Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
 

IT-Sicherheit im Mittelstand „Die eigenen Mitarbeiter sind die größte Schwachstelle“

Wer sich vor Angriffen im Netz schützen will, sollte sich mit dem Thema gut auskennen. Gerade der Mittelstand unterschätzt jedoch das Risiko, von Hackern attackiert zu werden. Dabei geraten sie besonders oft ins Visier.
Nach einem Angriff auf die IT-Sicherheit fürchten viele Firmenchefs die öffentliche Bloßstellung. Das Unternehmen muss sich rechtfertigen, erleidet einen Imageschaden und verliert vielleicht sogar Kunden. Quelle: Getty Images
Hilfe, wir haben einen Cyber-Angriff!

Nach einem Angriff auf die IT-Sicherheit fürchten viele Firmenchefs die öffentliche Bloßstellung. Das Unternehmen muss sich rechtfertigen, erleidet einen Imageschaden und verliert vielleicht sogar Kunden.

(Foto: Getty Images)

Wo sind die größten Sicherheitsschwachstellen im deutschen Mittelstand? Wie lässt sich die IT absichern, wenn wenig finanzielle Ressourcen zur Verfügung stehen? Und mit welchen Folgekosten müssen Unternehmer rechnen, die Opfer eines Cyber-Angriffs geworden sind? Darüber spricht Wirtschaftsprüfer und Steuerberater Andreas Blum, der Firmen in Fragen der IT-Sicherheit berät, im Interview. Blum ist Partner der DHPG, eines der führenden, mittelständischen Beratungsunternehmen in Deutschland, das sich auf die Kernbereiche Wirtschaftsprüfung, Steuerberatung, Rechtsberatung sowie Insolvenzverwaltung und Sanierungsberatung spezialisiert hat. Zudem ist er Professor an der Hochschule Fresenius in Köln.

Herr Blum, ist der Mittelstand in Sachen IT-Sicherheit gut aufgestellt?
In den letzten fünf Jahren nehmen kleine und mittelgroße Unternehmen das Thema IT-Sicherheit zwar stärker wahr. Viele Mittelständler unterschätzen jedoch immer noch das Risiko, selbst Opfer einer Cyberattacke zu werden. Entsprechend ergreifen sie nicht genügend Sicherheitsmaßnahmen, um sich ausreichend zu schützen.

Warum geraten besonders Mittelständler ins Visier von Hackern und nicht die Big Player?
Hacker wissen, dass viele Mittelständler vor allem aus finanziellen und zeitlichen Gründen ihre IT nicht so gut absichern können wie große Konzerne. Entsprechend ist es dort leichter, an Daten zu kommen oder sich sogar Zugang zu externen Vertragspartnern und damit größeren Unternehmen zu verschaffen. In manchen Fällen fällt eine Manipulation gar nicht oder erst sehr spät auf, da IT-Kontrollen fehlen oder in unregelmäßigen Abständen durchgeführt werden.

Ist denn die Digitalisierung der Industrie schuld daran, dass deutsche Unternehmen so angreifbar geworden sind?
Natürlich entstehen durch die hohe Geschwindigkeit der Digitalisierung auch immer neue Möglichkeiten, ein Unternehmen anzugreifen. Dennoch können Firmen sich nicht dem digitalen Wandel versperren – dadurch würden sie an Wettbewerbsfähigkeit einbüßen. Schließlich bringt die Digitalisierung auch viele Vorteile wie schnellere Kommunikationswege oder die Steigerung der Produktivität durch eine bessere Auswertung von Daten.

Das müssen Unternehmen nach einem Störfall melden
Systematische Analyse
1 von 14

Seit Ende Juli 2015 sind Unternehmen, die kritische Infrastrukturen betreiben, dazu verpflichtet, Störungen in ihrer IT-Infrastruktur an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dieses sammelt die anonymisierten Berichte und wertet sie azs. Auf diese Weise, so heißt es in einem Fachartikel im Magazin „Markt und Mittelstand“, lassen sich etwa bundesweite Hacker-Angriffe systematisch analysieren, um später noch besser gegen solche Attacken gewappnet zu sein.

