Kontrolle ist besser

Wie für ihn aus einer abstrakten Bedrohung eine reale Gefahr wurde, daran kann sich Reyno Thormählen noch gut erinnern. Der Diplomingenieur führt die 120-köpfige Elektrotechnikfirma Hans Thormählen bei Oldenburg und baut mit seinem Team Blitzableiter in ganz Deutschland. Hackerangriffe seien für ihn lange ein Phänomen aus den Medien gewesen, erzählt er. Doch Anfang 2017 erzählte ihm eine Branchenkollegin, dass ihr Unternehmen angegriffen worden sei. Die Täter:innen hatten alle Rechner in der Firma gesperrt, forderten „Lösegeld“ für sensible Daten und legten wochenlang den Firmenbetrieb lahm. „Da wurde mir klar, dass Hackerangriffe jeden Tag passieren können“, sagt Thormählen. „Das hätte genauso gut mich treffen können.“

Das bestätigen die Fakten. Knapp drei von vier Unternehmen in Deutschland haben in den Jahren 2018 und 2019 Schäden durch Cyberangriffe verzeichnet, zeigt eine Umfrage des Digitalverbands Bitkom. Befragt wurden gut tausend Unternehmen mit mindestens zehn Mitarbeiter:innen. Und gerade in den vergangenen Monaten sei die Gefahr noch größer geworden, sagt Susanne Dehmel aus der Bitkom-Geschäftsleitung. Viele Firmen sind wegen der Coronapandemie Anfang 2020 überstürzt ins Homeoffice gezogen. Das Thema IT-Sicherheit sei dabei häufig zu kurz gekommen, so Dehmel: „Das hat es vielen Cyberkriminellen leichter gemacht, IT-Systeme anzugreifen.“ Beim Bundesamt für Sicherheit in der Informationstechnik heißt es, dass gerade die Arbeit über mobile Geräte wie Laptops und Smartphones oft viel zu wenig abgesichert werde.

Die Folgen davon lassen sich fast täglich in der Presse nachlesen. In den USA zum Beispiel wurde kürzlich durch einen Angriff der Gruppe „Darkside“ die größte Ölpipeline der Welt lahmgelegt. Ende Mai wurden Regierungseinrichtungen und NGOs in über 24 Ländern angegriffen. Der Konzern Microsoft meldete jüngst ebenfalls einen Hackerangriff. Und schon seit Ende April kämpft die deutsche Supermarktkette Tegut mit Angreifer:innen: Hacker:innen haben dort eine Schadsoftware eingeschleust, sodass Tegut zeitweise seine kompletten Netzwerke abschalten musste. Außerdem haben sie geklaute Daten ins Darknet gestellt und drohen weitere zu veröffentlichen, wenn Tegut kein Lösegeld zahlt. Ransomware nennen sich solche Attacken im Fachjargon. Sie zählen zu den häufigsten Angriffen, die Unternehmen erleben.

Ransomware als existenzielle Bedrohung

Die Frage, wie sie sich gegen solche Attacken schützen können, wird daher sowohl für Konzerne als auch für Mittelständler und Kleinstbetriebe immer wichtiger. „Der größte Fehler ist, zu denken: An uns wird die Gefahr schon vorbeiziehen“, sagt Joachim Wagner vom Bundesamt für Sicherheit in der Informationstechnik, BSI. Oft ist es nämlich so, dass Hacker:innen zunächst gar nicht gezielt versuchen, einzelne Unternehmen anzugreifen. Stattdessen verteilen sie Schadsoftware für zum Beispiel Ransomware-Attacken massenhaft im Netz und schauen dann, welche Unternehmen ihnen in die Fänge gehen. „Der erste Schritt, um sich zu schützen, ist daher das Thema als Chef zur Priorität zu erklären“, sagt Wagner.

Dem Oldenburger Unternehmer Reyno Thormählen zum Beispiel ist sehr bewusst, dass ein Hackerangriff für seine Firma zur existenziellen Bedrohung werden kann. Er stellt solche Attacken daher auf eine Gefahrenstufe mit einem Großbrand. „Es ist also klar, dass ich mich, so gut es geht, gegen solche Vorfälle absichern muss“, sagt er. Dazu hat sich der Unternehmer nach 2017 einen Schlachtplan zurechtgelegt. Er hat zunächst eine Versicherung gegen Cyberangriffe abgeschlossen und sich dann an das staatlich geförderte „Kompetenzzentrum Digitales Handwerk" gewandt. Gemeinsam mit den Expert:innen entwickelte er einen sogenannten E-Check IT, also ein standardisiertes Verfahren, mit dem sich heute auch andere Handwerksbetriebe zertifizieren lassen können. „Dabei wird geprüft, wie Unternehmen in Sachen IT-Sicherheit dastehen und wo sie nachbessern müssen“, sagt Thormählen.

