Home
Hacker, die sich auf den Unternehmensrechnern umsehen, der Diebstahl von wichtigen Geschäftsdaten oder Verschlüsselungssoftware, die IT-Nutzung unmöglich macht: Auf solche Cyberattacken sind viele Unternehmen in Deutschland immer noch unzureichend vorbereitet. Dabei würde ein Notfallplan in den meisten Fällen den Schaden zumindest begrenzen!
Nachfolgend mal einige aktuelle Zahlen zu Cyberangriffen auf Unternehmen in Deutschland
- In den letzten 12 Monaten entstand ein wirtschaftlicher Schaden durch Cyberangriffe ca. 267 Milliarden Euro.
- Ca. 81 % Unternehmen waren vom Diebstahl von Daten, Industriespionage oder Sabotage betroffen, weitere 10 % vermuten eine Betroffenheit.
- Die Häufigkeit von Cyberangriffen hat um etwa 55 % gegenüber dem Vorjahr zugenommen.
- Spitzenreiter bei den betroffene Branchen waren: Produktion/Fertigung, Handel/E-Commerce, öffentlicher Sektor / Behörden.
- Betroffen sind nicht nur große Unternehmen, auch KMU werden verstärkt Opfer von Cyberkriminalität. So hat die HDI-Cyber-Studie festgestellt, dass über 1 Mio der ca. 3,5 Mio KMU in Deutschland in den letzten Jahren mindestens einen Angriff erlebt haben.
- Laut dieser Studie entstand dabei ein Schaden von 95.000 € pro Vorfall; bei Freiberuflern sogar rund 120.000 €. Bei größeren Mittelständler waren es bis zu 500.000 €.
Dass die Angriffe zunehmen, zeigt auch eine Untersuchung aus dem Jahr 2024, die der Digitalverband Bitkom durchgeführt hat. Sie zeigt, wie es um die deutsche Wirtschaft beim Thema Wirtschaftsschutz bestellt ist und stellt fest: Viele Unternehmen sind nur unzureichend auf Cyberangriffe vorbereitet.
(siehe hierzu: Pressemitteilung Bitkom)
Wie kannst du dich schützen?
Kein Unternehmen kann sich 100%ig vor Technikversagen oder IT-Angriffen schützen – aber es kann sich darauf vorbereiten.
So gehört zur Vorbereitung auf den Ernstfall selbstverständlich das Aufsetzen eines Backups in regelmäßigen Abständen, das im Idealfall außerhalb der „öffentlich“ zugänglichen Rechner des Unternehmens (z. B. Daten auf einer externen Festplatte, die vom Internet „abgekoppelt“ ist, oder eine Geräte-NAS) aufbewahrt werden kann. Auch die Nutzung von Clouds bietet sich an (zum Thema Sicherheit in der Cloud siehe unseren Beitrag vom 22.11.2023).
So sind Daten im Falle eines Zusammenbruchs der internen IT noch intakt und stehen für die Reaktivierung des Systems zur Verfügung.
Wichtig dafür ist natürlich, dass du genau weißt, welche Hard- und Software du in deinem Unternehmen du überhaupt nutzt, also:
- Computer, Tablets, Smartphones, lokale Server sowie entsprechende Peripheriegeräte (z. B. Router, Scanner, Drucker, Switches...)
- Art der Software, inkl. eingesetzter Version, Benutzerlizenzen, Registrierungscodes
Ein weiterer wichtiger Schritt: Du solltest immer mit der aktuellsten Software arbeiten und vor allem bei den Betriebssystemen auf automatische Aktualisierung setzen. Wichtig ist natürlich auch, Virenschutzprogramme oder eine Personal Firewall zu installieren.
Dass es starke Passwörter und im besten Fall auch eine 2-Faktoren-Identifizierung gibt, besonders für Programme, die mit sensiblen Daten arbeiten (z. B: Personal- oder Kundendateien, Banksoftware), dürfte in der heutigen Zeit selbstverständlich sein.
Und nicht vergessen: Nutzt du in deinem Unternehmen die Möglichkeit, remote zu arbeiten, darfst du die entsprechende Infrastruktur nicht vergessen und sie nach den gleichen Gesichtspunkten wie zuvor sichern!
Über eine Cyberversicherung solltest du zumindest nachdenken, denn "normale" Versicherungen decken Cyberrisiken meist nur am Rande und sehr begrenz ab (siehe dazu unseren Artikel: "Warum du über eine Cyberversicherung nachdenken solltest").
Genauso wichtig: Erstelle einen Notfallplan, damit du, weißt, was im Ernstfall zu machen ist!
