Ihr Experte für Fragen
Derk Fischer
Partner, Cyber Security & Privacy bei PwC Deutschland
Tel.: +49 211 981-2192
E-Mail
Cyberkriminalität gehört zu den größten Herausforderungen einer zunehmend digitalisierten Welt. Seit Jahren spitzt sich die Lage weiter zu. Die Anzahl der Erpressungen, Betrugsfälle und Überlastungsangriffe steigt. Tag für Tag entstehen 300.000 neue Schadprogramm-Varianten. Durch den russischen Angriffskrieg auf die Ukraine hat sich die Lage nochmals verschärft. Die Grenze zwischen organisierten Banden und staatlichen Akteuren verschwimmt. Auch mittelständische Betriebe und Familienunternehmen sind längst in das Visier der Hacker geraten. Doch so düster die Lage auch aussieht, sie ist nicht aussichtslos. Es gibt wirksame Maßnahmen, um die Risiken zu senken und die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen. Einige davon, die für den Mittelstand besonders relevant sind, stellen wir im Folgenden vor. Eine Übersicht unseres praxiserprobten Gesamtangebots rund um IT-Sicherheit finden Sie auf der Seite Cyber Security & Privacy Services.
„Am wichtigsten ist es, das Verständnis für Cybersicherheit auf der Geschäftsleitungsebene zu stärken: Sie darf nicht als reines IT-Thema marginalisiert werden.“
Je weiter die Digitalisierung und Vernetzung in unserem Alltag voranschreitet, desto größer wird die Angriffsfläche für Cyberkriminelle. Wer immer noch denkt „Mein Unternehmen ist zu klein. Wer soll mich schon angreifen?“, unterliegt einer schweren Fehleinschätzung. Denn auf der Gegenseite sitzt längst nicht mehr der einsame Hacker im Kapuzenpulli. Die Cyberkriminalität ist bestimmt durch organisierte Banden, die in einer zunehmend ausdifferenzierten Untergrundökonomie agieren. Das Ausmaß ist so groß, dass immer mehr Arten von Cybervorfällen nicht mehr oder kaum noch versicherbar sind. Gegen diese organisierte Kriminalität hilft nur eins: eine professionalisierte Cyberabwehr.
Cyberkriminelle entwickeln ihre Betrugsmaschen, Angriffs- und Erpressungstaktiken kontinuierlich weiter. Aktuell sind mittelständische Unternehmen vor allem folgenden Angriffsszenarien ausgesetzt:
Erpressung mit Ransomware
Bei einem Ransomware-Angriff verschaffen sich Angreifer zunächst Zugriff auf ein IT-System. Anschließend entwenden sie wertvolle Daten und verschlüsseln die Systeme mit Hilfe einer speziellen Schadsoftware, die als Ransomware oder auch Verschlüsselungstrojaner bzw. Erpressungstrojaner bezeichnet wird. Die verschlüsselten Systeme sind dadurch unbrauchbar. Für die Entschlüsselung und Wiederherstellung verlangen die Angreifer ein Lösegeld. Ein zusätzliches Schweigegeld erpressen sie mit der Drohung, die gestohlenen Daten im Internet zu veröffentlichen.
DDoS-Attacken
Mit sogenannten Distributed Denial of Service-Attacken überfluten die Angreifer ein über das Internet erreichbares Zielsystem mit Anfragen. Mit diesen Überlastungsangriffen können sie Webseiten und Dienste wie Online-Shops lahmlegen und damit immensen wirtschaftlichen Schaden anrichten. Dabei kommt in der Regel ein Botnetz zum Einsatz, das aus vielen verschiedenen kompromittierten Geräten besteht.
CEO-Fraud
Betrugsmaschen wie der CEO-Fraud nutzen Social Engineering-Techniken und die Manipulation von digitalen Identitäten. Beim CEO-Fraud gibt sich beispielsweise ein Angreifer als Mitglied der Geschäftsführung aus und versucht, Mitarbeitende zu kompromittierenden Aktionen zu bewegen – zum Beispiel eine dringende Überweisung auf ein Konto, dessen Zugriff bei den Cyberkriminellen liegt.
Viele mittelständische Unternehmen betrachten Cybersicherheit noch als reines IT-Thema. Diese Sicht ist zu kurz gegriffen. Cyber Security betrifft nicht nur die IT, sondern alle Bereiche der Organisation – beispielsweise auch die Personalabteilung und die Unternehmenskommunikation. Sie muss von der Geschäftsführung aktiv gemanagt werden. Die Basis dafür schafft eine übergeordnete Cybersecurity-Strategie, die kontinuierlich weiterentwickelt werden muss.
Ein falscher Klick auf den schadhaften Anhang einer E-Mail kann der Ausgangspunkt für einen millionenschweren Schaden sein. Ein unternehmensweites Bewusstsein für Risiken sowie eine offene Kommunikation und Fehlerkultur bilden das Fundament einer cyberresilienten Organisation. Mit Hilfe von Upskilling Programmen (z. B. Cyber Escape Room, Game of Threats) lässt sich das nötige Bewusstsein für Cybergefahren gezielt aufbauen.
Die Zeiten, in denen Werkstudenten oder ausgelastete Mitarbeiter „nebenbei“ Server oder Dienste administrieren konnten – ohne schwerwiegende Konsequenzen – sind längst vorbei. Als Schutz vor organisierter Kriminalität hilft nur eine professionelle Abwehr. Langfristig sollten mittelständische Firmen und Familienunternehmen internes Know-how rund um IT-Sicherheit aufbauen. Kurzfristig hilft die Zusammenarbeit mit spezialisierten Dienstleistern.
Wen rufen Sie im Falle eines Cybervorfalls an? Wie viele Tage kann Ihr Unternehmen die Ausfälle bestimmter IT-Systeme verkraften? Wie können die wichtigsten Geschäftsprozesse auch bei Einschränkungen der IT weiterlaufen – notfalls mit Stift und Papier? All diese Fragen beantwortet ein Notfallplan. Grundsätzlich gibt es keine hundertprozentige Sicherheit. Die Vorbereitung auf den Ernstfall ist deshalb ebenso wichtig wie die Prävention. Wir helfen Ihnen u. a. bei der Cyber Incident Response.
Folgende Checkliste hilft Ihnen, akute Lücken zu identifizieren:
In den letzten Jahren hat der Mittelstand im Bereich der Digitalisierung viel erreicht. Damit entstehen jedoch auch neue Angriffsflächen, besonders in der IT Sicherheit. Die Vorgehensweise der Hacker wird immer professioneller, und selbst ein einzelner erfolgreicher Angriff kann verheerende Folgen haben und Kollateralschäden auslösen. Sind Sie auf den Ernstfall vorbereitet? Unser Incident Response Team unterstützt Sie nicht nur bei der Prävention, sondern steht auch im Notfall bereit. Mehr zu unseren Services erfahren Sie im Video!
Playback of this video is not currently available
„Organisatorisch muss man auf den Ernstfall vorbereitet sein und unbedingt einen Notfallplan haben. Er legt fest, wie ein Cyber Incident klassifiziert, untersucht, eingedämmt, kommuniziert und der Notbetrieb auf Geschäftsprozessebene etabliert werden kann.“