Cyberattacken verhindern

Schwachstelle Rechner oder Faktor Mensch?

Cyberattacken gehören aktuell zu den größten Geschäftsrisiken – auch für kleine und mittelständische Unternehmen wie Planungsbüros. Dennoch gehen sowohl Geschäftsführung als auch Mitarbeiter oftmals zu sorglos mit diesem Thema um. Dabei gibt es einfache Strategien, wie man sich vor Cyberattacken schützen kann.

Wahrscheinlich hat jeder schon einmal eine E-Mail erhalten, in der er vermeintlich von seiner Bank gebeten wird, dringend die eigenen Zugangsdaten zu aktualisieren, da ansonsten die Sperrung des Kontos droht. In der E-Mail befindet sich ein Link, der direkt auf die Website der Bank und zur Eingabe der Daten führen soll. Inzwischen ist bekannt, dass es sich bei solchen Mails um Phishing und einen möglichen Cyberangriff handelt. Dennoch werden schädliche Links oft genug geklickt bzw. entsprechende Dokumente heruntergeladen – und das nicht nur von Privatpersonen: neun von zehn Unternehmen sind bereits Opfer von Cyberattacken in Form von Datendiebstahl, Sabotage und Spionage geworden.
Diese Angriffe haben laut einer Studie des Branchenverbands der deutschen Informations- und Telekommunikationsbranche Bitkom e.V. im Jahr 2020/2021 einen Schaden von mehr als 223 Mrd. € für die deutsche Wirtschaft verursacht und zählen damit zu den größten Geschäftsrisiken überhaupt. Dabei gehören die eingangs beschriebenen Phishing-E-Mails zu den häufigsten Angriffsmethoden, dicht gefolgt von Erpresser-Software und anderen Malware-Programmen (siehe Grafik).
KMU gehören zu den „Hidden Champions“ mit
wertvollen Daten
Cyberangriffe können jedes Unternehmen treffen. Größe und Branche spielen dabei keine Rolle – im Gegenteil: Vor allem die sogenannten KMU sind oftmals schlechter gegen Cyberangriffe gewappnet als die Branchenriesen. Dies ist einerseits darin begründet, dass Unternehmen dieser Art häufig zu klein sind oder ihnen nicht das Budget zur Verfügung steht, um eine interne Ansprechperson für die Bereiche IT und Cybersicherheit zu beschäftigen. Darüber hinaus ist es im hektischen Arbeitsalltag oftmals schwierig, sich von Seiten der Geschäftsführung mit diesen auf den ersten Blick komplex wirkenden Themen auseinanderzusetzen.
Andererseits herrscht nach wie vor der weit verbreitete Irrglaube, dass kleinere Unternehmen für Cyberkriminelle uninteressant seien. Dabei kann jeder Betrieb, der mit personenbezogenen Daten arbeitet, ins Visier krimineller Hacker geraten. Und: Insbesondere die KMU – dazu zählen im deutschsprachigen Raum viele Planungs- und Ingenieurbüros sowie Unternehmen für Gebäudeausrüstung – gehören zu den sogenannten Hidden Champions, die oftmals wichtige Patente, Konstruktionspläne oder ein internationales Kundenportfolio besitzen.
All diese Daten sind sehr interessant für Cyberkriminelle: um sie zu stehlen und bspw. im Darknet weiterzuverkaufen, für Industriespionage oder einfach, um sie im Zuge eines Ransomware-Angriffs zu verschlüsseln und erst gegen die Zahlung von Lösegeld wieder freizugeben. Und für Letzteres gibt es noch nicht mal eine Garantie. In einer solchen Situation kann es im schlimmsten Fall zum Betriebsausfall kommen. Die verloren gegangenen Daten müssen von Fachleuten mühsam wiederhergestellt werden, sofern ein aktuelles Backup vorliegt. Ist dies nicht vorhanden, sind die Daten unwiederbringlich verloren. Der daraus entstandene finanzielle Schaden ist immens. Hinzu kommt der Image- und Vertrauensverlust bei Kunden und in der Öffentlichkeit.
Der Faktor Mensch:
Häufigstes Einstiegstor und bester Schutz zugleich

In den vergangenen Jahren war immer wieder ein Zusammenhang zwischen Krisen und dem erhöhten Aufkommen von Cyberkriminalität zu beobachten. So vermeldete das BKA im ersten Halbjahr der Corona-Pandemie einen massiven Anstieg von Cyberangriffen in Form von Phishing-E-Mails, gefälschten Websites, DDoS-Attacken und Desinformationskampagnen mit der Corona-Krise als Narrativ. Aktuell nutzen Cyberkriminelle den Bezug zum Krieg zwischen Russland und der Ukraine vermehrt beim Versenden schadhafter E-Mails oder zum Erstellen gefälschter Websites und zur Verbreitung von Falschinformationen.

