Digitalisierung macht verwundbar – Unternehmensleitungen müssen verinnerlichen: Cybersicherheit ist Voraussetzung für eine erfolgreiche Digitalisierung

Das Jahr 2020 markiert in vielerlei Hinsicht einen Wendepunkt für unsere Gesellschaft. So hat die COVID-19-Pandemie uns auch gezwungen zu überdenken, wie Unternehmen arbeiten und Mitarbeiter miteinander interagieren. Überall war die Forderung zu hören, deutsche Unternehmen und deutsche Behörden müssten nun endlich ihren Rückstand bei der Digitalisierung aufholen: mehr Homeoffice, mehr Videokonferenzen, mehr digitale Angebote für Kunden, mehr Cloud-Dienstleistungen. Das geht allerdings häufig auf Kosten der IT-Sicherheit. Digitalisierung macht verwundbar. Neben betrieblichen Störungen drohen hohe datenschutzrechtliche Bußgelder, Schadensersatzforderungen, Kündigungen von Geschäftspartnern und ein beschädigter Ruf, wenn Unternehmen falsch auf Cybersecurity-Vorfälle reagieren. Unsere Autoren Stefan Dingel und Jonas Puchelt erläutern, welche Sofortmaßnahmen attackierte Unternehmen nach einem Angriff treffen müssen.

Die Deutsche Bahn, die Hotelkette Marriott, die Düsseldorfer Uni-Klinik, der Pipelinebetreiber Colonial Pipeline, elf kleine Betriebe im oberpfälzischen Weiden, 800 Volksbanken, der Landkreis Bitterfeld – sie alle wurden Opfer einer Cyberattacke. Und wenn Sie Kunde der Supermarktkette Tegut sind, haben Sie vor einiger Zeit Post bekommen. Nachdem das hessische Unternehmen erfolgreich von Hackern angegriffen wurde, sich aber weigerte, der Lösegeldforderung nachzukommen, veröffentlichten die Erpresser Teile der erbeuteten Kundendaten im Darknet. Um transparent mit der Situation umzugehen – und weil die Datenschutzgrundverordnung (DSGVO) dazu verpflichtet –, informierte Tegut Zehntausende Kunden über die Veröffentlichung ihrer Daten.

In der Regel geht es den Cyberkriminellen um Erpressung, sie fordern ein Lösegeld. Zu zahlen nicht etwa nachts auf einem Parkplatz, verpackt in einer Plastiktüte, sondern zu überweisen – in Kryptowährung. Erpressungen dieser Art sind in Zeiten der Digitalisierung nichts Besonderes mehr.

BSI sieht größte Bedrohung für Unternehmen und Institutionen

Meistens führen die Hacker einen Ransomware-Angriff durch (von englisch ransom für ‚Lösegeld‘). Dabei wird eine Schadsoftware, beispielsweise ein als seriöser E-Mail-Anhang getarnter Trojaner, in ein Unternehmensnetzwerk so eingeführt, dass sämtliche Daten einschließlich operativer Steuerungs- und Betriebssysteme verschlüsselt werden und ein Zugriff unmöglich wird. Um den Leidensdruck zu erhöhen, werden auch die Back-ups verschlüsselt, wenn sie nicht physisch getrennt vom Produktivsystem gespeichert sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht diese Angriffe mittlerweile als „die größte Bedrohung für Unternehmen und Institutionen“ im Internet an, denn die Attacken sind ein lukratives Geschäftsfeld für die Organisierte Kriminalität. Sie geschehen deshalb immer öfter und werden immer professioneller ausgeführt. Inzwischen kann man sich derartige Schadsoftware sogar mieten. Ransomware-as-a-Service (RaaS) heißt das neue Geschäftsmodell in Anlehnung an Software-as-a-Service-Angebote wie „Office 365“ oder „Google Workspace“. Personen, die selbst keine Kenntnisse über die Programmierung von Schadsoftware besitzen, können schnell und kostengünstig ein RaaS-Kit buchen und direkt eine Ransomware-Attacke starten.

Stillstand der Produktion droht

Diese Attacken haben schwerwiegende Folgen für die Betroffenen. Der Stillstand der gesamten Produktion droht. Das kostet viel Geld und führt dazu, dass anders als etwa beim Ausspionieren bestimmter Firmeninterna ein Angriff sich nicht mehr geheim halten lässt, sondern sofort sichtbar und spürbar wird. Um ihrer Forderung Nachdruck zu verleihen und auch glaubhaft zu machen, im Besitz sensibler Daten zu sein, veröffentlichen die Erpresser Teile der erbeuteten Daten im Internet. Die Kriminellen haben damit ein weiteres Druckmittel, gegen das das Opfer ab diesem Zeitpunkt (fast) nichts mehr unternehmen kann. Das geforderte Lösegeld zu zahlen, scheint oft attraktiver zu sein, als diese Nadelstiche zu ertragen.

Die Lösegeldforderungen sind meist so zugeschnitten, dass sie auch geleistet werden können. Viele Unternehmen sind bereit zu zahlen, weil ein Stillstand der Produktion oder die Veröffentlichung intimer Firmengeheimnisse sie teurer zu stehen kommt, als den Forderungen der Erpresser nachzugeben. Die Sicherheitsbehörden raten naturgemäß dringend davon ab, Zahlungen zu leisten, weil damit das kriminelle Geschäftsmodell gefördert wird.

