Erhöhte Cyberrisiken im Mittelstand


 

In einer aktuellen Studie des Digitalverbands Bitkom wurden Rekordschäden in der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage mit einem jährlichen Gesamtbetrag von 223 Mrd. € beziffert. Immer häufiger und nachdrücklicher wird in diesem Zusammenhang vor dem Home-Office als Einfallstor der Wirtschaftskriminellen gewarnt.

 

 

Praxis-Info!

 

Hintergrund

Die auf Cyberkriminalität zurückzuführende Schadenssumme ist nach Angaben in der neuen Bitkom-Studie mit ca. 223 Mrd. € mehr als doppelt so hoch wie in den Jahren 2018/2019, als sie noch 103 Mrd. € p.a. betrug. Neun von zehn Unternehmen (88%) waren 2020/2021 von Angriffen betroffen. In den Jahren 2018/2019 wurden drei Viertel (75%) Opfer. Als Haupttreiber des enormen Anstiegs gelten Erpressungsvorfälle, die meist mit dem Ausfall von Informations- und Produktionssystemen sowie der Störung von Betriebsabläufen verbunden sind. Die so verursachten Schäden haben sich im Vergleich zu den Vorjahren 2018/2019 mehr als vervierfacht (+358%). Aktuell sieht jedes zehnte Unternehmen (9%) seine geschäftliche Existenz durch Cyberattacken bedroht. Der Bitkom-Präsident Achim Berg warnt: „Der Diebstahl von geistigem Eigentum kann für die innovationsgetriebene deutsche Wirtschaft schwerwiegende Konsequenzen haben.“

Ein Großteil der Angriffe beginnt mit Social Engineering, d.h. der Manipulation von Beschäftigten. Die Kriminellen nutzen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um etwa sensible Daten wie Passwörter zu erhalten. 59% der befragten Unternehmen, bei denen Home-Office grundsätzlich möglich ist, gaben an, dass es seit Beginn der Pandemie IT-Sicherheitsvorfälle gegeben habe, die auf die Heimarbeit zurückzuführen seien. In 24% dieser Unternehmen sei das sogar häufig geschehen. Sofern ein Angriff mit dem Home-Office in Verbindung stand, ist daraus in der Hälfte der Fälle (52%) auch ein Schaden entstanden. Was können insbesondere Mittelständler und kleinere Unternehmen, die im Gegensatz zu den größeren Betrieben häufig ohne ein Team von IT-Spezialisten auskommen müssen, tun?

 

 

Lösung

Die Studienautoren mahnen, dass es nicht genügt, Mitarbeiterinnen und Mitarbeiter einfach zum Arbeiten nach Hause zu schicken. Ihre Geräte müssen gesichert, die Kommunikationskanäle zum Unternehmen geschützt und die Belegschaft für Gefahren sensibilisiert werden. Wer das nicht tue, verhalte sich fahrlässig.

Gerade jetzt in der aktuellen Phase, in der viele Beschäftigte zu Hause arbeiten, sollten demzufolge Mindestanforderungen wie die Trennung von Privatem und Geschäftlichem, eine sichere VPN-Verbindung, eine aktuelle Anti-Viren-Software und ein über WPA-2-Verschlüsselung gesichertes WLAN beachtet werden. Darüber hinaus bieten die in der folgenden Übersicht enthaltenen Aspekte Hinweise auf den Schutz vor Cybercrime.

 

 

 

Schutz vor Cybercrime im Home-Office

(Quelle: Württembergische Versicherung AG, Beitrag im Creditreform-Magazin vom 18.8.2021)

  • Die firmeneigenen IT-Sicherheitsrichtlinien sollten auch zu Hause beachtet werden.
  • Der Firmen-Laptop ist besser als die private Hardware; die Verbindung mit VPN sollte automatisch aufgebaut werden.
  • Für Videokonferenzen sollten die Anbieter gut geprüft werden.
  • Auch (Firmen-)Mobiltelefone bieten Angriffsmöglichkeiten; Updates sind daher wichtig. Die Beschäftigten sollten prüfen, was sie sich auf ihr Handy laden. Übrigens: Auch öffentliche Ladestationen unterwegs können manipuliert sein und das Handy infizieren.
  • Der kriminelle Handel mit Daten boomt. Privates Surfen auf dem Firmen-Computer oder -Notebook ist auch deshalb gefährlich, weil ein Computer manchmal nur als Zwischenstation für einen Angriff auf Dritte (Kunden) genutzt wird.
  • Die Datenschutzbestimmungen müssen auch im Home-Office beachtet werden. Gesundheitsdaten, sensible Kundendaten, vertrauliche Unterlagen – bei Verlust drohen hohe Bußgelder, ganz zu schweigen vom Imageschaden für den Arbeitgeber.