(Foto: Getty Images)
Nicht meldepflichtig
2 von 14

Doch was stellt überhaupt eine meldepflichtige Störung der IT-Infrastruktur dar? Das neue Gesetz hat drei Stufen definiert: Nicht meldepflichtig sind beispielsweise per Virenscanner abgefangener Spam oder Schadsoftware oder auch kleinere Ausfälle, die nach dem aktuellen Stand der Technik bewältigt werden können.

(Foto: Getty Images)
Meldepflichtig
3 von 14

Anders sieht es aber aus, wenn die IT-Technik über Sicherheitslücken überlistet wurde und dadurch Störungen, Schadprogramme oder außergewöhnliche technische Defekte auftraten – dann muss das BSI informiert werden.

(Foto: Getty Images)
Alarmstufe rot
4 von 14

Ist durch erhebliche Störungen gar die Funktionsfähigkeit der Dienstleistungen des Unternehmens bedroht, herrscht dringende Meldepflicht. Wer nicht handelt, riskiert im schlimmsten Fall ein Bußgeld in Höhe von bis zu 100.000 Euro.

(Foto: Getty Images)
Jeder kann fällig sein
5 von 14

Viele Mittelständler fühlten sich zunächst nicht angesprochen bei der Frage, wer Betreiber einer kritischen Infrastruktur ist. Ein Irrtum, so „Markt und Mittelstand“. Denn wer sich in einer Lieferkette befindet, kann plötzlich Zielscheibe von Wirtschaftsspionage mit allen Folgen für die firmeneigene IT-Sicherheit und die seiner Kunden werden.

(Foto: Getty Images)
Energie- und Trinkwasserversorger
6 von 14

Tatsächlich, so das Fachmagazin für mittelständische Unternehmen, ist der Kreis der betroffenen Unternehmen weit größer als die vom Gesetz definierten 2000 Betreiber kritischer Infrastrukturen wie Energie- oder Trinkwasserversorger.

(Foto: Getty Images)
Pflichtansage trifft auch kleinere Unternehmen
7 von 14

So müssen auch kleine und mittelständische Betriebe, die mit einem oder mehreren der folgenden Branchen zusammenarbeiten, IT-Sicherheitsvorfälle an das BSI melden
Energie: Stromversorgung, Versorgung mit Erdgas, Versorgung mit Mineralöl
Informationstechnik und Telekommunikation: Sprach- und Datenkommunikation, Verarbeitung und Speicherung von Daten
Transport und Verkehr: Transport von Gütern und Personen im Nah- und Fernbereich, Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik
Ernährung: Versorgung mit Lebensmitteln, Ernährungswirtschaft, Lebensmittelhandel
Finanz- und Versicherungswesen: Zahlungsverkehr, Bargeldversorgung, Kreditvergabe, Geld- und Devisenhandel, Wertpapier- und Derivatehandel, Versicherungsleistungen, Banken, Börsen, Versicherungen, Finanzdienstleister
Gesundheit: Medizinische Versorgung, Labore, Arzneimittel und Medizinprodukte
Wasser: Trinkwasserversorgung (öffentliche Wasserversorgung), Abwasserversorgung (öffentliche Abwasserbeseitigung)

(Foto: Getty Images)

Wo sehen Sie die größten Schwachstellen im Mittelstand?
Auch wenn viele Mittelständler es nicht wahr haben wollen: Häufig sind die eigenen Mitarbeiter die größte Schwachstelle – ob unbewusst wie beim Herunterladen von Schadsoftware oder mit Intention, etwa wenn Angestellte Unternehmensdaten auf private Datenträger kopieren.

