Hacker- & Cyberangriffe: So schützen sich Firmen und Behörden vor Hackern

Berlin Der Zugang zu den wichtigsten Unternehmensdaten versperrt, das Vertrauen der Kunden verspielt und viele Tausend Euro verloren – Cyberangriffe haben das Potenzial, teuren und irreparablen Schaden anzurichten. 86 Prozent der Unternehmen waren laut dem Digitalverband Bitkom von solchen Angriffen 2020 betroffen – aber auch öffentliche Behörden wie der Landkreis Anhalt-Bitterfeld im Juli sind Zielscheiben von Angriffen.

„Ich gehe davon aus, dass die Dunkelziffer noch viel höher ist, als das, was öffentlich bekannt ist“, sagt Hauke Hansen, Fachanwalt für IT-Recht der Kanzlei FPS, der viele von Cyberattacken betroffene Unternehmen berät. „Aber wenn es um die eigene Gefährdung geht, lautet die Einschätzung oft: Uns wird es schon nicht treffen.“

Um sich bei der unternehmenseigenen Cyberabwehr nicht auf das Prinzip Hoffnung verlassen zu müssen, können Verwaltung und Unternehmen einige einfache Schritte befolgen. Auch wenn es keinen hundertprozentigen Schutz gibt, helfen sie im Zweifelsfall dabei, einen Millionenschaden zu verhindern.

So schützen sich Firmen und Behörden

1. Sicherheitslücken finden

Ähnlich wie bei einem Haus, das vor Einbrechern gesichert werden soll, müssen zunächst mögliche Schwachstellen ausfindig gemacht werden. Der erste Schritt hin zu einer sicheren Cyberabwehr ist also eine Bestandsaufnahme des aktuellen IT-Systems. Das kann entweder qualifiziertes eigenes Personal oder ein externer IT-Dienstleister übernehmen.

Bei so einem sogenannten „Cyber-Sicherheits-Check“ wird das gesamte Unternehmen oder die gesamte Verwaltung einschließlich der Netzwerkverbindungen zu Partnern, Dienstleistern und Kunden analysiert, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt.

Mögliche Einfallstore für Hacker können allerdings auch Geräte sein, die gar nicht an das Internet angeschlossen sind, etwa Steuerungssysteme für Brandmelder oder Überwachungskameras. Ein manipulierter USB-Stick oder QR Code reicht aus, damit die Geräte die Kommunikation nach außen aufnehmen – und so den Weg ins innere des Systems frei machen.

Für größere Unternehmen, Ministerien oder Anbieter von kritischer Infrastruktur kann sich zudem ein sogenannter „Penetration Test“ lohnen. Dabei simulieren IT-Experten einen Hackerangriff und versuchen, über alle möglichen Kanäle an eine bestimmte Information zu kommen. Nach Abschluss des Testes können die Ergebnisse dann zur Cybernachrüstung dienen.

Außerdem sollte Cybersicherheit immer Chefsache sein, also auf der höchsten Leitungsebene diskutiert werden. In größeren Unternehmen kann auch ein sogenannter Chief Information Security Officer (CISO) unterhalb des Vorstandes für eine langfristige Strategie sorgen.

2. Passwortsystem hinterfragen

Eine große Gefahr für die Cybersicherheit geht von gehackten oder betrügerisch ergatterten Passwörtern aus. Deswegen ist die Frage, welche Mitarbeiter über welchen Zugang auf welches System zugreifen können, entscheidend.

Dabei kann laut Kevin Switala von der IT-Firma Auth0, die auf Log-ins spezialisiert ist, eine sogenannte Zwei-Faktor-Authentifizierung verhindern, dass Hackern der Zugang zum System allzu leicht gemacht wird. Dabei kommen neben Passwörtern zum Beispiel SMS-Codes zum Einsatz. Ein Mitarbeiter muss sich also durch Wissen (Passwort) und durch Besitz (Handy) identifizieren.

Doch das kostet natürlich Zeit, die im Arbeitsalltag nicht immer vorhanden ist. Generell sollten Mitarbeiter, die auf sensible Daten zugreifen, immer über mehrere Sicherheitsstufen angemeldet sein.

„Je nach Situation, muss man sich fragen, wann eine Zwei-Faktor-Authentifizierung sinnvoll ist“, sagt Kevin Switala. Unternehmen rät er deshalb zu einer adaptiven Lösung, bei der ein Nutzer zum Beispiel nur dann nach einem zweiten Faktor gefragt wird, wenn er sich von einem dem System unbekannten Ort einloggt.

