Von Phishing bis Deepfakes
Zunächst
eine kleine Entwarnung: Cyber-Attacken, die ein spezielles Unternehmen
ins Visier nehmen, gehören eher zu den Ausnahmen. Häufiger sind breit
angelegte Phishing-Kampagnen durch betrügerische E-Mails oder Webseiten.
Cyberkriminelle hoffen, darüber IT-Schwachstellen ausfindig zu machen
und sensible Daten abzugreifen. Daraus resultieren Identitätsdiebstahl
oder der Einsatz von Ransomware, die den Zugriff auf Dateien sperrt und
nur gegen Lösegeld wieder freigibt. Zudem wächst die Gefahr durch
sogenannte DDoS-Attacken, die Netzwerkinfrastrukturen durch eine
gezielte Flut von Anfragen lahmlegen.
Mit der Weiterentwicklung
generativer Künstlicher Intelligenz (KI) sind auch die Angriffsmethoden
raffinierter geworden. Ein Beispiel sind Deepfakes, die Videos und
Audios täuschend echt fälschen. Auch wenn solche ausgeklügelten
Techniken mittels KI noch am Anfang stehen, sollten sich klein- und
mittelständische Unternehmen (KMU) der ständig wachsenden Möglichkeiten,
die Cyberkriminelle einsetzen, bewusst sein.
Hohe Dunkelziffer betroffener Unternehmen
Für
den Freistaat Thüringen liegen derzeit keine spezifischen Daten vor,
die aufzeigen, wie viele KMU bereits Opfer eine Cyber-Attacke geworden
sind. Eine Untersuchung des Kriminalistischen Forschungsinstituts Niedersachsen
legt jedoch nahe, dass die Dunkelziffer betroffener Unternehmen hoch
ist – schätzungsweise bei etwa 91 Prozent. Dies ist unter anderem auf
nicht erkannte Angriffe und die unzureichende Erfassung internationaler
Vorfälle zurückzuführen. Häufig zögern Unternehmen außerdem, Angriffe zu
melden. Sie fürchten sich vor einem Imageverlust und potenziellen
Störungen im Betriebsablauf durch polizeiliche Ermittlungen.
An
dieser Stelle sei betont, dass Unternehmen gesetzliche Meldepflichten
haben. Cyber-Angriffe müssen innerhalb von 72 Stunden nach deren
Entdeckung an die zuständige Aufsichtsbehörde und in manchen Fällen an
das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden.
Bewährte Methoden zur Cyber-Abwehr
Um
sich zu schützen, ist lediglich ein Gedanke keine Option: Dass es das
eigene Unternehmen nicht treffen könnte. Daher sind präventive
Sicherheitsmaßnahmen unerlässlich, ebenso wie ein klarer Aktionsplan für
den Fall, wenn es wirklich einmal zu spät ist. Selbst kleine
Unternehmen ohne eigene IT-Abteilung können wirksame Schritte zur
Absicherung ihrer Systeme umsetzen.
Zur Basisausstattung gehören
Firewalls, schwer zu knackende Passwörter, Antivirenprogramme und
regelmäßige Software-Updates und Backups. Zudem sollte eine
Zwei-Faktor-Authentifizierung für den Zugriff auf kritische Daten
eingerichtet werden. Für den Fall einer Cyber-Attacke ist die
Entwicklung eines IT-Notfallplans von zentraler Bedeutung. Dieser sollte
Zuständigkeiten, Abläufe und Kommunikationsstrategien klar definieren,
damit effizient gehandelt werden kann. Solche Vorkehrungen können im
Ernstfall erheblichen Einfluss auf den entstandenen (finanziellen)
Schaden haben.
Kollektive Wachsamkeit schützt
Eine
der wirkungsvollsten Methoden zur Abwehr von Cyber-Angriffen ist die
kontinuierliche Schulung und Sensibilisierung der Mitarbeitenden. Durch
regelmäßige Trainings lassen sich Risiken stark minimieren, Anreize
können dafür sorgen, besonders wachsam zu sein. Entscheidend ist auch
die Etablierung einer offenen, vertrauensvollen Unternehmenskultur.
Diese fördert nicht nur die Kommunikation und den Wissensaustausch unter
den Mitarbeitenden, sondern ermutigt sie auch, aktiv zu werden, wenn
sie Anzeichen eines Cyber-Angriffs erkennen oder vermuten.