Was gehört mindestens in einen Notfallplan?
Denn sollte doch einmal der Ernstfall eintreten, muss vorweg gründlich recherchiert und dann im Notfallplan festgelegt sein:
- Wer ist im Ernstfall wofür verantwortlich?
- Wer muss extern unbedingt informiert werden (Lieferanten, Kunden, Polizei, BSI…)?
- Gibt es im Unternehmen eine Versicherung für solche Notfälle und wenn ja, wer muss hier informiert werden?
- Kann betriebsintern an „Ersatzrechnern“ weitergearbeitet werden?
- Wo sind die Daten gesichert und wer hat Zugang?
- Wo findet man die notwendigen Passwörter und Zugangsberechtigungen?
- Wer kann die Betriebs-IT schnellstmöglich reparieren bzw. wiederherstellen?
Gibt es sind die internen Fachkräfte dafür? Muss auf externe Dienstleister zurückgegriffen werden und wenn ja, gibt es dort Vereinbarungen für eine schnelle Notfallhilfe?
Außerdem nicht vergessen!
Natürlich muss dieser Notfallplan auch "zur Hand" sein, wenn er gebraucht wird! So macht es wenig Sinn, wenn er im Unternehmen auf einem Computer gespeichert ist, der dann im Falle eines Cyberangriffs ebenfalls ausfällt oder sogar noch wichtige Informationen preisgibt! Hier solltest du vielleicht noch mal auf die alte analoge Praxis setzen und entsprechende Informationen zugriffsicher deponieren, zumindest aber einen geräteunabhängigen Stick nutzen und natürlich festlegen, wer in welcher Form Zugang zu den Daten hat.
Schon mal was gehört vom CyberRisikoCheck?
Viele kleine und mittlere Unternehmen würden gerne mehr für ihre IT-Sicherheit unternehmen, wissen aber oftmals nicht wie. Standardwerke, wie z. B. das IT-Grundschutz-Kompendium des BSI sind für sie nicht optimal geeignet.
Unter Leitung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurde deshalb die DIN SPEC 27076 „IT-Sicherheitsberatung für kleine und Kleinstunternehmen" entwickelt.
Durch den darauf basierenden CyberRisikoCheck (CRC) können KMU bei IT-Dienstleistern eine standardisierte Beratung erhalten, die speziell auf ihre Bedürfnisse angepasst ist.
Beim CRC befragt ein IT-Dienstleister ein Unternehmen in einem ein- bis zweistündigen Interview zur IT-Sicherheit im Unternehmen. Der IT-Dienstleister überprüft 27 Anforderungen aus sechs Themenbereichen daraufhin, ob das Unternehmen sie erfüllt. Für die Antworten werden Punkte vergeben.
Als Ergebnis erhält das Unternehmen einen Bericht. Der enthält u. a. die Punktzahl und für jede nicht erfüllte Anforderung eine Handlungsempfehlung. Die ist nach Dringlichkeit gegliedert und enthält Hinweise darauf, ob und welche staatlichen Fördermaßnahmen das jeweilige Unternehmen in Anspruch nehmen kann.
Der CyberRiskoCheck ermöglicht dem Unternehmen eine Positionsbestimmung des eigenen IT-Sicherheitsniveaus und zeigt auf, welche konkreten Maßnahmen ein Unternehmen umsetzen bzw. bei einem IT-Dienstleister beauftragen sollte.
Die Durchführung des CyberRisikoChecks erfolgt anhand einer vom BSI IT-Dienstleistern zur Verfügung gestellten Webanwendung.
Die entsprechenden IT-Dienstleister werden vom BSI als Qualifizierte Dienstleister eingestuft. Wer dazu in Mecklenburg-Vorpommern gehört, findet ihr in dieser Karte.
Wenn ein qualifizierter Dienstleister den CRC in einem Unternehmen durchführt, entstehen in der Regel Beratungskosten, z. B. für:
- Zeitaufwand des Beraters für Interviews, Datenaufnahme, Auswertung, Berichtserstellung,
- individuelle Risiko- und Maßnahmenempfehlungen,
- ggf. Nachbesprechung oder Unterstützung bei der Umsetzung.
Die Höhe der Kosten kann bei jedem Dienstleister anders sein. Sie dürften allerdings für den reinen CyberRiskoCheck nicht allzu hoch ausfallen.
Und vor allem: Etwas Geld zu investieren, um einen größeren Schaden durch einem Cyber-Angriff zu verhindern, dürfte sich immer rechnen!
Tipp
Weitergehende Informationen zur IT-Sicherheit im Unternehmen findest du z. B. auf diesen Seiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