Der eigene Arbeitsplatz steht auf dem Spiel

So wehren Sie Angriffe auf Ihr vernetztes Heim ab
Kinderspiel
1 von 15

Die vernetzte Videokamera im Kinderzimmer: für jedermann aus dem Internet erreichbar. Mehr als ein PC mit Internetzugang und ein wenig Wissen über spezialisierte Online-Suchmaschinen wie Shodan, Thingful oder Censys sind nicht nötig, schreibt die „Wirtschaftswoche“, und Heerscharen ungesicherter Webcams eröffnen genaue Einsichten in deutsche Kinderzimmer, Wohnstuben oder Gärten.

(Foto: dpa)
Wachstumsmarkt Heimvernetzung
2 von 15

Bis 2020 sollen sich die Umsätze für Smart-Home-Technik laut einer Prognose von Statista in Deutschland auf rund acht Milliarden Euro summieren – bei Wachstumsraten von 40 Prozent pro Jahr. Möglichkeiten, sich ins vernetzte Heim zu hacken, gibt es also mehr als genug. Das reicht von ungeschützten Smartphone-Apps über schlecht gesicherte Verbindungen zwischen Handy und Smart-Home-Zentrale bis zu Schwachstellen in den Onlineportalen der Anbieter.

(Foto: dpa)
Gefahr: Billigtechnik
3 von 15

Eine Nebenwirkung des Trends zum Internet der Dinge: die unfreiwillige Offenheit vieler Bundesbürger, die ihr Zuhause zunehmend vernetzen und ihre Häuser und Wohnungen immer häufiger mit Billigtechnik hochrüsten. Ein Risiko, denn gerade diese ist erschreckend oft, das hat ein Test der „Wirtschaftswoche“ ergeben, schlecht gegen Späher oder Hacker aus dem Netz gesichert.

(Foto: dpa)
Kaum IT-Erfahrung
4 von 15

So finden sich immer wieder Lücken bei der Verschlüsselung von Passwörtern, bei der Authentifizierung von Zugriffen über das Internet oder Manipulationsmöglichkeiten durch Angreifer von außen. Je billiger die Technik, desto mehr Menschen ohne große IT-Erfahrung schaffen sich so angreifbare Schwachstellen, weil sie kaum in der Lage sind, Webcams oder Temperatursensoren mit sicheren Passwörtern oder einer integrierten Firewall zu schützen.

(Foto: dpa)
Unter der Lupe
5 von 15

Für den Test der „Wirtschaftswoche“ haben Experten des internationalen IT-Sicherheitsdienstleisters SEC Consult mit Sitz in Wien die Systeme der wichtigsten Anbieter im deutschen Markt unter die Lupe genommen. Im Check: die Angebote von Devolo, Digitalstrom, eQ-3, Gigaset, RWE und die von der Deutschen Telekom betriebene Qivicon-Plattform. Die Ergebnisse im Überblick.

(Foto: obs)
Devolo Home Control
6 von 15

Konzept: Cloud-gestützte Plattform, die rund zehn unterschiedliche Mess- und Steuermodule per Funk vernetzt.
Preis: ab 220 Euro.
Beanstandung: Passwort in App bei Gebrauch unverschlüsselt. Wer vermeiden will, dass Finder oder Diebe des Smartphones das vernetzte Heim ausforschen, muss sich bei Devolo nach Gebrauch der App wieder ausloggen und das Handy mit einem Passwortschutz sichern. Auf Anfrage erklärte das Unternehmen gegenüber der „Wirtschaftswoche“, man überprüfe das Sicherheitskonzept, halte den Schutz aber schon jetzt für ausreichend.
(Quelle: PR)

digitalstrom_28_klein(1)
7 von 15

(Quelle: PR)

Wie lassen sich Mitarbeiter denn dafür sensibilisieren, dass sie die Sicherheitsmaßnahmen einhalten?
Unternehmen müssen Mitarbeitern die Gründe für bestimmte Maßnahmen erläutern und ihnen die Konsequenzen der leichtfertigen Nutzung veranschaulichen. Wenn ihnen bewusst wird, dass sogar der eigene Arbeitsplatz infolge eines hohen finanziellen Schadens durch einen Cyberangriff gefährdet sein kann, wird das Risiko viel greifbarer. Die Sensibilisierung von Mitarbeitern erfordert regelmäßige Wiederholungen. Nur so lässt sich das Thema IT-Sicherheit nachhaltig in ihrem Denken und Handeln verankern.

