HINTERGRUNDBEITRAG
Cyberangriffe im Unternehmen abwehren.
Die fortschreitende Digitalisierung bietet Unternehmen wichtige neue Möglichkeiten, verschiebt allerdings auch die Risikolage. Kriminellen eröffnen sich zahlreiche Angriffspunkte und vor allem Familienunternehmen sind ein attraktives Ziel. Mit einem geeigneten Plan und vorausschauendem Handeln behalten Verantwortliche in KMUs die Fäden in der Hand.
Interessant für Sie, wenn...
Sie ein mittelständisches Unternehmen führen
Sie Digitalisierungsprojekte planen oder diese in Ihrem Betrieb vorantreiben
Sie sich mit den Chancen und Risiken der Digitalisierung beschäftigen
Zunehmende Digitalisierung des Mittelstands.
Die Digitalisierung gilt als wesentlicher Treiber für Innovationen, Wettbewerbsfähigkeit und Wachstum auf Unternehmens- wie auf gesamtwirtschaftlicher Ebene. Mit ihr werden Chancen für die Erschließung neuer Wertschöpfungspotenziale sowie die Steigerung der Wettbewerbsfähigkeit in breiten Teilen der Wirtschaft verbunden. Dass es zukünftig kaum möglich sein wird, neue Wertschöpfungspotenziale zu erschließen oder die bestehenden deutschen Wettbewerbsvorteile zu behaupten, wenn nicht adäquate Fähigkeiten im Bereich digitaler Technologien (weiter-)entwickelt werden, unterstreicht der „KfW-Digitalisierungsbericht Mittelstand 2022“.
Die aktuelle Studie attestiert Deutschland kontinuierlich rege Digitalisierungsaktivitäten. Der Anteil mittelständischer Unternehmen mit abgeschlossenen Digitalisierungsvorhaben liegt seit Jahren zwischen 30 und 40 Prozent. Gleichzeitig haben im Mittelstand die Ausgaben für Digitalisierungsprojekte deutlich zugenommen. Steigerungen der durchschnittlich investierten Mittel zeigen sich in jeder Unternehmensgrößenklasse, der größte Schub gehe vor allem von größeren Mittelständlern und Vorreiterunternehmen aus.
Gefahren durch Digitalisierung.
Auf dem Weg der Digitalisierung trifft die deutsche Volkswirtschaft jedoch auf eine rasant wachsende Zahl an Cyberangriffen. Laut einer aktuellen Umfrage des IT-Branchenverbandes Bitkom wurden im vergangenen Jahr 84 Prozent aller befragten Unternehmen in Deutschland Opfer eines Cyberangriffs. Der Verband beziffert die volkswirtschaftlichen Schäden auf insgesamt 203 Milliarden Euro, eine von Jahr zu Jahr steigende Zahl. Gemäß Allianz Risk Barometer 2022 werden Cybergefahren von Unternehmen weltweit als das größte Geschäftsrisiko eingestuft, noch vor Betriebsunterbrechungen und Naturkatastrophen. Digitalisierungsprozesse und die diesbezüglich immer intensivere Vernetzung der Wirtschaft gehen einher mit größeren Angriffsoberflächen. Wenn Unternehmen ihr Geschäftsmodell digitalisieren, bieten sie auch verstärkt Ansatzpunkte für Cyberkriminelle.
Und das nicht erst seit der Pandemie: Wie aus einer Sonderauswertung des KfW-Mittelstandspanels hervorgeht, sind in den Jahren 2018 bis 2020 bereits drei von zehn mittelständischen Unternehmen in Deutschland von Attacken aus dem Netz betroffen gewesen. Nach einer erfolgreichen Cyberattacke erhöht die Mehrheit der Unternehmen den Einsatz für einen besseren Schutz. Mehr als die Hälfte der in den vergangenen zwölf Monaten Betroffenen hat nach Angaben der TÜV Cybersecurity-Studie 2023 zusätzliche Maßnahmen für die IT-Sicherheit ergriffen, weitere 15 Prozent planen dies.
Cyberversicherung: Auf Details achten.
Grundsätzlich ist kein Unternehmen Cyberbedrohungen machtlos ausgeliefert. Der Löwenanteil der Angriffe lasse sich bereits durch das Einspielen von wichtigen Updates und Sicherheitspatches sowie ein entsprechendes Bewusstsein der Mitarbeiterinnen und Mitarbeitern verhindern, zitiert die Studie „Cybersicherheit in Familienunternehmen“ der Wirtschaftsberatung PWC den Leiter des Fraunhofer Instituts für Sichere Informationstechnologie, Michael Waidner.
