Cyberangriffe: Warum Mittelständler leichte Beute sind

Wenn es um IT-Sicherheitsthemen geht, ist Rolf Strehle ein deutschlandweit gefragter Experte. Seit mehr als 30 Jahren beschäftigt er sich mit Themen rund um Cybersecurity und Datenschutz. Als Geschäftsführer des Cybersecurity-Unternehmens ditis Systeme – einer Tochter des Technologiekonzerns Voith – sowie als Gründungsmitglied des Arbeitskreises IT-Sicherheit des Branchenverbands VDMA kennt er die Herausforderungen in der Praxis sehr genau.

Herr Strehle, wie gut sind die deutschen Unternehmen gegen Cyberangriffe gewappnet?

Kurz gesagt: schlecht. Viele Unternehmen, besonders im Mittelstand, sind definitiv nicht ausreichend vorbereitet. Immer gezieltere Angriffe treffen zunehmend auf Firmen, die völlig überfordert sind. Je kleiner das Unternehmen, desto größer ist das Risiko, gehackt zu werden.

Warum ist der Cyberschutz von großen und kleinen Unternehmen so unterschiedlich?

Die Hauptursache sind fehlende Ressourcen. KMU, also kleine und mittelständische Unternehmen, haben in der Regel kleine IT-Teams, deren primäre Aufgabe es ist, die IT für den täglichen Betrieb am Laufen zu halten. Das allein ist schon ein Fulltime-Job. Für strategische Sicherheitsmaßnahmen bleibt da kaum Zeit. Außerdem sind die finanziellen Budgets oft gering.

Wie greifen Cyberkriminelle am häufigsten an?

Ransomware steht auf dem ersten Platz. Diese Angriffe, bei denen Daten verschlüsselt und erst gegen Lösegeld wieder freigegeben werden, haben massiv zugenommen. Aus dem VDMA-Arbeitskreis weiß ich, dass nahezu jedes beteiligte Industrieunternehmen in den vergangenen Jahren mit einem Ransomware-Vorfall konfrontiert wurde.

Welche Angriffsart folgt auf Platz zwei?

Industriespionage ist ebenfalls ein großes Problem. Es geht dabei nicht nur um Datendiebstahl, sondern auch um Sabotage. Viele Angriffe sind staatlich motiviert – China und Russland spielen hier eine große Rolle. Die Täter haben es auf sensible Unternehmensdaten abgesehen, die später im Darknet verkauft oder für gezielte Sabotage genutzt werden.

Wer steht besonders im Fokus der Cyberkriminellen?

Mittlerweile alle. Bei den großen Konzernen winken hohe Lösegelder. Die Angreifer informieren sich gut, etwa anhand veröffentlichter Bilanzzahlen, und wissen sehr genau, wie viel ein Unternehmen zahlen könnte. Kleine und mittelständische Unternehmen haben sie vor allem darum im Visier, weil sie schlechter geschützt und daher eine leichte Beute sind. In der Summe sind die niedrigeren Lösegelder dann auch ein lohnendes Geschäft.

Wo können sich Unternehmen informieren, wenn sie ihre IT-Sicherheit verbessern möchten?

Für den Maschinenbau bietet der VDMA eine Menge hilfreicher Ressourcen – von Praxisleitfäden bis hin zu technischen Empfehlungen, die auch kleinere Unternehmen mit überschaubarem Aufwand umsetzen können. Das Bundesamt für Sicherheit in der Informationstechnik, das BSI, stellt ebenfalls exzellente Materialien bereit, wie das IT-Grundschutz-Kompendium. Und dann gibt es natürlich spezialisierte Dienstleister wie ditis, die gezielt Sicherheitslösungen anbieten.

Womit wir wieder bei der Budget-Frage wären …

Das stimmt, aber es gibt auch finanzielle Unterstützung. Zum Beispiel das „Industrie 4.0 Scouting“ in Baden-Württemberg. Hier analysieren neutrale Experten – sogenannte Cyber-Scouts – die Sicherheitslage eines Unternehmens und geben konkrete Handlungsempfehlungen. Das Programm wird gefördert, sodass Unternehmen nur einen Bruchteil der Kosten tragen müssen.

Sie sind als einer der Cyber-Scouts in vielen Firmen unterwegs. Gibt es etwas, was Ihnen immer wieder auffällt?

