Wirtschaftstalk NRW
Dr. Helge Matthiesen (Moderation), Prof. Dr. Goodarz Mahbobi, Dr. Andreas Dartsch, Timo von Lepel, LKD Helmut Picko
Cyber-Security ist ein Thema von immer stärkerer Bedeutung und war Gegenstand der Diskussionsrunde im Kammermusiksaal.
Krankenhäuser, Universitäten, Kreisverwaltungen, Privatleute und Unternehmen haben eines gemeinsam: Sie werden zu Opfern von Cyber-Attacken. Laut Bitcom-Zahlen, die Prof. Dr. Goodarz Mahbobi zitierte, waren 2023 über 90 Prozent aller Unternehmen in Deutschland von Angriffen betroffen. Und die Angriffe werden – nicht zuletzt dank KI – immer professionalisierter und immer mehr.
Es ist also zwingend notwendig, sich zu schützen. Und genau darin liegt ein Kernproblem. Es wird gerade in Unternehmen immer noch viel zu wenig getan. Solange sie nicht selbst von einem Schadensfall betroffen sind, wiegen sich viele offenbar zu sehr in Sicherheit. Dabei kann schon ein falscher Klick auf eine Phishing-Mail den Schadensfall herbeiführen.
Damit man sich vor dieser Gefahr schützen kann, muss zunächst einmal das Bewusstsein für die Gefahr bestehen. Wirksam ist dabei, wenn das Thema emotional aufgeladen, eine Betroffenheit erzeugt wird. Andreas Dartsch berichtete über den „Ausflug ins Darknet“, der im Rahmen einer Veranstaltung, die die Sparkasse gemeinsam mit dem LKA für Kunden durchgeführt hat, unternommen wurde und dessen wachrüttelnden Effekt: „Die Betroffenheit ist der Beginn von IT-Sicherheit.“
Für Unternehmen müsste es eine Selbstverständlichkeit sein, ein festes Budget einzuplanen, das für IT-Sicherheit ausgegeben wird, so die Überzeugung von Timo von Lepel. Darüber hinaus gebe es klare Maßnahmen, die von allen ergriffen werden sollten. Dazu zählt die Zwei-Faktor-Authentifizierung beim Passwort ebenso wie sich genau zu überlegen, wer im Unternehmen welche Zugriffsrechte auf welche Inhalte haben sollte und regelmäßige Back-Ups der Daten, möglichst auch bei einem externen Rechenzentrum zu sichern.
Helmut Picko betrachtet Verhaltensprävention und technische Prävention ebenfalls als unerlässliche Prophylaxe-Maßnahmen. Er weiß aus seiner Praxis aber auch, dass damit dennoch der erfolgreiche Angriff auf ein Unternehmen nicht ausgeschlossen werden kann. Deshalb müssen Maßnahmen, die man zum Schutz ergreifen kann, kontinuierlich durchgeführt und die Information darüber immer auf dem aktuellen Stand gehalten werden. Außerdem sollten Notfallpläne vorhanden sein und regelmäßig geübt werden. Im Fall der Fälle gilt es, schnell zu (re)agieren und auch Strafanzeige zu erstatten: „Unter der Nummer 0211-9394040. Das ist die Hotline des single point of contact des LKA NRW.“
Allgemein heißt es: Vertrauen ist gut, Kontrolle ist besser! Für den Cyberspace gilt: Vertrauen ist unangebracht und Kontrolle dringend erforderlich! Mit der unaufhaltsamen Digitalisierung und Vernetzung aller Lebensbereiche steigt die Notwendigkeit, Schutzmaßnahmen vor Cyber-Angriffen zu ergreifen. Das betrifft alle: Institutionen kritischer Infrastruktur ebenso wie Privatpersonen und Unternehmen. Das Bewusstsein dafür, dass wir ohne digitale Sicherheit in unserer heutigen Welt nicht mehr auskommen, ist aber noch nicht überall - im erforderlichen Maß - angekommen.
Wie die Ergebnisse einer Studie zeigen, die das Kompetenzzentrum DIGITAL.SICHER.NRW zur IT-Sicherheit in Unternehmen herausgegeben hat, schätzen nur 27,1% der Befragten das Risiko, Opfer von Cyberkriminalität oder Datenklau zu werden als hoch oder sehr hoch ein; aber 44,9% als (sehr) gering. Dabei werden, so steht es auf der Website des BSI zu lesen, kleine und mittlere Unternehmen (KMU) zunehmend Ziel von Cyber-Attacken, die nicht selten zu immensen Schäden führen und die Unternehmensreputation schwächen. "Oftmals werden Daten von Kunden und Kooperationspartnern sowie andere sensible Daten abgegriffen, verändert, gelöscht, verschlüsselt und/oder auf inkriminierten Internetseiten veröffentlicht. Wiederholt nutzen Kriminelle die gestohlenen Daten für weitere Hackerangriffe und andere Straftaten."
Laut der Studie prüfen zwei Drittel der kleinen und mittleren Unternehmen beispielsweise ihre E-Mails nicht auf Phishing, obwohl Betriebe jeglicher Größe am häufigsten über diese Betrugsart angegriffen werden.
Technische Lösungen reichen alleine für den Schutz nicht aus. Es geht auch um den „Sicherheits-Faktor-Mensch“. Die Sensibilisierung und Schulung aller Mitarbeitenden sind ebenso entscheidend, finden aber den Studienergebnissen zufolge in zu geringem Maße statt: Nur 44,4% der KMU bieten Schulungen, Veranstaltungen, Trainings rund um das Thema Cybersicherheit an; selbst bei den Großunternehmen mit mehr als 250 Beschäftigten sind es nur 65,4%.
Dabei steigt die Notwendigkeit in Zeiten von Home-Office und mobilem Arbeiten noch. Wie das BSI berichtet, ist das Home-Office "längst zu einem bevorzugten Einfallstor für Hacks, Erpressungen und Virenbefall geworden", weshalb gerade da dringend nachgebessert werden müsse. "Der Knackpunkt bei der IT-Sicherheit im Home-Office besteht darin, dass Geschäftsführung, IT-Verantwortliche und Mitarbeiterinnen und Mitarbeiter an einem Strang ziehen müssen – nur, wenn jeder und jede ihren Teil beiträgt, lässt sich eine sichere Infrastruktur aufbauen."
Bereits mit wenigen einfach umzusetzenden Schritten lässt sich die Cybersicherheit im Betrieb erhöhen. Sowohl das Kompetenzzentrum DIGITAL.SICHER.NRW als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bieten Unternehmen dazu zahlreiche, kostenlose Informations- und Unterstützungsangebote. Das Angebot zielt darauf, die Handlungsbedarfe im Bereich der digitalen Sicherheit zu identifizieren und dann geeignete praktische Maßnahmen zu finden, die zum Unternehmen passen - alles nach dem Motto: Cybersicherheit muss keine Raketenwissenschaft sein!
#WTNRW #WTB61
Timo von Lepel
Geschäftsführer der NetCologne
LKD Helmut Picko
AbtL. Cybercrime-Kompetenzzentrum beim LKA NRW
Prof. Dr. Goodarz Mahbobi
stv. Vorstandsvorsitzender des Cyber Security Cluster Bonn
Dr. Andreas Dartsch
Vorstand Risiko, Finanzen & IT der Sparkasse KölnBonn
Moderation:
Dr. Helge Matthiesen
Chefredakteur
General-Anzeiger Bonn
