits unterstützen sie Cybersecurity-Plattformen wie IBM X-Force Exchange bei der Abwehr von Angriffen.

KI wird allerdings auch von der dunklen Seite der Macht eingesetzt, um mithilfe von maschinellem Lernen Unternehmen oder Institutionen anzugreifen. In sensiblen Umfeldern wie dem Gesundheitswesen diskutieren deshalb Experten über die Sicherheit von Patientendaten im Cyberspace, wenn KI-basierte Plattformen zum Einsatz kommen.

Wasser auf die Mühlen der Kritiker war auch ein Artikel im Mai 2023 von Trend Micro, demzufolge OpenAI, der Entwickler von ChatGPT, einen Fehler im Quellcode seiner KI entdeckt hatte, der zu einem Datenverlust geführt hat. Die Schwachstelle lag in der Datenbank, die OpenAI zum Speichern von Benutzerinformationen einsetzt. Hacker haben die Schwachstelle genutzt, um auf die OpenAI-Bibliothek zuzugreifen und den Chatverlauf der Nutzer einzusehen.

Ein Monitoring-System ist Pflicht für Unternehmen

Aber auch jenseits der generativen KI sind die Anforderungen an Cybersecurity in den zurückliegenden Jahren aufgrund ausgefeilter Hackermethoden und Angriffe enorm gestiegen. 

Kleine und mittlere Unternehmen sollten sich deshalb mit dem Thema Cybersicherheit beschäftigen und Big-Data-Analysen durchführen, um zu erkennen, wo sie am anfälligsten sind. Je besser das Monitoring-System an den Risikostellen, desto früher lassen sich Anzeichen erkennen und Datenverletzungen oder unbefugter Zugriff verhindern. Egal ob mit externen Experten oder mit den internen IT-Teams: Unternehmen brauchen Datenanalysen in Echtzeit, um mit den externen Angreifern mithalten zu können. 

Und spätestens hier kommt wieder die KI als Unterstützung ins Spiel, denn in der schnellen Auswertung komplexer Daten funktioniert sie am besten. KI kann Bedrohungssituationen anhand von Datenmustern schnell erkennen, blinde Flecken aufdecken und potenzielle Risiken ausspielen.

Es bleibt deshalb ein Sowohl-als-auch: KI unterstützt einerseits unsere Sicherheit und erhöht andererseits potenziell die Angriffsfläche. Wie jede Software ist KI anfällig. Aber wir brauchen sie – und wir sind gefordert, KI richtig zu integrieren.