Was braucht es noch, um die Sicherheit im Unternehmen zu erhöhen?
Darüber hinaus müssten mehr interne Kontrollmaßnahmen in die Geschäftsprozesse implementiert werden. So kann etwa ein Vier-Augen-Prinzip im Programmfreigabeverfahren oder im Zahlungsverkehrsmanagement auch betriebswirtschaftlich helfen, Fehler im Prozess zeitnah aufzudecken. Beispielsweise sollten Änderungen an der ERP-Software grundsätzlich durch eine zweite Person und die betreffende Fachabteilung freigegeben werden. Anderenfalls drohen Programmmanipulationen, beispielsweise im Zahlungsverkehrsmanagement, nicht aufgedeckt zu werden.

Was fürchten Unternehmer nach einem Cyber-Angriff am meisten?
Viele Unternehmer fürchten vor allem den Diebstahl von unternehmensinternen Daten und Informationen zu Prozessen. Diese sind gerade bei Mittelständlern häufig ein gut gehütetes Geheimnis. Dass ein Cyber-Angriff auch das ganze Unternehmen stilllegen oder zu Problemen mit der Finanzverwaltung führen kann, ist vielen jedoch weniger bewusst.

IT-Sicherheit kostet Geld. Wie kann ich als Unternehmer mit wenig finanziellen Ressourcen Unterstützung bei der Absicherung meiner IT finden?
Auf technischer Ebene verringern bereits regelmäßige Updates des Virenschutzprogramms oder die Verschlüsselung von E-Mails das Risiko eines Cyberangriffs. Um trotz begrenzter finanzieller Ressourcen auch auf personeller Ebene für mehr IT-Sicherheit zu sorgen, können Unternehmer etwa leicht verständliche Sicherheitsrichtlinien zur Orientierung der Mitarbeiter erstellen und jeden neuen Angestellten eine Geheimhaltungspflicht unterzeichnen lassen – und eben durch prozessintegrierte Kontrollmaßnahmen insgesamt mehr Sicherheit in das Unternehmen bringen.

Produktionsstillstand, Reputationsschaden, Steuernachzahlung

So funktionieren professionelle Angriffe im Netz
Sensible Ziele
1 von 11

Strom- und Telekommunikationsnetze zählen zu den kritischen Infrastrukturen, die, so heißt es in einem aktuellen Bericht der VDI-Nachrichten, immer häufiger Ziel von Hackerattacken sind. Erst kürzlich ließ ein Vorfall in der Ukraine die Experten aufhorchen…

(Foto: obs)
Malware-Angriffe
2 von 11

So geht der große Stromausfall, der die Hälfte aller Haushalte in der Region um die Stadt Ivano-Frankivsk betraf, auf einen Malware-Angriff zurück. Die Schadsoftware gelangte dabei durch infizierte Makro-Funktionen in Microsoft-Office-Dokumenten in das Betreibernetz. Ein Angriff, der in die Geschichte eingeht - als erster Stromausfall, der durch eine Cyberattacke ausgelöst wurde.

(Foto: dapd)
Angreifer rüsten auf
3 von 11

Den Angreifern stehen immer stärkere Cyberwaffen zur Verfügung und neben Einrichtungen aus der Strom- und Telekommunikationsbranche werden, da sind sich Fachleute einig, auch Industrieanlagen künftig noch stärker zum Ziel werden.

