Datenklau: Warum Unternehmen ein starkes Cyberimmunsystem brauchen

Ergebnis 2: Nur in etwas mehr als der Hälfte der Unternehmen (52 Prozent) liegt ein Krisenplan für den Fall des Datendiebstahls in der Schublade. Und selbst wenn einer hervorgezogen werden kann, ist er von 30 Prozent der Befragten vorher nicht einmal geübt worden, was im Ernstfall (noch mehr) Geld und (noch mehr) Zeit kosten kann und so den Schaden vergrößert. Cybercrime und Datenklau sind Bedrohungen, die deutsche Unternehmen zwar akzeptieren, aber nicht tatenlos hinnehmen müssen. Wer sich auf die Angriffe vorbereitet, kann Risiken minimieren und Schadenspotenzial reduzieren.

Praxisbeispiel: Hackerangriff in einem Familienunternehmen

Eine Erkenntnis, die für Kim-Eva Wempe zu spät kam: Im Sommer 2019 legten Hacker die IT des traditionsreichen Hamburger Juweliers Wempe vollständig lahm. Für die geschäftsführende Gesellschafterin war das in mehrfacher Hinsicht ein Schockmoment. Zum finanziellen Schaden und zu der Angst, was mit den verschlüsselten Daten passieren könnte, kam die Hilflosigkeit: „Es ist als Unternehmer ein fürchterliches Erlebnis, nichts für die eigene Firma tun zu können“, berichtet die Geschäftsführerin. Die Sicherheit der wertvollen Ware und des Personals genoss bei dem Juwelier bereits hohe Priorität – die der Daten bis dahin nicht. 

Das Unternehmen Wempe wurde – wie die meisten Ziele von Cyberattacken – Opfer einer virtuellen Erpressung, bei der durch sogenannte Ransomware Daten verschlüsselt und erst gegen Zahlung eines Lösegeldes wieder freigegeben werden. Das ist eine stark anwachsende Form organisierter Kriminalität, die sich insgesamt mit alarmierenden Zahlen in der EY-Forensics-Datenklaustudie niederschlägt: Mit fast 49 Prozent wurde nicht nur fast jeder zweite Cyberangriff vom organisierten Verbrechen gesteuert, die Attacken aus diesem Täterkreis haben sich seit 2019 zudem mehr als verdreifacht – damals lag die Zahl bei 16 Prozent.

Martin Schallbruch, einer der erfahrensten deutschen Experten im Bereich Cybersecurity, kommt in der Studie in einem ausführlichen Interview zu Wort. Auch er hält die organisierte Kriminalität für die größte Bedrohung für Unternehmen in Deutschland: „Inzwischen wird im Cyberbereich sehr stark arbeitsteilig operiert. Das erlaubt es einer Vielzahl von Akteuren, mit einer niedrigen Zugangsschwelle tätig zu werden – mit einer guten Aussicht auf Profite. Denn alles lässt sich zu Geld machen: Produktionsausfälle, Reputationsschäden, Geschäftsgeheimnisse oder Patente und Passwörter.“

Unrühmliche Rekordwerte erzielen in diesem Zusammenhang die Länder China und Russland: Mit den höchsten Zahlen seit Beginn der Befragung im Jahr 2015 halten 56 Prozent Russland und sogar 59 Prozent der Führungskräfte China für die Regionen, aus denen die mit Abstand größte Gefahr für Cyberangriffe droht. 

Als besonders hoch schätzen Führungskräfte aus dem Bereich Technologie, Medien und Telekommunikation die Gefahr eines Angriffs ein – insgesamt 76 Prozent von ihnen ordneten das Risiko als hoch ein. Tatsächlich ist die Branche auch am meisten betroffen: 60 Prozent der hier Befragten gaben an, innerhalb der vergangenen zwei Jahre einmal oder mehrfach konkrete Hinweise auf Cyberangriffe verzeichnet zu haben. 

Unternehmerische Strategien gegen die virtuelle Gefahr

So wie Kim-Eva Wempe es im Nachgang an den Hackerangriff auf ihr Unternehmen handhabt, tun es auch immer mehr andere: 41 Prozent erklären die Datensicherheit zur Chefsache – 2019 waren es erst 24 Prozent. Der Schutz von Daten und Informationen unterliegt mehrheitlich den internen IT-Abteilungen, zunehmend werden aber auch externe Dienstleister eingebunden.

Mit dem gestiegenen Bewusstsein für die zunehmende Bedrohung erhöhen sich auch die Investitionen in den Datenschutz. Vor allem Firewall beziehungsweise VPN-Zugänge, Antivirensoftware und Passwortschutz rückten hier in den Fokus; mehr als 90 Prozent der Unternehmen stellten für diese Maßnahmen in den vergangenen zwei Jahren Budgets frei. Andererseits sind Information-Security-Management-Systeme, Grundschutz nach BSI-Standards und Zero-Trust-Umgebungen, die eine deutlich höhere Sicherheit bieten würden, weit weniger verbreitet als wünschenswert.

Das größte IT-Risiko bleibt der Mensch

Im Zuge der Pandemie und des dadurch vermehrten Homeoffice-Angebots erhöhte sich der Stellenwert für Sicherheit noch einmal beträchtlich, denn die ausgelagerten Arbeitsplätze vergrößerten die Angriffsfläche für Cyberkriminelle spürbar. „Vielfach wurden Sicherheitsstandards gelockert, um überhaupt arbeitsfähig zu sein. Funktioniert die Technik nicht wie gewohnt, wird schnell die private Infrastruktur genutzt, die jedoch nur selten den Sicherheitsanforderungen des Unternehmens entspricht“, erläutert Adrian Ott, Cyberresponse Leader EY Schweiz, in der Datenklaustudie in einem Exkurs zum Thema Homeoffice. 

Nicht nur für Ott ist der Mensch selbst das größte IT-Risiko – insbesondere durch inzwischen professionell gestaltete Phishing-Mails, deren Anhänge oder integrierte Links als Einfallstor für Angriffe geöffnet werden. Die Führungsebenen halten daher weiterhin an der Schulung und Sensibilisierung ihrer Beschäftigten fest; die Zahlen in diesem Bereich bewegen sich ungefähr im gleichen Bereich wie in der Befragung von 2019.

Doch reichen diese Maßnahmen in der digitalisierten Welt? Martin Schallbruch sieht eine Lücke zwischen Gefahr und Abwehr, die dringend geschlossen werden sollte: „Unternehmen vernetzen Systeme enger, schaffen mehr Abhängigkeit von der Digitalisierung und bringen Produkte schneller auf den Markt. Die zusätzlichen Sicherheitsmaßnahmen wachsen nicht im gleichen Maße.“ 

93 Prozent der befragten Führungskräfte meinen, dass es einen vollständigen Schutz gegen Datenklau nicht gibt – im Vergleich zu 2019 eine Steigerung um 21 Prozentpunkte. Das ist ohne Frage richtig. Dennoch sollte das Kaninchen nicht abwarten, ob die Schlange zuschnappt oder nicht.