Ein Dauerproblem ist das Thema „Patchen“ – also, die eigenen Systeme up to date zu halten. Und damit meine ich nicht nur das digitale Equipment in den Büros. In vielen Unternehmen gibt es an unterschiedlichen Stellen veraltete Systeme, die nie oder nicht regelmäßig aktualisiert werden. Die Gründe sind vielfältig; sie reichen von Zeitmangel bis hin zum fehlenden Überblick über die eigene IT-Landschaft mit ihren diversen Systemen in unterschiedlichen Reifegraden.

Haben Sie ein Beispiel?

Nehmen wir die Überwachungskameras, die vor Jahrzehnten an der Pforte installiert wurden. Wenn man ehrlich ist, hat die in kaum einem Unternehmen noch jemand auf dem Schirm. Sie laufen unbemerkt weiter – und sind ein großes Einfallstor. Mein erster Tipp lautet daher: Netzwerk scannen, alle Geräte inventarisieren und Schwachstellen identifizieren. Hacker machen genau das – und sie finden die Lücken.

Stichwort Industrie 4.0. Die Produktionen werden immer digitaler und damit vernetzter. Wie lassen sie sich schützen?

Hier wird es besonders knifflig, denn die Betriebstechnologie, die sogenannte OT, war ursprünglich nicht ans Internet angeschlossen. Im Gegensatz zur klassische Office-IT ist das Patchen der OT nicht so einfach. Jeder im Büro weiß aus leidvoller Erfahrung, dass ständig ein Update erforderlich ist, der PC dann runter- und hochfährt, und währenddessen kann man nicht arbeiten. Das darf bei der OT nicht passieren, sonst stehen die Bänder im Werk still. Dort Updates einzuspielen ist viel schwieriger, weil Maschinen oft 24/7 laufen. Bei Großkonzernen sind OT-Teams darauf spezialisiert, aber im Mittelstand muss die klassische IT-Abteilung diese Aufgabe notgedrungen mit übernehmen – obwohl sie dafür weder Zeit noch Expertise hat.

Das eine ist die Technik, das andere sind die Menschen. Wie ist Ihr Eindruck? Werden die Mitarbeitenden ausreichend für die Gefahren sensibilisiert?

Lassen Sie es mich einmal so sagen: Es gibt Fortschritte. Viele haben eine höhere Awareness für Cyberkriminalität wie Phishing entwickelt, auch durch die Medienberichterstattung. In Großunternehmen mit strukturierten Prozessen für Schulungen und interne Sensibilisierungskampagnen ist die Lage besser. Bei vielen kleineren Unternehmen gibt es allerdings höchstens einen Sicherheitshinweis, wenn jemand neu in die Firma eintritt. Da ist noch viel Luft nach oben.

Nahezu täglich gibt es Medienberichte über Cybervorfälle. Das schafft Bewusstsein, rückt allerdings das betroffene Unternehmen ins Rampenlicht. Sollten sich ITler und Kommunikatoren gemeinsam bereits im Vorfeld auf diese Situation vorbereiten?

Unbedingt! Eine schlecht kommunizierte Cyberkrise kann den Ruf eines Unternehmens massiv schädigen – oft mit langfristigen finanziellen Folgen. Wir empfehlen bei unseren Beratungen immer Notfallpläne frühzeitig vorzubereiten – und dazu gehört auch eine arbeitsfähige Notfallkommunikation. Was passiert, wenn Ihre E-Mail-Systeme ausfallen? Wie erreichen Sie Kunden, Lieferanten und die Medien? Presseabteilungen brauchen ein Backup-System für ihre Kommunikation, für diesen Fall idealerweise über die Cloud, damit Presseinformationen oder Mitteilungen an Kunden nicht über private Mail-Accounts verschickt werden. So etwas einzurichten, ist ein überschaubarer Aufwand, der im Ernstfall aber enorm weiterhilft.

Im eigenen Interesse sollte sich jedes Unternehmen bestmöglich schützen, zudem macht der Gesetzgeber immer mehr Druck.

Das stimmt. Die EU-Richtline NIS-2 wird schätzungsweise 30.000 deutsche Unternehmen verpflichten, ihre Cybersicherheitsstandards deutlich zu erhöhen. Der Einfluss von NIS-2 reicht allerdings weit über die direkten Betroffenen hinaus, denn diese müssen sicherstellen, dass ihre gesamte Lieferkette – bis hin zum kleinen Zulieferer – den gleichen Sicherheitsanforderungen entspricht. Statt über den Aufwand zu jammern, sollten wir die Vorteile sehen: Es geht darum, die gesamte deutsche Wirtschaft besser gegen Cyberkriminelle zu schützen!

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * gekennzeichnet*