(Foto: dpa)
Laxe Sicherheitsvorgaben
4 von 11

Marcel Mock, Mitgründer des Sicherheitsanbieters Totemo, kritisiert im Gespräch mit den VDI-Nachrichten, dass es den Betrieben grundsätzlich nach am Bewusstsein fehle, dass auch von Datenzugriffen innerhalb des Unternehmens Risiken ausgehen. Auch schwache Passwörter oder gemeinsam genutzte Accounts würden den Abfluss schützenswerter Daten in dunkle Kanäle begünstigen.

(Foto: dpa)
Unsichtbare Schadsoftware
5 von 11

Verstärkt setzen die Angreifer auf speicherresistente und dateilose Malware, um die Spuren, die sie in einem System hinterlassen, zu reduzieren. So wird Schadsoftware als Datei gar nicht mehr sichtbar und versucht, sich unlöschbar im Speicher festzusetzen - dagegen hat die Antivirus-Software kaum eine Chance.

(Foto: dpa)
Industrie 4.0
6 von 11

Große Gefahren sehen Experten in der wachsenden Automatisierung in der Industrie und der steigenden Vernetzung von Maschinen. So bemängelt beispielsweise der Tüv Rheinland, dass die in solchen Industrienetzwerken verwendeten Protokolle zwar robust, aber häufig nicht sicher seien. Dazu kommen Sicherheitsmängel der eingesetzten Sensoren - für die Industrie 4.0 könnte das, so die VDI-Nachrichten, zur Achillesferse werden.

(Foto: dpa)
Ransomware
7 von 11

Auch Ransomware, das erwarten Sicherheitsvorscher von Kaspersky, wird für das Internet der Dinge auftauchen. Dabei wird eine Schadware so installiert, dass ein Zugriff oder die Nutzung von Systemen nur mit einer Entschlüsselung oder einem Freigabecode möglich ist - dem folgen klassischerweise Lösegeldforderungen mit angedrohten Abschaltungen von Maschinen.

(Foto: dpa)

Mit welchen Folgekosten muss ich als Unternehmer rechnen, wenn ich Opfer einer Cyberattacke werde?
Eine Cyberattacke kann einem Unternehmen schnell einen Schaden von mehreren Millionen zufügen. Die Gründe dafür sind vielfältig: Erpressungen mittels einer manipulierten IT, Produktionsstillstand durch ein geschädigtes Rechenzentrum oder die Veröffentlichung von sensiblen Unternehmensdaten, die zum Reputationsschaden führt. Bekommt die Finanzverwaltung etwas von der Manipulation von Buchhaltungsdaten mit, drohen des Weiteren empfindliche Zuschätzungen durch die steuerliche Betriebsprüfung.

Welche Sicherheitsregeln sollten Chefs unbedingt beachten, um ihr Unternehmen gut gegen Internetkriminalität aufzustellen?
Chefs sollten nicht nur technische Maßnahmen wie die Implementierung einer Firewall oder die Installation von Backup-Systemen ergreifen. Auch die Planung von organisatorischen Maßnahmen bei IT-Störfällen und vor allem die Schulung eines jeden Mitarbeiters hinsichtlich sicherheitsrelevanter Themen sollten Unternehmen in die IT-Sicherheitsstrategie einbeziehen, um sich gut gegen Internetkriminalität aufzustellen. Bei mangelndem Fachwissen in bestimmten Bereichen, kann sich es sich auch lohnen, die Unterstützung eines externen Dienstleisters heranzuziehen.

Was entscheidet letztendlich über Erfolg oder Misserfolg von IT-Sicherheit im Unternehmen?
Wer seine IT erfolgreich absichern möchte, muss sämtliche Technologien, Arbeitsabläufe, Kommunikationswege und externe Schnittstellen eines Unternehmens einbeziehen. Dies ist kein einmaliges Projekt. Es gilt, die IT-Infrastruktur regelmäßig zu überprüfen und zu verbessern sowie das Know-how der Angestellten aufzubauen oder aufzufrischen.

