Cyber-Sicherheit in Thüringen: Was Unternehmen wissen müssen

Von Phishing bis Deepfakes

Zunächst eine kleine Entwarnung: Cyber-Attacken, die ein spezielles Unternehmen ins Visier nehmen, gehören eher zu den Ausnahmen. Häufiger sind breit angelegte Phishing-Kampagnen durch betrügerische E-Mails oder Webseiten. Cyberkriminelle hoffen, darüber IT-Schwachstellen ausfindig zu machen und sensible Daten abzugreifen. Daraus resultieren Identitätsdiebstahl oder der Einsatz von Ransomware, die den Zugriff auf Dateien sperrt und nur gegen Lösegeld wieder freigibt. Zudem wächst die Gefahr durch sogenannte DDoS-Attacken, die Netzwerkinfrastrukturen durch eine gezielte Flut von Anfragen lahmlegen.

Mit der Weiterentwicklung generativer Künstlicher Intelligenz (KI) sind auch die Angriffsmethoden raffinierter geworden. Ein Beispiel sind Deepfakes, die Videos und Audios täuschend echt fälschen. Auch wenn solche ausgeklügelten Techniken mittels KI noch am Anfang stehen, sollten sich klein- und mittelständische Unternehmen (KMU) der ständig wachsenden Möglichkeiten, die Cyberkriminelle einsetzen, bewusst sein.

Hohe Dunkelziffer betroffener Unternehmen

Für den Freistaat Thüringen liegen derzeit keine spezifischen Daten vor, die aufzeigen, wie viele KMU bereits Opfer eine Cyber-Attacke geworden sind. Eine Untersuchung des Kriminalistischen Forschungsinstituts Niedersachsen legt jedoch nahe, dass die Dunkelziffer betroffener Unternehmen hoch ist – schätzungsweise bei etwa 91 Prozent. Dies ist unter anderem auf nicht erkannte Angriffe und die unzureichende Erfassung internationaler Vorfälle zurückzuführen. Häufig zögern Unternehmen außerdem, Angriffe zu melden. Sie fürchten sich vor einem Imageverlust und potenziellen Störungen im Betriebsablauf durch polizeiliche Ermittlungen.

An dieser Stelle sei betont, dass Unternehmen gesetzliche Meldepflichten haben. Cyber-Angriffe müssen innerhalb von 72 Stunden nach deren Entdeckung an die zuständige Aufsichtsbehörde und in manchen Fällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.

Bewährte Methoden zur Cyber-Abwehr

Um sich zu schützen, ist lediglich ein Gedanke keine Option: Dass es das eigene Unternehmen nicht treffen könnte. Daher sind präventive Sicherheitsmaßnahmen unerlässlich, ebenso wie ein klarer Aktionsplan für den Fall, wenn es wirklich einmal zu spät ist. Selbst kleine Unternehmen ohne eigene IT-Abteilung können wirksame Schritte zur Absicherung ihrer Systeme umsetzen.

Zur Basisausstattung gehören Firewalls, schwer zu knackende Passwörter, Antivirenprogramme und regelmäßige Software-Updates und Backups. Zudem sollte eine Zwei-Faktor-Authentifizierung für den Zugriff auf kritische Daten eingerichtet werden. Für den Fall einer Cyber-Attacke ist die Entwicklung eines IT-Notfallplans von zentraler Bedeutung. Dieser sollte Zuständigkeiten, Abläufe und Kommunikationsstrategien klar definieren, damit effizient gehandelt werden kann. Solche Vorkehrungen können im Ernstfall erheblichen Einfluss auf den entstandenen (finanziellen) Schaden haben.

Kollektive Wachsamkeit schützt

Eine der wirkungsvollsten Methoden zur Abwehr von Cyber-Angriffen ist die kontinuierliche Schulung und Sensibilisierung der Mitarbeitenden. Durch regelmäßige Trainings lassen sich Risiken stark minimieren, Anreize können dafür sorgen, besonders wachsam zu sein. Entscheidend ist auch die Etablierung einer offenen, vertrauensvollen Unternehmenskultur. Diese fördert nicht nur die Kommunikation und den Wissensaustausch unter den Mitarbeitenden, sondern ermutigt sie auch, aktiv zu werden, wenn sie Anzeichen eines Cyber-Angriffs erkennen oder vermuten.

IT-Security Day Erfurt als Anlaufstelle

Ein praxisnahes Beispiel für Sensibilisierung und Netzwerkbildung ist der IT-Security Day, der vor kurzem im Dompalais in Erfurt stattgefunden hat. Die Veranstaltung, organisiert von der IHK Erfurt, ITnet Thüringen, dem Landeskriminalamt Thüringen und ThEx Wirtschaft 4.0, bietet jährlich ein breites Spektrum an Vorträgen und Diskussionen. Themen reichen von Cyber-Versicherungen über den Umgang mit Cyber-Attacken bis hin zu Datenschutzgrundverordnung (DSGVO) und ganzheitlichen Sicherheitsstrategien. Roberto Schmidt, Projektleiter von ThEx Wirtschaft 4.0, fungierte als einer der acht Table Captains, welche die rund 60 unterschiedlichen Akteur*innen in Diskussionsrunden zusammenbrachten. Sein Fazit: „Um das Thema IT-Sicherheit erfolgreich im Unternehmensalltag zu verankern, bedarf es enormer Anstrengungen in den Bereichen der Aufklärung und Sensibilisierung. Austauschformate wie der IT-Security Day haben damit eine zentrale Bedeutung.“

Für KMU aus Thüringen sind diverse Anlaufstellen für Fragen und Anliegen rund um Cyber-Sicherheit verfügbar. Auf Bundesebene gehört dazu beispielsweise das Bundesamt für Sicherheit in der Informationstechnik und die Allianz für Cyber-Sicherheit (ACS) – eine gemeinsame Initiative von BSI und Bitkom. Beim Landeskriminalamt Thüringen besteht die Zentrale Ansprechstelle Cybercrime (ZAC), die bei strafrechtlicher Verfolgung von Cyber-Vorfällen unterstützt.

In Summe zeigt sich, dass Cyberkriminalität für KMU in Thüringen eine reale Bedrohung darstellt, der jedoch durch eine Kombination aus technischen Sicherheitsmaßnahmen und gezielter Sensibilisierung der Mitarbeitenden begegnet werden kann.