Unkategorisiert

ENTWURF: Warum es unmöglich ist, nicht angegriffen zu werden

Veröffentlicht am

Ein Irrglaube, der uns seit Jahren immer wieder begegnet, betrifft in erster Linie kleine und mittelständische Unternehmen. Diese sparen häufig im Bereich der IT-Sicherheit, da hier immer noch die Meinung vorherrscht, dass sie als Kleinunternehmer doch gar nicht interessant genug für Cyberangriffe wie Hacks oder Erpressungen sind.

In einem persönlichen Gespräch wird dann recht schnell klar, dass entweder ein falsches Bewusstsein bezüglich der vorhandenen Cyberkriminalität entstanden ist, oder aber die Situation selbst nicht als maßgeblich erfasst wird. Sicherheit kostet Geld und das ist immer erst einmal unangenehm. Geld, was gerade kleine Unternehmen im Mittelstand zudem oft nicht übrig haben oder lieber anderweitig investieren.

Sicherheitsvorfälle sind jedoch vorprogrammiert, denn eines Tages knallt es. Dann ist es für Investitionen allerdings längst zu spät und ein Bewusstsein bzw. eine Sensibilisierung der Mitarbeiter beim Thema Sicherheit, wird deutlich erschwert. Zeit, diesem Irrglauben ein Ende zu setzen. Wir erklären Ihnen hier und jetzt, warum es heutzutage nahezu unmöglich ist, nicht angegriffen zu werden.

Warum jedes Unternehmens ein potenzielles Ziel ist

Prinzipiell ist jedes Unternehmen ein Ziel für Cyberkriminielle. Das hat zunächst einmal damit zu tun, dass jede Firma, sei sie auch noch so klein, vertrauliche Informationen besitzt. Diese Informationen gilt es zu schützen. Sei es nun aufgrund der DSGVO (Datenschutzgrundverordnung), auf Basis des PCI DSS (Payment Card Industry Data Security Standard) oder des HIPAA (Health Insurance Portability and Accountability Act). Verstöße können empfindliche Strafen nach sich ziehen und diese tun gerade kleinen und mittelständischen Unternehmen oft richtig weh. Mal davon abgesehen, dass sie ein schlechtes Licht auf Ihr Unternehmen und Ihre IT-Sicherheit werfen.

Durch das Home Office, welches in Zeiten von Corona zum Standard wurde, stiegen zudem die Attacken deutlich an. Vor allem, weil es plötzlich einfacher war, Mitarbeiter zu Hause anzugreifen, als sie innerhalb der Firma zu überraschen. Bei kleinen und mittelständischen Unternehmen fehlt es zudem oft an entsprechenden Notfallbudgets im Falle eines Angriffs. Während Großkonzerne sogenannte Notfallfonds besitzen, ist die Behebung von Sicherheitsvorfällen für Kleinunternehmer oft bereits existenzgefährdend. Wer nicht vorsorgt, steht dann oft im Regen.

Auch Ransomware-Attacken haben stark zugenommen. Bei Ransomware handelt es sich um eine Software, die Computer, Server oder ganze Netzwerke sperrt und erst nach Zahlung eines Lösegelds wieder freigibt. Sie verlieren also praktisch all Ihre Daten und müssen auf ein Backup zurückgreifen, sollten Sie das Lösegeld nicht zahlen. Und selbst wenn Sie es zahlen, wird Ihnen niemand garantieren können, dass anschließend alles problemlos läuft.

Egal, ob es also um den Ruf geht, teure Strafen, Sabotage oder Ransomware verwendet wird, um Sie zu erpressen – jedes Unternehmen ist ein Angriffsziel. Es gibt keine kleinen Unternehmen, die davon ausgenommen sind. Für Angreifer sind die kleinen Unternehmen oft einfach nur das leichtere Ziel. So als ob ein Krimineller lieber die Tankstelle an der Ecke überfällt, anstatt einen Bankraub zu planen. Womit kommt er wohl eher durch?

IT-Sicherheit wird durch zunehmende Digitalisierung wichtiger

Fangen wir zunächst einmal mit der Corona-Pandemie an. Als diese begann, wechselten viele Unternehmen in das Home Office. Die Hektik im Zuge dieser Umstellung sorgte dafür, dass Sicherheitsmaßnahmen außen vor blieben. Vieles wurde einfach gemacht, ohne sich im Klaren darüber zu sein, welche Konsequenzen dies nach sich ziehen würde. Gerade kleinere Unternehmen fehlte hier das Wissen, die Expertise oder schlichtweg ein Verständnis für die Notwendigkeit solcher Schutzmaßnahmen.

Im Grunde stieg der Bedarf an Cloud- und IT-Lösungen also an, wobei die IT-Sicherheit aber nicht im gleichen Maße wuchs, sondern eher vernachlässigt wurde, da alles schnell gehen musste. Wo große Unternehmen Profis beauftragten, setzten kleine und mittelständische Unternehmen viele Maßnahmen eigenständig oder inhouse um. Laut dem DsiN-Praxisreport geben 35 Prozent der Unternehmen an, dass die Geschäftsleitung als verantwortliche Stelle bezüglich der Informationssicherheit gilt.

Wir hatten in unseren Artikeln dabei bereits mehr als einmal darauf hingewiesen, dass gerade die Geschäftsleitung in der Regel aber andere Aufgaben hat. Das komplexe Thema der IT-Sicherheit, bei dem es um beständiges Fachwissen, Weiterbildungen und Seminare geht, um stets auf dem aktuellen Stand zu sein, ist von der Geschäftsleistung meist nicht zu leisten. Ohne ISB oder ISMS ist die Informationssicherheit daher grundsätzlich gefährdet.

Der Schutz vor Angriffen muss lange vor dem Notfall stattfinden

Verschiedene Umfragen und Studien legen immer wieder nahe, dass bei kleinen und mittelständischen Unternehmen noch immer kein Umdenken stattgefunden hat. Obwohl die Digitalisierung voranschreitet und selbst die minimalen Unternehmensprozesse inzwischen mehrheitlich sensible Daten erzeugen, ist das Thema der IT-Sicherheit nach wie vor ein wenig relevantes. Und das Obwohl die Cyberkriminalität mehr und mehr zunimmt.

Gerade Ransomware-Attacken sind in letzter Zeit immer populärer geworden. Die Angreifer interessieren sich also gar nicht mehr für Ihre Daten, sondern nur dafür, was Ihnen diese Daten wert sind. Zahlen Sie nicht, landen die Daten oft in Hackerforen oder im Darknet. Zahlen Sie, garantiert Ihnen aber auch niemand, dass sie nicht früher oder später doch noch im Netz auftauchen werden. Ein Schutz dieser Daten ist auch deshalb so wichtig, weil ein kleines oder mittelständisches Unternehmen im Falle eines Cyberangriffs oft nicht über die benötigten Mittel verfügt, um diesen vollständig zu bereinigen. Einmal angegriffen und infiziert, ist es ein aufwendiger und teurer Prozess, der zudem wichtige Zeit in Anspruch nimmt. Die Kosten einer DSGVO-Strafe sind noch gar nicht eingerechnet. Es ist Geschäftszeit, die Sie verlieren und Zeit, die Ihnen viel Vertrauen bei Ihren Kunden kosten wird. Sorgen Sie vor, um hinterher nicht im Regen zu stehen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.