Auf eine Cyberversicherung, die im Angriffsfall den durch Betriebsunterbrechung und Systemwiederherstellung entstandenen Schaden reguliert, solle man sich dagegen nicht verlassen, auch wenn sich Versicherungen im Jahresbudget einplanen lassen. Dazu komme, dass sich Assekuranzen nur dann auf Verträge einlassen, wenn Unternehmen alle Möglichkeiten ausschöpfen, sich vor Cyberangriffen zu schützen. Dazu zählen das Managementsystem zur Informationssicherheit des Unternehmens genauso wie konkrete Sicherheitsmaßnahmen, zum Beispiel Offline-Datensicherungen oder Cloud-Back-up-Lösungen, der Schutz sensibler Daten, Firewall-Strukturen sowie die Absicherung der Fernzugriffsmöglichkeiten auf IT- Systeme und Cloud-Dienste.
Neben dem häufig schwierigen Zugang zu entsprechenden Versicherungsangeboten für kleine und mittlere Unternehmen sind vielen Kleinbetrieben ihre Schutzziele gar nicht bewusst, heißt es beim Deutschen Mittelstands-Bund (DMB) e.V.: „Sie haben bislang nicht durchgespielt, wie ihr Worst-Case-Szenario aussehen könnte und gegen welches Restrisiko sie sich idealerweise versichern sollten. Daher fällt es ihnen schwer, eine geeignete Police aus dem großen Angebot zu selektieren. Erschwerend hinzu kommen schwammige Formulierungen in den Versicherungsbedingungen. Häufig wird eine Notfallhilfe bei einer Cyberattacke in Aussicht gestellt, aber wo sie ansetzt und wie weit sie geht, bleibt unklar“.
Die Familie als potentielle Schwachstelle.
Vielen Familienunternehmen mit ihrem erhöhten Reputationsrisiko ist es besonders wichtig, in Cybersicherheit zu investieren, zumal der Familienverbund den Kriminellen zusätzliche Möglichkeiten eröffnet, um ins Unternehmen einzudringen oder aber die Familienmitglieder selbst gefährdet, wie die Studie von PwC weiter ausführt. Etwa wenn diese im privaten Umfeld die gleichen Passwörter verwenden wie im Unternehmen oder innerhalb der Familie sensible Daten über Chat-Gruppen ausgetauscht werden. Ein besonderes Risiko besteht zudem, wenn Aufenthaltsort und Reisepläne von Familienmitgliedern bekannt werden.
Auch für so genannte Social-Engineering-Angriffe gelten Familienunternehmen als besonders anfällig. Hierbei werden Mitarbeiterinnen und Mitarbeiter bzw. Familienmitglieder als vermeintlich schwächste Glieder in der Sicherheitskette ausgenutzt und manipuliert. Beim sogenannten „Cheftrick“ zum Beispiel geben sich Hacker als ein Vorstands- oder Familienmitglied aus und veranlassen eine dringende Überweisung durch einen Mitarbeiterinnen und Mitarbeitern oder ein anderes Familienmitglied.
Weiterentwicklungen im Bereich Künstliche Intelligenz / Deep-Fake erleichtern solche Angriffe zusätzlich, da sich zum Beispiel die Stimme einer bestimmten Person leicht fälschen lässt. Häufig schrecken Unternehmerfamilien davor zurück, der firmeneigenen IT-Abteilung einen Zugriff auf intime Informationen aus dem Familienkreis zu gewähren und wählen für den Betrieb ihrer digitalen Kommunikations- und Kollaborationsplattformen andere, weniger geschützte Anbieter - nicht ohne Risiko.
Strengere Regelungen für Cybersecurity gewünscht.
Nicht zuletzt haben die Unternehmen hohe Erwartungen an den Gesetzgeber – eine deutliche Mehrheit wünscht sich strengere Vorgaben für Cybersecurity in der Wirtschaft. Laut TÜV Cybersecurity-Studie 2023 sprechen sich zwei Drittel der Befragten für konkrete Normen und Standards im Bereich Cybersecurity aus. Sie würden IT-Sicherheitsverantwortlichen helfen, das Bewusstsein für das Thema in der Geschäftsleitung zu schärfen und höhere Sicherheitsstandards in ihren Unternehmen umzusetzen.
Bestens beraten.