Eine weitere Hilfe kann das  Single Sign-On (SSO) sein, das mit einem einzigen Log-in die Zugänge zu mehreren Systemen verwaltet. Auch biometrische Zugänge wie Gesichtserkennung oder Fingerabdrücke, deren Daten nur auf den benutzten Geräten und nicht im Firmensystem gespeichert sind, kann sicherer sein als ein einzelnes Passwort. „Für viele Unternehmen ist das aber noch absolutes Neuland“, so Switala.

3. Mitarbeiter schulen

Die größte Schwachstelle eines IT-Systems ist der Faktor Mensch. Deshalb müssen vor allem die Mitarbeiter auf mögliche Gefahrenquellen hingewiesen werden. Dabei sind es längst nicht mehr die leicht erkennbaren E-Mails des vermeintlichen reichen Onkels aus Nigeria, die Mitarbeiter ködern sollen.

Hacker sind in der Lage, unternehmensinterne Unterhaltungen zu simulieren und suchen sich die Opfer gezielt aus. Laut dem BSI gehen 91 Prozent der Cyberattacken auf E-Mails zurück, aber auch vor Anrufen schrecken Betrüger nicht zurück. Deshalb sei es wichtig, die Mitarbeiter bei dem Thema für die Risiken zu sensibilisieren, so Rechtsanwalt Hansen.

„Wenn ich zum 100sten Mal lese, dass ich verdächtige E-Mails nicht öffnen soll, ist das irgendwann nur noch wenig effektiv“, sagt Hansen. Stattdessen könnten verpflichtende Rollenspiele zur IT-Sicherheit mögliche Gefahrenquellen sehr viel eingänglicher vermitteln. Das BSI und andere Stellen bieten aber auch online Mitarbeiterschulungen und Trainings an.

Mitarbeiter können ihre Laptops zudem besser von unerlaubten Zugriffen schützen, indem sie Daten auf der Festplatte verschlüsseln – Microsoft bietet hierzu Bitlocker, Apple FileVault an. Die verschlüsselten Dateien können dann nur mithilfe eines Passworts wieder entschlüsselt werden.

4. Sicherungskopien erstellen

Back-ups, also Sicherungskopien der vorhandenen Daten, können gerade bei einem Angriff mit der Erpressungssoftware „Ransomware“ eine wichtige Waffe gegen die Masche der Hacker sein. Bei solchen Attacken werden Daten elektronisch verschlüsselt und erst gegen Zahlung eines Lösegeldes freigegeben.

Wenn das Unternehmen diese Daten, also den Gegenstand der Entführung, aber in einer zweiten Ausführung besitzt, entzieht es so den Erpressern das Drohszenario. Kurzum: Ein Back-up schützt vor möglichen Lösegeldzahlungen, die ohne eine Sicherungskopie gegebenenfalls unumgänglich wären.

„Wichtig ist, das Back-up physisch von der IT-Infrastruktur des Unternehmens zu trennen“, erklärt Rechtsanwalt Hauke Hansen. Je besser die Datensicherungen geschützt sind und je öfter sie erstellt werden, desto mehr schützen sie davor, sich auf die Forderungen der Hacker einlassen zu müssen.

„Ein Klient, der Opfer eines Ransomwareangriffs geworden war, hatte ein Back-up, auf dem nur die Daten des letzten Tages fehlten“, berichtet Rechtsanwalt Hansen. Das Unternehmen entschied sich, der Lösegeldforderung nicht nachzukommen und stattdessen die wenigen verlorenen Daten mithilfe von Kunden und Partnern zu rekonstruieren – dank der gut geschützten Sicherungskopie hielt sich der Schaden also in Grenzen.

5. Cyberversicherung abschließen

Um im Falle eines Angriffs finanziell abgesichert zu sein, können Cyberversicherungen gegen Hackerschäden helfen. Der Markt boomt enorm: Laut einer Schätzung des Rückversicherers Munich Re könnte der Cyberversicherungsmarkt bis 2025 umgerechnet mehr als 19 Milliarden Euro umfassen.

„Munich Re geht davon aus, dass vor allem kleine und mittelständische Unternehmen überproportional von Cyber-Vorfällen betroffen sein werden und somit die Nachfrage antreiben“, heißt es in dem Bericht. Das führt zu einem Problem: Die Versicherungen werden immer teurer, die abgesicherten Summen immer niedriger.

Aber nicht nur spezielle Cyberversicherungen können im Falle eines Angriffs greifen: auch Betriebsunterbrechungs- oder Haftpflichtversicherungen können solche Vorfälle abdecken. Doch auch hier werden Versicherer wegen den enormen Schadenssummen immer vorsichtiger und schließen Cyberrisiken in ihren Policen oft aus.

Mehr: Angriff auf die deutsche Wirtschaft: Cyberkriminalität kostet Unternehmen Milliarden