Unterschätzte Gefahr – Wie sich Verbände gegen Cyberkriminalität schützen können

Berlin, 08.11.2017 – Laut der letzten e-Crime Studie des Wirtschaftsprüfungs- und Beratungsunternehmens KPMG von 2017 gaben vier von zehn Unternehmen an, von Cyberkriminalität betroffen zu sein. Zu den häufigsten Vorfällen gehören Angriffe mit Verschlüsselungs-Trojanern, bei denen Rechner gesperrt und Lösegeldforderungen erhoben werden. Ebenfalls verbreitet sind sogenannte DDos-Attacken (Distributed Denial of Service). Dabei senden tausende Geräte ein Signal an einen Knotenpunkt und legen diesen lahm. Wie sich Unternehmen und Verbände gegen Cyberkriminalität schützen können, war Thema des 3. KPMG Verbandsdialog, der am 06. November im Restaurant GROSZ in Berlin stattfand.

Die Frage ist nicht ob, sondern wann ein Angriff erfolgt

In vielen Unternehmen sei mittlerweile ein Bewusstsein für das Bedrohungspotential von Cyberangriffen vorhanden, meint Michael Sauermann, Head of Forensic Security bei der KPMG in seinem Vortrag. Gleichzeitig träfe es in der Wahrnehmung vieler Betriebe immer die anderen, vermeintlich größeren Unternehmen. Dies sei ein gefährlicher Irrtum, denn die Unternehmensgröße sei unerheblich für die Gefahr von Cyberangriffen. Die Frage sei nicht ob, sondern wann ein Angriff aus dem Netz erfolgen würde. Sauermann und sein Team werden angefordert, wenn die betrieblichen Schutzmechanismen bereits überwunden wurden. Die IT-Forensiker untersuchen dann den digitalen „Tatort“ und versuchen die Spuren des Angreifers zurückzuverfolgen.

Verbände sind ein bevorzugtes Ziel

Das Thema Cyber-Security ist nicht nur für Unternehmen, sondern auch für Verbände von besonderer Bedeutung. Laut Wilhelm Dolle, Partner Cyber-Security bei der KPMG, seien Verbände sogar prädestiniert dafür, angegriffen zu werden, da sie „Informationsbörsen“ seien, die die Daten ihrer Mitglieder bündelten. Zudem sind Verbände auf das Vertrauen ihrer Mitglieder angewiesen. Und das lässt sich nicht mehr so leicht wiederherstellen, wenn sensible Daten erst einmal gestohlen worden sind. Die Frage lautet: Wie können sich Verbände vor Cyberangriffen schützen?

„A fool with a tool is still a fool“

Für den Schutz vor Internetkriminalität gäbe es keinen Königsweg, meint Dolle. Grundsätzlich sollten Unternehmen und Verbände bekannte Sicherheitslücken schließen, da diese immer wieder von Angreifern genutzt würden. Als nächstes sei es sinnvoll, die eigenen „Kronjuwelen“ zu identifizieren. Welche Daten sind als besonders sensibel einzustufen und wo werden diese gelagert? Hier sollten die eigenen Schutzbarrieren am stärksten sein. Darüber hinaus mache es Sinn, die potentiellen Angreifer zu kennen. Denn hinter Cyberkriminalität steckten selten Einzeltäter, sondern eine ganze Industrie. Die Vorstellung von jugendlichen Nerds am Computer sei ein Trugschluss. Schadsoftware könne als Service im Darknet käuflich erworben werden, warnt Dolle. Für Unternehmen und Verbände sei es daher essentiell, die eigenen Mitarbeiter zu schulen. Sicherheit dürfe nicht nur in Technik gedacht werden. Denn die meisten Angriffe liefen über das schwächste Glied in der Sicherheitskette: den Menschen. Die beste und teuerste Virensoftware sei nutzlos, wenn die eigenen Mitarbeiter sich nicht sicherheitsbewusst verhalten würden. „A fool with a tool is still a fool“, zitiert Dolle den amerikanischen Informatiker Grady Booch. Die Ausbildung des Personals, oder im Falle von Verbänden, die Schulung der Mitglieder, sei wichtiger, als in teure Software zu investieren.

Für den MITTELSTANDSVERBUND nahm Max Mergenbaum an der Veranstaltung teil. „Unternehmen und Verbände sollten das Thema Cyber-Security nicht unterschätzen“, so sein Fazit von der Veranstaltung. Der MITTELSTANDSVERBUND behandelt das Thema Cyber-Security regelmäßig in seinen Veranstaltungen und Gremien. Beim 2. Servicon-Thementag bildete die „IT-Sicherheit“ einen der inhaltlichen Schwerpunkte. Im September dieses Jahres wurden die Verbundgruppen mit drei Info-Veranstaltungen über Änderungen in der Unternehmenspraxis durch die EU-Datenschutzgrundverordnung (DSGVO) informiert, die am 25. Mai 2018 in Kraft tritt.