Wenig Geld ist keine Ausrede

Nicht schnelles Flickwerk, sondern ein langfristiges, strukturiertes Vorgehen – dazu rät auch Joachim Wagner vom BSI. „Wichtig ist, dass Unternehmen einen Prozess aufsetzen, mit dem sie IT-Sicherheit im Alltag kontinuierlich mitdenken können“, sagt er. Wie kann Firmensoftware auf dem aktuellen Stand gehalten werden? Wie oft und wo genau werden Daten gesichert? Und wie lässt sich das Firmennetzwerk im Ernstfall retten, wenn es tatsächlich durch einen Hackerangriff lahmgelegt wird? Solche Fragen sollten Unternehmen vorausschauend klären, rät Wagner. Und Sandra Balz von der Transferstelle IT-Sicherheit im Mittelstand (TISiM) ergänzt: „Zu wenig Zeit oder Geld sind keine Ausrede. Oft helfen schon kleine Maßnahmen.“

Nur welche, fragen sich vor allem viele kleine und mittelgroße Firmen. Die TISiM hat daher für sie einen kostenlosen Online-Check ins Internet gestellt, den Sec-o-mat. Dort können Unternehmen angeben, wie groß sie sind, in welchen Bereichen sie IT einsetzen und wie hart es sie treffen würde, wenn zum Beispiel ihre Vertriebsdaten oder ihr Online-Shop lahmgelegt würden. Dann bekommen die Unternehmen automatisiert einen individuellen Aktionsplan erstellt, mit Schutzmaßnahmen und konkreten Tipps zur Umsetzung. Das können zum Beispiel Kontakte zu Sicherheitsanbietern sein oder Online-Broschüren zur Wahl von sicheren Passwörtern. „Wir bündeln also die vielen Angebote, die es schon gibt, sodass Unternehmen diese Schritt für Schritt abarbeiten können“, sagt TISiM-Leiterin Sandra Balz.

Guter Schutz besteht dabei aus einer Mischung aus organisatorischen und technischen Maßnahmen. Patrick Sulewski leitet den Bereich „Cyber Defence“ bei Vodafone Deutschland und erzählt, dass das Unternehmen täglich Hackerattacken abwehren muss. Zu den Angreifer:innen zählen Hobbyhacker, kriminelle Einzeltäter:innen und professionelle Banden. Manche wollen Daten klauen, andere sensible Informationen abgreifen, wieder andere Netzwerke verschlüsseln und den Konzern erpressen. Weltweit beschäftigt Vodafone daher inzwischen über 1100 Mitarbeiter:innen in verschiedenen Sicherheitsteams, die kontinuierlich Firewalls prüfen und Softwareupdates durchführen. Dienstleister, mit denen Vodafone zusammenarbeitet, müssen entsprechende Sicherheitszertifikate nachweisen.

Risikofaktor Nummer 1: die Mitarbeiter:innen

„Eine der größten Herausforderungen für uns ist, zu erkennen, ob es sich bei einer Auffälligkeit im Netzwerk tatsächlich um einen Hackerangriff handelt, und wenn ja, in welcher Größe“, sagt Sicherheitsexperte Sulewski. Vodafone nutzt dazu unter anderem sogenannte Security-Incident-and-Event-Management-Tools. Das sind spezielle Programme, die kontinuierlich prüfen, wo im Konzernnetzwerk welche Aktivitäten ablaufen. Kommt es zu ungewöhnlichen Vorfällen, bündelt die Software diese Meldungen an zentraler Stelle, sodass Sulewski und seine Kolleg:innen im Idealfall sofort ein Angriffsmuster feststellen können. Parallel dazu kümmern sich die Sicherheitsexpert:innen des Konzerns auch um die Prävention von Angriffen – zum Beispiel indem sie immer wieder ihre eigenen Systeme angreifen, um Schwachstellen aufzudecken.

Der größte Risikofaktor seien allerdings nicht Lücken in der Software, sondern menschliche Fehler, sagt Patrick Sulewski: „Alles steht und fällt mit den Mitarbeitern sowie den eingesetzten Schutzmaßnahmen.“ Mit am häufigsten gelangen Angreifer:innen nämlich in Firmennetzwerke, weil Angestellte aus Versehen einen schädlichen Anhang oder Link öffnen. Vodafone markiert daher unter anderem jede Mail von externen Kontakten mit einem deutlichen Sicherheitshinweis. Angestellte, die im Homeoffice arbeiten, müssen sich per VPN-Client und Multi-Faktor-Authentifizierung ins Firmennetz einwählen. Sie müssen also zum Beispiel den Zugang zum Beispiel extra nochmal per Smartphone freigeben – ähnlich wie beim Online-Banking. Gerade in Zeiten der Coronakrise seien solche Lösungen essentiell, sagt Joachim Wagner vom BSI. „Dafür gibt es auch Standardlösungen auf dem Markt. Man muss sie nur sicher einsetzen.“

Geschäftsführer Reyno Thormählen achtet darüber hinaus darauf, seine Mitarbeiter regelmäßig zu schulen, genau wie Vodafone. Der Unternehmer hat dafür extra eine Software schreiben lassen, mit der Mitarbeiter:innen während ihrer Arbeitszeit acht Module abarbeiten können. Darin geht es zum Beispiel um die Frage, wann ein Anhang sicher ist und welche Links man besser ignorieren sollte. Das entsprechende Schulungszertifikat müssen Beschäftigte der Personalabteilung vorlegen. Die 10.000 Euro Kosten für die Software hat Thormählen über ein staatliches Förderprogramm gestemmt. Gerade für kleine Unternehmen gebe es viele Unterstützungsangebote, sagt er, zum Beispiel bei den Kammern, Innungen oder den 4.0-Kompetenzzentren.

Ruhiger schlafen als im Jahr 2017 kann Thormählen zwar immer noch nicht. „Je mehr man sich mit Cyberangriffen beschäftigt, desto mehr Einfallstore sieht man“, sagt er. Außerdem überlegen sich die Angreifer:innen ständig neue Tricks. Dennoch habe sich die Arbeit der vergangenen Jahre ausgezahlt. Früher habe bildlich gesprochen seine Betriebszufahrt offen gestanden, sagt der Unternehmer. Heute sei es nur noch die ein oder andere Bürotür. „Wenn jetzt etwas passiert, brauche ich mir also zumindest nicht vorwerfen, ein existentielles Risiko für die Firma wissentlich in Kauf genommen zu haben.“