Ein Antivirusprogramm reicht nicht

Das Gespräch führte Thorsten Giersch

Wie schätzen Sie die Bedrohungslage besonders für typisch mittelständische Unternehmen ein?

Es ist wie in den vergangenen drei, vier Jahren unvermindert ernst. Wir fragen regelmäßig mittelständische Unternehmen, ob sie im vergangenen Jahr Opfer einer Cyberattacke waren. Mehr als vierzig Prozent waren allein im vergangenen Jahr Opfer eines Angriffs. Der Branchenverband Bitkom nannte für 2022 die Schadensumme von mehr als 200 Milliarden Euro für die deutsche Wirtschaft – das ist fast der halbe Bundeshaushalt. Und die Unternehmen hierzulande investieren nicht einmal acht Milliarden Euro in Cybersicherheit. Der Schaden ist für Unternehmen etwa 25 Mal so groß wie die Investition in Sicherheit.

Was sollten Betriebe konkret tun?

Unternehmen brauchen moderne Werkzeuge. Mit einem Antivirusprogramm und einer Firewall kann sich heute niemand mehr sicher fühlen. Und es ist auch Personal nötig, um die modernen Werkzeuge zu bedienen. Es ist wie bei Verkehrsunfällen: So wichtig wie die spontane Erste Hilfe vor Ort auch ist, im Krankenhaus steht ganz anderes Gerät mit anderen Möglichkeiten. Doch ohne den guten Arzt nutzen auch die nur die Hälfte. 

Wo bekomme ich solche Experten? Der Fachkräftemarkt ist schließlich angespannt.

Unternehmen brauchen Leute, die wissen, wie sie bei Angriffen reagieren, mit welchen Maßnahmen sie vorgehen, um einen Angreifer bestmöglich zu isolieren und rauszuschmeißen, bevor er hohen Schaden anrichten. Für die meisten Unternehmen ist es die ökonomischste Variante, wenn sie sich hier einen Dienstleister einkaufen, der rund um die Uhr überwacht.

An welcher Stelle beginnt die Arbeit des Dienstleisters und was sollte ein Unternehmen selbst können? 

Wir empfehlen Folgendes: Die IT im Unternehmen kümmert sich um das Tagesgeschäft, und die externen Sicherheitsspezialisten arbeiten im Hintergrund. Programme werden installiert, die Telemetrieinformationen an ganz vielen Stellen im Betrieb einsammeln. Dann filtert erst einmal künstliche Intelligenz diese riesigen Datenmengen und erkennt verdächtige Ereignisse. Und nur die werden dann den Sicherheitsspezialisten vorgelegt. Menschliche Intelligenz erkennt besser, ob es möglicherweise ein echter Angriff ist oder ob nur ein Benutzer den falschen Knopf gedrückt hat.

KI hilft also den Guten. Aber die Bösen nutzen die neue Technologie ja auch.

Natürlich. Alle User bekommen durch generative KI sehr mächtige Werkzeuge an die Hand, mit denen auch ein Amateur mit geringster Programmiererfahrung eine Ransomware schreiben kann. Man muss nicht mal mehr Deutsch können, um fehlerfreie Phishingmails zu schreiben. Ich habe mal auf Englisch ChatGPT gebeten, eine E-Mail zu schreiben, die vom Betriebsrat kommt und ein neues Mitarbeiterprogramm ankündigt. Da kam auf Deutsch eine astreine E-Mail raus, mit der Bitte, sich die Details im Anhang anzuschauen.

Unternehmen werden nicht mehr nur von Profis bedroht, sondern auch von Amateur-Hackern, die Geld mit Erpressung verdienen wollen?

Genau. Doch ein mit modernen KI-Werkzeugen ausgerüstetes Unternehmen als Verteidiger hat immer einen Vorteil. Es muss die Werkzeuge aber auch einsetzen.

Was nützt eine Cyberrisikoversicherung?

Die Assekuranz hat ein hohes Interesse daran, dass sie nicht zahlen muss, dass also die Betriebe mit einer Cyberrisikoversicherung kein Versicherungsfall werden. Dafür haben sie eine Liste von Prioritäten zusammengestellt, die Unternehmen erfüllen müssen, bevor es überhaupt einen Versicherungsvertrag gibt. Ein Unternehmen ist gezwungen, bestimmte Sicherheitsstandards zu erfüllen. Die erste Priorität ist das Thema Multifaktor-Authentifizierung: Benutzer müssen sich über mehrere Schritte ausweisen – sowohl am Rechner im Unternehmen als auch beim Fernzugriff ins Unternehmensnetz. Viele Cyberangriffe sind erfolgreich, weil irgendwo Benutzername und Passwort gestohlen oder abgegriffen werden und die Täter dann ins Firmennetz eindringen können. Eine starke Authentifizierung des Benutzers verhindert das.

Die zweite Priorität?

Die umfassende Telemetriesammlung plus Schutztechnologien am Endpunkt und im Netzwerk plus das Personal, was diese rund um die Uhr bedient. Vor allem letzteres ist wichtig. Nach unseren Studien beginnen die meisten Angriffe freitagabends, weil die Angreifer darauf setzen, dass die IT am Wochenende nicht arbeitet und sie das ganze Wochenende Zeit haben. Sie können einiges durchprobieren, sich im Unternehmensnetz umschauen oder ausbreiten, vielleicht auch die ersten Daten stehlen oder verschlüsseln. 

Und die dritte Priorität ...

... ist das Back-up des Systems und der Daten. Damit das Unternehmen im Fall eines Angriffs nicht alles verliert. Allerdings schützt es nicht vor Ransomware-Angriffen. Und die Hacker haben in den vergangenen Jahren ihre Strategie geändert. Zunächst versuchen sie sich still und heimlich im Unternehmen umzusehen und in möglichst vielen Systemen festzusetzen. Dann stehlen sie Daten zum Beispiel zu Kunden, Projekten, Bankverbindungen, Personen. Erst danach verschlüsseln sie die Daten und fordern Lösegeld. Und wenn das betroffene Unternehmen dann nicht zahlen will, weil es ein Back-up hat, drohen die Erpresser damit, die Daten zu veröffentlichen. Wichtig ist das Back-up dennoch. Und dann ist da noch der sichere Fernzugriff, Priorität Nummer vier.

Welcher gerade bei Homeoffice wichtig ist.

Viele Unternehmen haben in Coronazeiten ihre Mitarbeiter ohne große Sicherheitsmaßnahmen in die Heimarbeit entlassen müssen. Dabei setzten sie oft unsichere Technologien ein, man hat praktisch das Netzwerkkabel aus der Firma ins Homeoffice verlängert. Auf diesem Wege sind sehr viele Angriffe möglich geworden, weil sich die Hacker auf die Mitarbeiter im Homeoffice konzentriert haben.

Wie sieht es beim Thema Haftung aus?

Neue Compliance-Vorgaben wie zum Beispiel NIS-2 fordern moderne IT-Sicherheit. Zudem gibt es in einigen Branchen Standards wie Tisax für die Automobilzuliefererindustrie. Geschäftsführer und CEOs müssen dafür sorgen, dass die Regeln eingehalten werden und so Schaden vom Unternehmen ferngehalten wird. Im schlimmsten Fall haften sie mit ihrem gesamten Vermögen. IT-Sicherheit ist kein reiner Kostenfaktor mehr, wie es in der Vergangenheit oft gesehen wurde, sondern auch Überlebenssicherung.