Maximale It-Sicherheit: Wie Unternehmen die Risiken deutlich mindern können

Wer heute in irgendeiner Form unternehmerisch tätig ist, der kommt nicht mehr umhin, im Alltag wenigstens einige digitale Werkzeuge zu nutzen – selbst wenn es nur E-Mail und ein Buchhaltungsprogramm sind. Bei den meisten Firmen ist es jedoch deutlich mehr – zumal Cybercrime nicht zwangsläufig nur Computer und Netzwerke betrifft.

Dadurch ist automatisch jedes Unternehmen in irgendeiner Form digital gefährdet. Egal ob es sich um Cybercrime im engeren oder weiteren Sinn handelt. Zudem lehrt die Erfahrung, dass es für Angreifer keinerlei Schwellen gibt. Jede Firma ist für sie ein lohnenswertes Ziel, denn zumindest kann dort Geld erbeutet werden. Die Attacken klammern daher weder bestimmte Branchen noch Unternehmensgrößen aus.

IT-Sicherheit muss daher jeden Firmenbesitzer tangieren. Dabei gilt: Je weniger ein Haus ohne funktionierende digitale Strukturen operieren kann, desto stärker muss ein Sicherheits-Maximum angestrebt werden.

Schlüsselerkenntnisse

  • Cybercrime fokussiert sich stark auf Unternehmen jeglicher Größe und Ausrichtung.
  • Deutsche Firmen liegen, global betrachtet, auf den vorderen Rängen in Sachen Angriffshäufigkeit und Schadsumme. Für 2023 errechnete der Branchenverband Bitkom einen Schaden von 206 Milliarden Euro.
  • In der jüngeren Vergangenheit hat sich Cybercrime stark von Einzeltätern zu mafiös organisierten und agierenden Gruppen gewandelt – auffallend häufig von China und Russland aus operierend.
  • Nur große, finanziell potente Unternehmen können eine hohe IT-Sicherheit in Eigenregie bewerkstelligen. Die große Masse der Firmen muss auf andere Helfer vertrauen.Lücken professionell analysieren und schließen lassen

Wenn überhaupt etwas klar sein muss, dann das: Cyberkriminelle sind wahre Meister darin, Lücken in Systemen zu finden. Selbst die allergrößten Digital-Giganten sind dagegen nicht gefeit – unter anderem zu sehen daran, wie viele Software-Updates explizit ausgespielt werden, um Schwachstellen zu schließen, die zuvor nicht bekannt waren.

Ohne jeden Fatalismus sollten Unternehmer daher von Folgendem ausgehen:

  1. Cyberkriminelle haben als Angreifer stets den Vorteil, Ort, Zeit und Art bestimmen zu können. Wohl gibt es Möglichkeiten, proaktiv, fast schon selbst angreifend, zu verteidigen, aber im Default-Modus haben die Täter meist bessere Karten.
  2. Aufgrund des hohen Grades von Professionalität und Strukturiertheit muss sich die Verteidigung auf einem ähnlichen Niveau befinden, sonst ist sie von vornherein zum Scheitern verurteilt.

Der mit Abstand wichtigste Kern davon ist es, das gesamte Unternehmen hinsichtlich so wichtiger Punkte wie Schwachstellen, mögliche Angriffsrouten und Ziele durchleuchten zu lassen und sie anschließend dauerhaft zu schließen oder zu überwachen. Maximale IT-Sicherheit bedingt daher, dafür professionelle Dienstleister zu nutzen.

Primär, weil diese einen viel breiteren und tieferen Einblick in die Denk- und Handlungsmuster von Cyberkriminellen besitzen und daher wissen, worauf sie achten müssen. Ganz ähnlich, wie ein guter Kriminalist sich in einen Kriminellen hineindenken können muss. Zudem helfen solche Dienstleister nicht nur bei der Erhöhung der Sicherheit, sondern können im Angriffsfall, wenn Sekunden zählen, mit der nötigen Geschwindigkeit und Präzision handeln.

Niemals die analogen Angriffsrouten vergessen

Beim Begriff „Cybercrime“ denken viele Menschen nur an Taten, die sich ausschließlich im digitalen Raum bewegen – Cybercrime im engeren Sinn, wie im Einleitungstext kurz angesprochen. Häufig wird darüber vergessen, wie sehr mittlerweile digitale Herangehensweisen auch genutzt werden, um eine große Bandbreite „herkömmlicher“ Taten zu begehen.