 

 

 

Die Studien-Autoren und die von ihnen befragten Unternehmen befürchten, dass in den kommenden Monaten die Bedrohungslage durch Cyberattacken sogar noch sehr viel ernster werden wird: 83% der Unternehmen nehmen an, dass die Zahl der Angriffe bis Ende dieses Jahres zunehmen wird. Besonders bedroht sehen sich Betreiber kritischer Infrastrukturen (52% erwarten eine starke Zunahme von Angriffen auf ihr Unternehmen) und mittlere Unternehmen mit 100 bis 499 Mitarbeiterinnen und Mitarbeitern (50% erwarten eine starke Zunahme).

 

 

 

Praxishinweise:

  • Zwecks Gegensteuerung haben die Bitkom-Experten angemahnt, die IT- und Cybersicherheit als einen politischen Schwerpunkt zu etablieren und die vielen bestehenden Fehlausrichtungen im Bereich der Cybersicherheitspolitik zu korrigieren. Dazu wurden in den Arbeitskreisen Sicherheitspolitik und Informationssicherheit konkrete Handlungsempfehlungen für die nächste Legislaturperiode erarbeitet und diese am 5.8.2021 erstmalig veröffentlicht. Die notwendigen Maßnahmen reichen von der Vereinfachung staatlicher Zuständigkeitsstrukturen über die Bereitstellung von Echtzeitinformationen zur Cyber-Bedrohungslage bis hin zu einem notwendigen Paradigmenwechsel im Bildungsbereich (mehr zu den Handlungsempfehlungen des Digitalverbands Bitkom siehe unter https://www.bitkom.org/Bitkom/Publikationen/Forderungspapier-Cybersicherheit-zur-Bundestagswahl).
  • Die Problematik der Defizite im Bereich der Cybersicherheit wird sich noch erheblich verschärfen, wenn man bedenkt, dass dem Mittelstand oft noch ein mangelnder Entwicklungsstand bei der Digitalisierung bescheinigt wird (so etwa zuletzt Myrko Rudolph, Geschäftsführer der exapture GmbH und Experte für dezentrale Digitalisierung, in einer Meldung vom 18.8.2021 unter Bezug auf einen Interview-Beitrag vom 23.7.2021, s.u. https://www.exapture.de/news). Entsprechende Fortschritte beispielsweise im Wege der elektronischen Dokumentenverarbeitung mittels Smartphone verlangen umso mehr ein verbessertes Sicherheitsbewusstsein.Rudolph sieht allerdings in der derzeitigen Praxis neben den Cyberrisiken insbesondere sogar beim Buchhaltungs-Grundlagenthema „Dokumente“ noch reichlich ungenutzte Effizienzpotenziale: „Trifft beispielsweise ein Lieferschein ein, scannt ein Mitarbeiter diesen, gibt ihn weiter zur nächsten Person. Diese wiederum weist die Rechnung an. Insgesamt dauert ein solcher ‚Prozess‘ gerne bis zu zwei Tagen. Mit der passenden Vorgehensweise, also dezentral an eine zentrale Stelle zu scannen, sparen Unternehmen hier schnell anderthalb Tage. Zeit ist bekanntlich Geld.“
  • Wenn aus diesem und anderen Gründen das Thema „Geschwindigkeit in der Arbeitswelt“ immer mehr in den Fokus rückt, ist dies nochmals ein Anlass zur Forderung, in entsprechende Anstrengungen Cybersicherheit einzubinden: Schnell und sicher müssen Geschäftsprozesse digitalisiert ablaufen, sonst werden über die Schnelligkeit erreichte Effizienzvorteile über kurz oder lang durch Cyberschäden in ihr Gegenteil verkehrt.

 

 

 Dipl.-Kfm. Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, Coesfeld

 

 

BC 9/2021