Homeoffice - für Datensicherheit gefahrvoll
Erpressung und Produktionsausfall: Millionenschäden durch Hackerangriffe
4.9.2021, 12:08 Uhr
„Kaum ein Unternehmen ist von Cyberattacken verschont“, stellte jüngst der Branchenverband Bitkom fest. Datenklau, Sabotage, Spionage würden jährlich Milliardenschäden verursachen. Firmen müssten die Investitionen in Datensicherheit erhöhen, die Belegschaften aufklären.
Darüber sprachen wir mit Norbert Rauch, Alleingesellschafter der bundesweit tätigen Unternehmensgruppe atarax mit Hauptsitz in Herzogenaurach und Würzburg sowie Claudia Philipp, Geschäftsführerin am Standort Herzogenaurach. Als Kreisbrandinspektor ist Norbert Rauch überdies einer größeren Öffentlichkeit bekannt.
Herr Rauch, Frau Dr. Philipp, Sie sind Geschäftsführer eines der führenden Datenschutzdienstleister in der Republik mit fast 30-jährigem Bestehen. Ist die Situation tatsächlich so, dass kein Unternehmen mehr vor Hackerangriffen gefeit ist?
Rauch: Wenn man sich die Statistiken von Bitkom oder aber auch den Lagebericht zur IT-Sicherheit in Deutschland des Bundesamtes für Sicherheit in der Informationstechnik (BSI) anschaut, ist der Anstieg von Angriffen und Schadsoftware enorm. Diese Entwicklung spiegelt auch unsere eigene Kundenstatistik wider. Als mandatierte Compliance-, Datenschutz- oder Informations-Sicherheitsbeauftragte werden wir bei allen Sicherheitsvorfällen von unseren Mandanten hinzugezogen und haben somit einen guten Überblick über die tatsächlichen Entwicklungen.
Können Sie die Schäden schildern und beziffern?
Claudia Philipp: Die Schäden - vor allem aufgrund Erpressung und durch Produktionsausfall - haben sich rasant entwickelt. Von rund 55 Milliarden Euro noch vor wenigen Jahren, so gibt Bitkom mittlerweile 233 Milliarden Euro an Schadenssumme an. 88 Prozent aller befragten Firmen gaben 2020/2021 an, Opfer von Angriffen gewesen zu sein. Eine starke Zunahme ist vor allem beim Mittelstand zu beobachten. Da die meisten unserer mittelständischen Kunden in ihrer Branche Markt- oder Technologieführer sind und wir auch viele Konzerne betreuen, können wir auch diese Entwicklung bestätigen.
Rauch: Bemerkenswert ist auch eine Zahl vom Institut der Deutschen Wirtschaft. Demnach wurden den Unternehmen im vergangenen Jahr allein durch Hacking-Angriffe im Home-Office 52 Milliarden Euro Schaden zugefügt. 31 Milliarden Euro mehr als vor Corona. In der Pandemie haben viele Unternehmen Mitarbeitende ins Homeoffice geschickt, anscheinend oft ohne ausreichende Sicherheitskonzepte.
Ihre Mandantschaft sind Firmen. Nachdem jedoch Homeoffice als eines der Einfallstore, etwa via FritzBox, für Schadsoftware und Hackerangriffe gilt, sind auch Privatpersonen betroffen. Was raten Sie Firmen und Arbeitnehmern, um sich zu schützen?
Rauch: Die üblichen Empfehlungen wie regelmäßige Updates oder gute Passwörter dürften mittlerweile allgemein bekannt sein. Im Grunde gilt im Kleinen, wie im Großen, nicht alles was technisch machbar ist, ist unter Sicherheitsgesichtspunkten auch sinnvoll.
Philipp: Die eine oder andere sogenannte Sollbruchstelle einzuziehen, damit im Fall der Fälle nicht alle Systeme betroffen sind, wäre ein Ansatz. Das beginnt schon damit, dass man nicht für jeden Dienst aus Bequemlichkeit das gleiche Passwort verwendet oder das Passwort gar unter die Tastatur klebt. Das klingt banal, aber selbst in Firmen stellen wir bei unseren Sicherheitsüberprüfungen solche Dinge immer wieder fest.
Rauch: Bei der Sicherheitsberatung bewegt man sich immer im Spannungsdreieck zwischen Sicherheit, Kosten und Bequemlichkeit und gerade Bequemlichkeit ist ein nicht zu unterschätzender Faktor.
Ist das Problem nur technisch lösbar oder bedarf es nicht vielmehr einer neuen Kultur und Sensibilität mit Daten?
Rauch: Schon immer war Sicherheit - auch Informationssicherheit - noch nie eine ausschließlich technische Herausforderung, denn eine absolute technische Sicherheit ist nicht realisierbar. Der Faktor Mensch ist nach wie vor wesentlich.
Philipp: Damit war und ist die Sensibilisierung aller Akteure in Unternehmen schon immer eine der Hauptaufgaben eines Compliance-, Informationssicherheits- oder Datenschutzbeauftragten. Aufgrund der steigenden Fallzahlen ist leider zu befürchten, dass sich häufig nicht mehr die Frage stellt ob es ein Unternehmen trifft, sondern nur noch wann.
Worin besteht aktuell der Schwerpunkt Ihrer Arbeit, wie hat sich die Tätigkeit in drei Jahrzehnten verändert?
Philipp: Als strategische Unternehmenssicherheitsberater haben wir generell einen ganzheitlichen Ansatz. Von der Angriffssimulation, auch Red-Teaming genannt, über technisch-organisatorische Maßnahmen bis hin zu Haftungsmanagement und Recht. Auf Red-Teaming, also technische und nichttechnische Eindringversuche im Kundenauftrag ist unser Schwesterunternehmen, die atfence GmbH, spezialisiert. Wir stellen zunehmend fest, dass neben den klassischen Bereichen der Sicherheitsberatung der Bereich des Krisenmanagements zunehmend an Bedeutung gewinnt, übrigens auch eines unserer Hauptgeschäftsfelder.
Rauch: Gerade Cyberangriffe benötigen schnelle Entscheidungen bis hin zur obersten Leitung eines Unternehmens. Damit sind übliche Organisationsstrukturen in Unternehmen schlichtweg überfordert. Krisen sind anders, so dass der Aufbau einer guten Krisenorganisation in einem Unternehmen heutzutage mindestens genauso wichtig ist, wie die Maßnahmen zur Sensibilisierung und der technischen Sicherheit. Ideal ist es dann, wenn das Ganze auch noch regelmäßig geübt wird, denn nur Übung macht den Krisenstab.
Keine Kommentare
Um selbst einen Kommentar abgeben zu können, müssen Sie sich einloggen oder sich zuvor registrieren.
0/1000 Zeichen