Dazu drei Beispiele für derartiges Cybercrime im weiteren Sinn:

  • Täter brechen in ein Unternehmen ein, nachdem sie dessen Alarm- und Kamerasysteme gehackt und lahmgelegt haben.
  • Kriminelle finden über Social Media den Wohnort einer Führungskraft heraus, um diese auszurauben oder ihr beispielsweise Zugangsdaten abzupressen.
  • Eine Organisation verbreitet ein Deepfake-Video des Firmenbesitzers, in dem dieser etwas „sagt“, was den Firmenruf deutlich schädigt oder etwa den Aktienkurs einbrechen lässt.
Mehr zum Thema:
Was ist MDM?

Die Unterschiede können durchaus verschwimmen. Grob gesagt nimmt Cybercrime im engeren Sinn ausschließlich digitale Wege gegen digitale Ziele, während bei Cybercrime im weiteren Sinn „analoge“ Straftaten unter Zuhilfenahme digitaler Möglichkeiten begangen werden.

So wichtig Awareness für und Schutz gegen rein digitale Straftaten sind, so sehr sollten Unternehmer keinesfalls vergessen, um wie viel leichter und vielfältiger digitale Elemente klassische Straftaten machen. Es muss daher jedem bewusst sein, wie sehr alles im Prinzip gegen ihn genutzt werden kann. Speziell für Führungskräfte (aber nicht nur diese) verschwimmen die Grenzen zwischen Berufs- und Privatleben.

Der Gefahr von KI bewusst sein

Mancher Leser wird vielleicht kürzlich in der TV- und Internetwerbung einen Clip einer großen deutschen Boulevard-Zeitung gesehen haben. Dort reden hochrangige Bundespolitiker täuschend echt Dinge, die sie so niemals sagen würden. Und zwar nicht nur mit ihren eigenen Stimmen, sondern praktisch lippensynchron und dadurch extrem realitätsnah.

Spätestens das sollte jedem zeigen, auf welchem Niveau sich KI mittlerweile bewegt. Nicht nur ermöglicht sie es Kriminellen daher, noch effektivere Cyberkriminalität in beiden Sinnen zu betreiben. Sie ist überdies ein „Booster“ für Fähigkeiten. Dadurch können Anzahl und Niveau von Kriminellen und Attacken deutlich steigen.

Doch was bedeutet das für Unternehmer? Vor allem das: Prinzipiell sollten sie nichts glauben, was sie nicht untrüglich verifiziert haben.

  • Rückanrufe auf eine persönlich bekannte Nummer, statt nur dem vorherigen Anruf zu vertrauen.
  • Herausgabe wertvoller Informationen nur von Angesicht zu Angesicht und eventuell sogar rein analog.

Wichtig ist, dies zu einem „Firmen-Politikum“ zu machen. Das führt uns zum nächsten Punkt, der unabdingbar für höchste IT-Sicherheit ist.

Die gesamte Belegschaft einbeziehen

Um einen erfolgreichen Phishing-Versuch zu starten, würde kaum ein Hacker eine solche Mail an den Firmenchef versenden. Er würde eher einen Mitarbeiter auf der untersten Stufe anvisieren, der dennoch hinreichende (Zugangs-) Befugnisse besitzt.

Denn Cyberkriminelle wissen eines sehr genau: Innerhalb jeder Belegschaft gibt es beträchtliche Unterschiede in Sachen Awareness, Fähigkeiten und Verhalten – passend zu den generellen Digitalkompetenzen der Deutschen. Beispielhaft ausgedrückt: Wozu das gut gesicherte Firmennetzwerk direkt angreifen, wenn man viel einfacher das Privat-Handy eines Mitarbeiters infizieren kann, das sich am nächsten Arbeitstag automatisch mit dem hausinternen WLAN verbinden wird?

Sehr viele Cyber-Straftaten richten sich explizit gegen diese schwächsten Glieder in der Sicherheitskette – und haben damit nach wie vor großen Erfolg. Sicherheit kann es deshalb nur geben, wenn drei Dinge getan werden:

  1. Die gesamte Belegschaft muss ohne Rücksicht auf andere Faktoren digital geschult werden. Und das regelmäßig, praxisnah und verständlich.
  2. Selbst in kleinen Firmen muss es strenge Berechtigungs-Hierarchien geben, damit viele typische Lücken mangels Zugriffs- und sonstigen Rechten in einer Sackgasse enden.
  3. Es müssen absolut fälschungssichere Maßnahmen ergriffen werden, um alle Zugriffe, Änderungen etc. zu protokollieren und exakt einem Mitarbeiter zuordnen zu können.
  4. Monolithisch und nach dem Need-to-Prinzip digitalisieren

Es gibt keine Branche, die nicht von verschiedenen Seiten mit zahlreichen digitalen Lösungen umworben wird. Vom Betriebssystem der Firmencomputer über unzählige Programme und Apps für Arbeitsabläufe bis zu verschiedensten Elementen aus dem Internet of Things reicht die Spannweite.

