Berlin. Neun von zehn Unternehmen in Deutschland wurden 2020 Opfer von Cyber-Attacken. Und die Gefahren aus dem Netz nehmen weiter stark zu. aktiv sprach mit Sebastian Artz, Sicherheitsexperte beim Digitalverband Bitkom.
Wie können sich Unternehmen schützen?
Die größte Schwachstelle ist und bleibt der Mensch. Deshalb müssen Betriebe ihre Mitarbeiter sensibilisieren, Hinweise auf aktuelle kriminelle Phishing-Kampagnen geben und die Belegschaft anhalten, notwendige Software-Updates zügig einzuspielen. Dass man Anhänge von Mails nicht leichtfertig öffnet, sollte jedem klar sein. Auch fremde Sticks haben im Firmencomputer nichts zu suchen. Außerdem ist zu klären, welche Mitarbeiter unbedingt allumfassende Administrationsrechte haben müssen. Je weniger Leute darüber verfügen, desto besser!
Homeoffice macht es den Gangstern noch einfacher …
Das muss nicht sein. Bei vielen Betrieben ist es Standard, dass sich Mitarbeiter im Homeoffice nicht nur mit dem Passwort ins Firmennetzwerk einloggen. Sondern auch mit einer Tan-Nummer, die in bestimmten Abständen etwa von einer Handy-App generiert wird. Perfekt wäre es, wenn der User zu Hause zwei getrennte WLAN-Zugänge einrichten würde, fürs Dienstliche und fürs Private.
Vor allem kleine Betriebe sparen oft an der IT-Sicherheit – warum?
Weil man dort oft glaubt, man sei für Hacker unattraktiv. Irrtum! Die Liste bekannter Cyber-Attacken in Deutschland reicht vom kleinen Familienbetrieb über Theater, Gerichte, Kliniken, öffentliche Verwaltungen sowie Medienhäuser bis zu großen Konzernen. Und wenn dann plötzlich bei einem Komplettausfall des Systems die Kunden nicht mehr erreichbar sind und auch Rechnungen weder geschrieben noch bezahlt werden können, ist die Not groß. Der Stillstand des Betriebs kann schnell zur Existenzbedrohung werden.
Häufig verschlüsseln Cyber-Gangster Daten von Unternehmen und machen diese nur gegen ein Lösegeld wieder nutzbar. Wie kann man sich da wehren?
Ob Kundeninformationen oder die Passwörter der Mitarbeiter – das sind sensible Daten. Die müssen vom Unternehmen geschützt werden, beispielsweise durch Verschlüsselung. Dann sind sie für Angreifer wertlos. Zudem braucht es Sicherheitskopien dieser Daten, um im Fall der Fälle wieder auf die Beine zu kommen und kein Lösegeld für die Datenfreigabe durch die Erpresser bezahlen zu müssen.
Bedeutet das nicht höhere Ausgaben in die IT-Sicherheit?
Unbedingt. Da sparen viele Unternehmen. Im Schnitt investieren sie nur 7 Prozent ihres IT-Budgets in die Sicherheit. Wir empfehlen als groben Richtwert 20 Prozent. Personell in Sachen IT-Sicherheit aufzurüsten, ist für Unternehmen allerdings nicht einfach. Ende Dezember waren 86.000 Stellen für IT-Experten deutschlandweit ausgeschrieben. Im Schnitt dauert es rund ein halbes Jahr, einen geeigneten Kandidaten zu finden. Die Alternative sind externe Dienstleister.
Das Gros der Attacken kommt aus Osteuropa, Russland und China – muss da die Politik robust reagieren?
Praktisch alle in unserer Studie befragten Unternehmen fordern ein stärkeres Vorgehen gegen Cyberattacken aus dem Ausland, eine verstärkte EU-weite Zusammenarbeit bei Cybersicherheit und einen besseren Austausch zwischen Staat und Wirtschaft. Wir sollten uns die USA zum Vorbild nehmen. US-Präsident Joe Biden hat der IT-Security höchste Priorität eingeräumt. Da müssen wir nachziehen.