Auch die vermehrte Nutzung des Internets als Kommunikationsmittel und die Verwendung privater Endgeräte für den Berufsalltag im Homeoffice haben Cyberkriminalität befeuert. Der Faktor Mensch spielt dabei eine entscheidende Rolle: Der Großteil aller erfolgreichen Cyberangriffe wird durch einen unbedachten Klick auf einen böswilligen Link oder den versehentlichen Download von Schadprogrammen verursacht. Dies kann jedoch verhindert werden. So sollte grundsätzlich das Bewusstsein für die Angreifbarkeit vorhanden sein: Es kann jede und jeden von uns treffen. Dem gilt es entgegenzuwirken. Technische Maßnahmen wie Firewalls und Antiviren-Programme sind die Basis für jede funktionierende IT-Sicherheit.
Wie jedes wichtige Thema braucht auch Cybersicherheit einen organisatorischen Rückhalt. Dazu gehört z. B., dass alle im Unternehmen wissen, wen sie zu diesem Thema ansprechen bzw. an wen sie sich in Verdachtsfällen wenden können – und auch sollten. Mit einer guten Backup-Strategie bleiben Unternehmensdaten bei einem Cybervorfall unbeschädigt. Zudem ist im Falle eines Cyberangriffs eine schnelle Reaktion äußerst wichtig. Wie reagiert werden soll und wer weiterhelfen kann, sollte in einem Notfallplan festgehalten werden. Dieser sollte in Papierform vorliegen und allen Mitarbeitenden bekannt sowie sofort zugänglich sein.
Darüber hinaus sind die eigenen Mitarbeitenden der beste Schutz gegen Cyberangriffe – wenn das Wissen und die Sensibilisierung dafür vorhanden sind. Präventive Cybersicherheits-Trainings und Phishing-Simulationen steigern das Bewusstsein gegenüber Cyberrisiken erheblich und beugen Cyberangriffen durch das richtige Handeln in einer Gefahrensituation vor.
Cybersicherheit nachhaltig leben
Und dennoch: Cybersicherheit ist kein einmaliges Unterfangen, sondern ein laufender Prozess. Für einen nachhaltigen Schutz ist es erforderlich, dass Cybersicherheit kultiviert und in den Arbeitsalltag integriert wird. Dies sollte von der Geschäftsführung ausgehen, indem das Thema immer wieder angesprochen, greifbar gemacht und von der Führungsebene vorgelebt wird. Auch kommt es auf die Integration einer gesunden Fehlerkultur in das Cybersicherheitskonzept eines Unternehmens an. Mitarbeitende müssen offen mit Fehlern in Bezug auf Cybersicherheit – z. B. den Klick auf einen schadhaften Link – umgehen können und dürfen nicht dafür „bestraft“ werden. Das ganze Unternehmen sollte anhand solcher Vorfälle gemeinsam lernen. Denn am Ende gilt: Cybersicherheit entsteht durch das bewusste Handeln aller.
x

Thematisch passende Artikel:

Ausgabe 2013-09 Batterielose Funktechnologie

Für EnOcean-Funktelegramme

Mit „EnOcean Link“ bietet ­EnOcean eine erste Middleware für die batterielose Funktechnologie an. Damit können Hersteller (OEMs) den EnOcean-Funk in verschiedene Anwendungen und Systeme...

mehr

Cyber-Sicherheit in der Gebäudeautomation

Mit IT-Mechanismen Risiken minimieren und Immobilien gegen Cyber-Angriffe schützen

Die Cyber-Risiken wachsen Einerseits benötigt man für die Fernwartung die Anbindung ins Internet, um die HLK-Anlagen effizienter und langlebiger warten zu können. Auf der anderen Seite birgt das...

mehr
Ausgabe 2012-04 Zwischen Kältemaschine und Lüftungsgerät

Hydraulikmodul + Gateway

Bei „Aqua Link“ handelt es sich um ein hydraulisches Modul, das alles enthält, was im Wasserkreislauf zwischen einer Swegon-Kältemaschine und Swegons Lüftungsgerät „Gold“ benötigt wird. Das...

mehr
Ausgabe 2010-11

Netzwerklösung für Fußboden­heizungen

Das „Danfoss Link“-System ist eine funkbasierte Netzwerklösung zur Regelung elektrischer und wasserbasierter Fußbodenheizungen. Ganz ohne das Verlegen von Leitungen kann das System, das den...

mehr
Ausgabe 2017-12 Ein Zukunftsthema für die TGA-Branche?

Digitalisierung der Energiewelt in der Blockchain

Neue digitale Währungen wie Ether und Bitcoin sind entstanden und wachsen schnell, vollkommen globalisiert und außerhalb eines staatlichen Zugriffs. Sie sind gleichzeitig überall und nirgends....

mehr