Mittelstand unzureichend geschützt

Es ist eine Frage der Ressourcen, ob ein Unternehmen einen IT-Sicherheitsbeauftragten einsetzt und das Rechenzentrum zertifizieren lässt. Viele Mittelständler nehmen die IT-Sicherheit nicht ernst genug und können daher leichter Opfer werden. So gaben nach einer Studie von PwC 41 % der deutschen Unternehmen an, im vorhergehenden Jahr Opfer eines Cyberangriffs geworden zu sein. Gleichzeitig schätzten aber 69 % der Unternehmen das Risiko eines ungezielten Angriffs und 93 % das Risiko eines gezielten Angriffs als unwahrscheinlich ein. Cybersecurity wird noch immer überwiegend als Kostentreiber und nicht als Notwendigkeit angesehen. Dies erklärt, warum Hardware und Software oft nicht auf dem neuesten Stand sind.

Die offene Flanke eines Unternehmens ist oftmals nicht allein die IT, sondern der Mensch. Das Social Engineering ist eine der gefährlichsten Entwicklungen des Digitalzeitalters und beschreibt die Kontaktaufnahme der Cyberkriminellen mit Mitarbeitenden, damit sie vertrauliche Informationen wie Passwörter preisgeben oder auf infizierte Links klicken. Und man kann es kaum glauben, auch im Jahr 2021 ist die Zahlenfolge „123456“ noch immer das beliebteste Passwort der Deutschen, dicht gefolgt von „1234567“ und dem Passwort „Passwort“. Solche Passwörter werden in weniger als einer Sekunde geknackt. Dagegen erscheinen das Geburtsdatum oder der Hochzeitstag geradezu originell – allerdings werden auch diese innerhalb kürzester Zeit überwunden.

Die Unternehmensleitungen müssen verinnerlichen, dass Cybersicherheit die Voraussetzung für eine erfolgreiche Digitalisierung ist. Neben der Investition in sichere Hard- und Software einschließlich eines professionellen Patchmanagements und getrennter Back-up-Systeme führt an einem regelmäßig wiederkehrenden Sicherheitstraining für Mitarbeitende kein Weg vorbei, um die Sensibilität für die Gefahren von Cyberattacken zu erhöhen. 

Klare datenschutzrechtliche Anforderungen an die IT-Sicherheit

Um die Sicherheit personenbezogener Daten zu gewährleisten, müssen Unternehmen technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik einsetzen. Wurde ein Unternehmen Opfer eines Cyberangriffs, spricht der erste Anschein dafür, dass die getroffenen Maßnahmen nicht ausreichend waren. Daher drohen den geschädigten Unternehmen zusätzlich noch Bußgelder der Datenschutzbehörden. So hat die britische Datenschutzaufsicht der Hotelkette Marriott ein Bußgeld von umgerechnet 110 Mio. € auferlegt.

Erste Hilfe im Notfall: Sofortmaßnahmen bei Cyberangriffen

Im Falle eines Cyberangriffs auf das IT-System ist eine rasche Reaktion existenziell. Hierbei hilft es, sich zuvor eine Checkliste zu erstellen. Zu den Sofortmaßnahmen der ersten Stunden gehören:

• Aufstellung eines kleinen Teams aus den Bereichen Management, Recht, IT, Datenschutz, Presse und Betriebsrat
• Beauftragung eines spezialisierten IT-Sicherheitsunternehmens zur Unterstützung bei der Abwehr des laufenden Angriffs, der Beweissicherung, der Datensicherung und Wiederherstellung der Arbeitsfähigkeit
• Erstellung eines Konzeptes für die Krisenkommunikation nach innen und außen
• Aufstellung von Verhaltens- und Kommunikationsrichtlinien für Mitarbeitende und Führungskräfte
• Gegebenenfalls Beteiligung von Staatsanwaltschaft, Kriminalpolizei und BSI
• Prüfung einer Meldepflicht gegenüber den Datenschutzbehörden (Art. 33 DSGVO) innerhalb von 72 Stunden und den Betroffenen (Art. 34 DSGVO)
• Verminderung zukünftiger Angriffsrisiken
• Kontaktaufnahme mit der Versicherung, sofern eine Cyberpolice vorhanden ist
• Abwehr möglicher Haftungsansprüche von Kunden
• Geltendmachung von Ansprüchen gegenüber Dienstleistern

Um den Schaden durch einen Cyberangriff so gering wie möglich zu halten, ist es von entscheidender Bedeutung, dass alle potentiell involvierten Personen so gut wie möglich vorbereitet sind. Sie müssen genau wissen, welche Maßnahmen in einem Ernstfall zu ergreifen sind. Dringend zu empfehlen ist es daher, den Ablauf einmal zu testen, damit Sie im Ernstfall und unter großem Druck nichts vergessen.

Cybersicherheit und der Schutz von internen Daten und IT-Systemen ist eine Managementaufgabe. Geschäftsleiter werden sich deshalb stets fragen müssen, ob ihr Unternehmen gut aufgestellt ist, um den Anforderungen zur Cybersicherheit gerecht zu werden und um im Falle eines Cyberangriffs Schäden zu minimieren.

FPS bietet Beratung aus einer Hand zur präventiven Vorbereitung auf und Vermeidung von Cyberangriffen, zur sofortigen Reaktion auf stattgefundene Angriffe und zur Anspruchsabwehr und -verfolgung.