Mehr zum Thema:
Was ist Intrinsic Security?

Das Problem daran ist: Jeder zusätzliche Baustein, ganz gleich ob Hard- oder Software, kann Cyberkriminellen neue Optionen eröffnen – und macht gleichsam dadurch die Absicherung schwieriger. Grundsätzlich sollten Unternehmen daher als wichtigste Maßnahme absolut niemals nur nach Bauchgefühl agieren oder Werbeversprechen blind glauben.

Das bedeutet: Vor jeder Anschaffung sollte der Sicherheits-Dienstleister gefragt werden, was er aus seiner Sicht dazu zu sagen hat. Dieses Urteil sollte sehr hohen Stellenwert besitzen, denn dahinter steht Sachkompetenz.

Weiter sollten Firmen folgende Politik applizieren:

  1. Kein Digitalisieren um des Digitalisierens Willen. Das heißt, es sollten grundsätzlich nur Neuerungen angeschafft werden, die eine messbare Verbesserung bedeuten – und selbst dann nur, wenn sie in Sachen IT-Sicherheit unbedenklich sind.
  2. Die Vielfalt der Hersteller sollte möglichst geringgehalten werden. Denn je monolithischer, homogener die gesamte IT ist, desto einfacher ist sie in Sachen Sicherheit zu beherrschen. Wo das nicht möglich ist, sollte zumindest nur Qualität von bekannten Namen beschafft werden.
  3. Scheidende Mitarbeiter sorgfältig offboarden

Längst nicht jeder Mitarbeiter verlässt ein Haus im Guten. Das gilt nicht nur bei Kündigungen, die arbeitgeberseitig ausgesprochen wurden – bei Weitem nicht. Ebenso können selbst augenscheinlich einvernehmliche Trennungen eine Menge unsichtbaren Groll beinhalten. Umfassende Informationen zu diesem Themenkomplex liefert eine wissenschaftliche Arbeit des BKA über Innentäter.

Nicht zuletzt gab es in der Vergangenheit schon sehr viele Fälle, in denen solche Mitarbeiter (mitunter sogar unwillentlich und/oder unwissentlich) entweder zur Quelle oder zum wesentlichen Dreh- und Angelpunkt von Cyberangriffen wurden.

Einfach erläutert: Jeder ausscheidende Mitarbeiter sollte aus diesen Gründen als ein potenzielles Sicherheitsrisiko betrachtet werden. Er sollte daher ein umfassendes Offboarding erfahren – das zudem mit der Kündigung beginnen sollte, nicht dem letzten Arbeitstag.

Dies umfasst nicht nur den Entzug von sämtlichen digitalen Rechten, sondern ebenso das Ändern sämtlicher Passwörter und ähnlicher Elemente, von denen der baldige Ex-Mitarbeiter Kenntnis haben könnte.

FAQ

Was sind die Unterschiede der beiden Cybercrime-Arten?
Cybercrime im engeren Sinn findet ausschließlich digital statt und existiert nur aufgrund der Digitalisierung. Cybercrime im weiteren Sinn umfasst konventionelle Straftaten, bei denen irgendwelche digitalen Mittel und Wege genutzt werden.

Was sind wichtigsten Vorgehensweisen von Cyberkriminellen?
Primär sind das Schadsoftwares, Phishing, Ransomwares, die ein digitales Erpressen ermöglichen sowie DDoS-Angriffe, bei denen firmeninterne Systeme durch gezielte Überlastung geschädigt werden. Aber: Innerhalb und außerhalb davon gibt es unzählige (weitere) Vorgehensmöglichkeiten.

Wer ist der erste Ansprechpartner bei versuchten oder erfolgten Angriffen?
Zunächst sollte immer der eigene IT-Partner verständigt werden. Dann aber sollte unbedingt die Polizei eingeschaltet werden. Hier gibt es spezielle Ansprechstellen für Firmen.

Kann die Polizei mein Unternehmen gegen Cybercrime schützen?
Nicht direkt. Das ist Aufgabe von privatwirtschaftlichen Experten. Durch Aufklärungsarbeit kann die Polizei jedoch unter anderem Täter dingfest machen und darüber einen Schutz gewährleisten. Zudem bietet sie viele Beratungsleistungen für Betriebe an.