Digitalisierung und IT-Sicherheit
Viele kleine und mittlere Unternehmen gehen mit Cyberattacken noch zu sorglos um – so urteilt Manuel Bach vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Doch einer von vier Hackerangriffen hat für kleinere Firmen existenzbedrohende Wirkung.
Et hätt noch emmer joot jejange. Für Manuel Bach gehört der rheinische Frohnatur-Spruch ganz tief in die Mottenkiste – zumindest, wenn es um die steigende Anzahl von Hackerangriffen geht. Der Trend geht auf Corona, die Digitalisierung, das Homeoffice und die großen Erfolge, die die Verbrecher erzielen, zurück, beobachtet Bach, der das Referat Cyber-Sicherheit für kleine und mittlere Unternehmen (KMU) im Bundesamt für Sicherheit in der Informationstechnik (BSI) leitet. „Wir stellen eine immer größere Bedrohung durch cyber-kriminelle Erpressungsmethoden wie Ransomeware fest.“
Ransomeware – das ist laut BSI eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden.
Schweigegeld- und Schutzgelderpressungen nehmen zu
Daneben nehmen auch Schweigegelderpressungen zu. Die Kriminellen drohen damit, die gestohlenen vertraulichen Informationen öffentlich im Internet zu enthüllen (Double Extortion), sowie Schutzgelderpressungen unter Androhung den Internetdienst zu blockieren (Distributed Denial of Service, DDoS). „Rund 144 Millionen Variationen von neuen Schadprogrammen wurden 2021 gesichtet, das sind durchschnittlich 394.000 pro Tag“, zitiert Bach den Berichtsband „Die Lage der IT-Sicherheit in Deutschland 2021“. Zum Vergleich: Im Jahr davor waren es 117,4 Millionen, was einer Zunahme von 22 Prozent entspricht.
Erschreckend für Bach ist: „Fast kaum ein Unternehmen ist auf eine solche Attacke vorbereitet.“ Laut Studie sind sage und schreibe 98 Prozent der Firmen für Hacker verwundbar aufgestellt – mit fatalen Folgen: So hätte das Berliner Kammergericht, das vor zwei Jahren angegriffen wurde, noch immer Probleme mit der angegriffenen IT-Struktur.
Vorkehrungen treffen und für den Ernstfall vorbereiten
Der Sicherheitsexperte empfiehlt daher, sich auf den Ernstfall vorzubereiten. Dazu zählen
- ein Notfallkonzept erarbeiten, das die Telefonnummer eines Ansprechpartners enthält sowie die Dokumentation, was passiert ist
- regelmäßige Back-ups erstellen
- professionelle, externe Hilfe hinzuholen, die zwar kostspielig sein kann, aber nötig
- erwägen, eine Cyber-Versicherung abzuschließen
Damit es nicht zum Ernstfall kommt, ist eine verlässliche Prävention gefragt. Dafür sollten Bach zufolge rund 20 Prozent des IT-Budgets in die IT-Sicherheit fließen.
Neben einer guten IT-Sicherheitssoftware gehören auch einfache Maßnahmen dazu, wie zum Beispiel
- Makros auf den Rechnern der Mitarbeiter deaktivieren. Makros sind eine Reihe von Befehlen, die wiederholte Aufgabe automatisieren
- zeitnah Updates einspielen
- komplexe Passwörter verwenden, die für verschiedene Anwendungen unterschiedlich sein sollten, und zwei Faktor-Authentifizierung verwenden
Zu laxe Handhabe bei IT-Sicherheit
Wichtig ist auch, nach Pannen wie sie er Software-Anbieter Citrix zum Beispiel im Januar 2020 für seine VPN-Produkte gemeldet hat, zu reagieren. Darauf hat das BSI zudem nochmals mit Nachdruck verwiesen und Firmen aufgefordert, das nötige Update durchzuführen. Nachdem er noch bei gut 80 KMU Sicherheitslücken durch Citrix erkannte, machte sich Bach die Mühe, alle Betroffenen anzurufen und persönlich zu warnen – sowie natürlich nach dem Grund zu fragen, weshalb das Update noch nicht umgesetzt wurde. „Ein Drittel der Firmen war zu dem Thema nicht zu sprechen“, berichtet der Experte. Ein weiteres Drittel hat es an einen internen IT-Beauftragten im Haus weitergegeben, und das letzte Drittel an einen externen Dienstleister, der das Problem offensichtlich aber auch nicht gelöst hat. Bach appelliert an Unternehmen, die Situation nicht auf die leichte Schulter zu nehmen. So hat einer von vier Angriffen auf kleinere Firmen existenzbedrohende Bedeutung.
Um die Unternehmen weiter aufzuklären hat das BSI die Allianz für Cybersicherheit als die größte europäische Initiative gegen IT-Betrug gegründet. Beim 18. Deutschen Sicherheitskongress, der am 1. und 2. Februar 2022 stattfindet, können sich Interessierte kostenlos anmelden.