Wenn es um IT-Sicherheit geht, können Sie im Bereich Finanzen und Vermögensanlage auf Ihre Sparkasse zählen. Die digitale Kommunikation und das Online-Banking entsprechen höchsten technischen Standards und neusten Sicherheitsvorkehrungen. Bei Fragen sprechen Sie Ihre Private Banking-Beraterin oder Ihren Private Banking-Berater an.
Mehr Cybersicherheit durch technische und organisatorische Prävention.
Eine große Mehrheit der Unternehmen hat die Bedeutung der Cybersicherheit erkannt und sieht sie als essenziell für ihr Geschäft. Cybersecurity ist für viele ein Wettbewerbsvorteil geworden und wird von Kunden und Partnern eingefordert. Dabei wird deutlich: IT-Sicherheit ist heute nicht nur für die IT-Abteilungen relevant, sondern auch für das Top-Management.
Cybersicherheit als Zyklus lässt sich in vier Phasen einteilen:
- Präventive Abwehr von Cyberangriffen (Protect)
- Erkennung von Attacken (Detect)
- Unmittelbare Reaktion und Abwehr des Angriffs (Response)
- Wiederherstellung des ursprünglichen Zustandes samt notwendiger Verbesserungen (Recover)
Den höchsten zusätzlichen Einsatz wollen Unternehmen beim präventiven Schutz leisten, damit es erst gar nicht zu einem erfolgreichen Angriff kommt: Fast die Hälfte will hier nach TÜV-Angaben künftig investieren (45 Prozent).
Beispielhafte Maßnahmen im Bereich der Prävention.
Technisch:
- Nutzung von Privileged Access Management (PAM), also den privilegierten Zugriff auf Infrastrukturen und Anwendungen
- Sicherung der Netzwerke etwa durch VPN-Zugänge und Nutzung von Mail Proxies als Verstärkung der E-Mail-Sicherheit
- Einsatz einer hohen Passwortkomplexität bzw. Zwei-Faktor-Authentifizierung
- Einsatz mehrerer Sicherheitsebenen
- Trennung unterschiedlicher Admin-Netze (VLANs) und Zugänge
- Physisch separate Sicherung von Backups und Übung von Wiederherstellungen
Organisatorisch:
- Definition und Bekanntmachung der kritischen Kernprozesse im Unternehmen
- Definition und Übung von „Papier/Bleistift-Prozessen“ → Das Geschäft muss im Ernstfall auch ohne IT funktionieren können
- Vorbereitung einer Fallback-Lösung zur „Office-Ebene“, gegebenenfalls auch mit einer separaten Plattform (z.B. Google Suite)
Aufwändige Praxis-Tests spielen ebenfalls eine wichtige Rolle. Bei so genannten „Penetrationstests“ greifen beauftragte IT-Experten auf der Suche nach potenziellen Schwachstellen die Infrastruktur eines Unternehmen an. In Notfallübungen werden dann die Abläufe im Fall eines IT-Angriffs durchgespielt. Immer mehr Unternehmen führen für die IT-Sicherheit relevante Zertifizierungen ein. Auch während einer Zertifizierung kommt es darauf an, Know-how im IT-Sicherheitsbereich aufzubauen und entsprechende Strukturen und Prozesse einzuführen oder zu verbessern.
Quellen: TÜV, PwC
Wichtige Hinweise und ergänzende Informationen für Webseitenbesucher
DekaBank Deutsche Girozentrale
Diese Inhalte können eine individuelle Beratung des Empfängers (z. B. durch eine Bank oder einen Berater) nicht ersetzen.
Teilweise werden in diesem Artikel Meinungsaussagen getroffen. Die verwendeten Daten stammen teilweise aus Drittquellen, die die DekaBank nach bestem Wissen als vertrauenswürdig erachtet. Die DekaBank übernimmt jedoch keine Gewähr für die Vollständigkeit, Aktualität und Richtigkeit der in diesem Artikel gemachten Angaben und haftet nicht für etwaige Schäden oder Aufwendungen, die aus einem Vertrauen auf die Vollständigkeit, Aktualität und Richtigkeit der aus Drittquellen stammenden Daten resultiert.
Anlagelösungen, die Sie interessieren könnten
So individuell wie Ihr Vermögen.
Bestens beraten.
Inhalte, die Sie auch interessieren könnten
Themen, die Sie auch interessieren könnten
Erstklassig informiert, besser entscheiden.
Wir informieren Sie gerne regelmäßig über die Entwicklungen an Kapitalmärkten und diskutieren relevante Fragestellungen.
Folgen Sie uns auf LinkedIn
Verpassen Sie keine Neuigkeiten und folgen Sie unserem
Mehr Komfort.