Das sind die dümmsten Passwörter der Deutschen
Zu einfach!
1 von 12

Die Deutschen sind nicht sehr kreativ, wenn es um die Wahl ihrer Passwörter geht. Auch im zurückliegenden Jahr verließen sich viele auf simple Zahlenreihen. Damit gehen sie allerdings erhebliche Risiken ein...

(Foto: Photo by Victoria Heath on Unsplash)
Was ist kein sicheres Passwort?
2 von 12

Obwohl Daten- und Identitätsdiebstähle ständig Schlagzeilen machen, benutzen viele Internetnutzer weiterhin unsichere Passwörter. Das beliebteste Passwort der ist hierzulande laut dem Potsdamer Hasso-Plattner Institut „123456“. Die HPI-Forscher veröffentlichen jedes Jahr die meistgenutzten Passwörter der Deutschen – Datengrundlage sind rund 500.000 Zugangsdaten aus dem Datenbestand des HPI Identity Leak Checkers, die auf E-Mail-Adressen mit .de-Domäne registriert sind und zuletzt 2018 geleakt wurden.

(Foto: Photo by NeONBRAND on Unsplash)
Offene Türen
3 von 12

„Derart schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt. Sie sind geradezu eine Einladung zum Identitätsdiebstahl“, sagt HPI-Direktor Christoph Meinel, der daher bei der Nutzung von Passwörtern weiterhin digitalen Aufklärungsbedarf sieht. „Es gibt keinen 100-prozentigen Schutz vor Identitätsdiebstahl, aber es muss Kriminellen so schwer wie möglich gemacht werden, an das eigene Passwort zu gelangen.“

(Foto: Photo by imgix on Unsplash)
Jahreswechsel
4 von 12

Simple Zahlenfolgen

Unter den Passwörtern, die 2018 besonders häufig benutzt wurden, sind simple Zahlenreihen besonders häufig vertreten. Diese lassen sich besonders leicht knacken. Auf dem ersten Platz landet „123456“. Auch wenn die Länge variiert wird, hilft das nicht: Auf dem zweiten und dritten Platz finden sich „12345“ und „12345678“. „123456789“ landet auf Rang fünf. Dazwischen befindet sich ein nicht ganz so anständiger Ausrutscher...

(Foto: dpa)
Nicht anständig
5 von 12

Platz 4

... für das Passwort „ficken“.

(Foto: Photo by freestocks.org on Unsplash)
Nicht gerade kreativ
6 von 12

Buchstaben und Zahlen kombinieren

Für die Anforderungen an ein sicheres Passwort wird oft genannt, Buchstaben und Zahlen zu kombinieren. Die Passwörter hallo123“ und „hallo“ tun es aber nicht, sie landen auf Rang 6 und 7.

(Foto: Reuters)
Computerkriminalität
7 von 12

Einfache Zahlenfolgen – lieber nicht

Und noch eine beliebte Zahlenfolge, die Sie besser nicht verwenden sollten: „123“ liegt auf Platz 8.

(Foto: dpa)

Letzte Frage: Was muss die Politik tun, um den Mittelstand beim Thema Datenschutz zu unterstützen?
Die bestehenden Initiativen wie beispielsweise it-sicherheit-in-der-wirtschaft.de bieten dem Grunde nach schon viel Hilfestellung an. Doch agiert die Politik noch zu stark „im stillen Kämmerlein“. Das Thema muss in die Unternehmen aktiv hineingetragen werden. Denkbar wäre beispielsweise uns Wirtschaftsprüfern aufzutragen, ergänzend zur gesetzlichen Abschlussprüfung Prüfungshandlungen in Sachen IT-Sicherheit zu entfalten. Wir bieten das unseren Geschäftspartnern an – und erfahren zunehmend Zuspruch. Das IT-Sicherheitsgesetz greift insoweit jedenfalls zu kurz.

Herr Blum, ich danke Ihnen für das Interview.

Startseite

Mehr zu: IT-Sicherheit im Mittelstand - „Die eigenen Mitarbeiter sind die größte Schwachstelle“

Serviceangebote