Glauben Sie das auch?
„Mein Unternehmen ist für Hacker nicht interessant genug.“, „Bei uns gibt es nichts zu holen.“: Es sind Klassiker, die Ansgar Licher, Geschäftsführer bei LWsystems, regelmäßig hört. Obwohl Cyberkriminalität und IT-Sicherheit insbesondere durch die Digitalisierung keine Fremdwörter mehr sind, halten sich einige Irrtümer hartnäckig – und stürzen ein Unternehmen im schlimmsten Fall in den Ruin. Damit Ihnen das nicht passiert, enttarnt der IT-Experte die fünf häufigsten Mythen:
1.
Firewall, Virenschutz, Software-Update: Unser Unternehmen ist bestens gerüstet.
Ansgar Licher: „Die digitalen Schutzstrategien können noch so ausgeklügelt sein: Das größte Einfallstor für Cyberkriminelle ist und bleibt der Mensch. Und dessen sind sich die Hacker bewusst! Kein Wunder also, dass Social Engineering und Phishing neben dem Versenden von Schadsoftware zu den beliebtesten Methoden zählt, um ein Unternehmen zu infiltrieren.
Das zeigen auch die Zahlen: Die Anzahl der Phishing-Attacken sind von 18 Prozent im Jahr 2021 auf 31 Prozent in 2023 gestiegen, ergab eine Untersuchung . Doch die „Schwachstelle Mensch“ können die IT-Profis Ihrer Firma nicht allein beheben. Dafür braucht es die gesamte Mannschaft.
Das bedeutet: Team-Schulungen zur IT-Sicherheit, um das Bewusstsein aller zu schärfen, wie Hacker versuchen, sich über Mitarbeiter Zutritt zu verschaffen. Ansonsten sind die teuersten Cybersecurity-Maßnahmen häufig nutzlos.“
2.
IT-Sicherheits-Schulungen? Unsinnig! Man kann nicht gegen alle Gefahren „antrainieren“.
Ansgar Licher: „Ein Kunde hatte vor einigen Jahren sein gesamtes Unternehmen von uns schulen lassen. Weil es über die Jahre allerhand Personalzuwachs aber auch -wechsel gab, buchte er die IT-Sicherheitsschulung erneut. Dabei stellten wir fest: Die Mitarbeiter, die schon einmal teilgenommen hatten, waren nach Jahren immer noch sensibilisiert für Cybergefahren. Diese Aufmerksamkeit ist der größte Schutz.
Man muss nicht jede mögliche Attacke im Detail kennen, sondern bewusst mit Medien umgehen und wissen, worauf zu achten ist. Das hebt die Sicherheit auf ein anderes Level! LWsystems schult übrigens auch blockweise – vom einzelnen Mitarbeiter, über Abteilungen, Teams bis hin zu ganzen Unternehmen –, bietet eine Grundschulung plus jährliche Updates an oder Stresstest-Optionen wie die Simulation von Phishing-Angriffen.
Das heißt: Wir stimmen die Inhalte immer auf die individuellen Bedürfnisse und Herausforderungen ab.“
3.
Cyber-Kriminelle attackieren nur große Unternehmen. Uns trifft das nicht.
Ansgar Licher: „Dieser Irrtum hält sich hartnackig und macht Cyberkriminelle seit vielen Jahren reich. Erst im Mai 2024 hat das Bundeskriminalamt erneut davor gewarnt, dass nicht nur finanzstarke Firmen zur Zielscheibe werden, sondern auch leicht verwundbare kleine und mittelständische Unternehmen stark betroffen sind. Das verarbeitende Gewerbe war, laut BKA, im Jahr 2023 die mit am stärksten von Ransomware- bzw. Double Extortion-Angriffen betroffene Branche.
Meine Erfahrung zeigt: Es geht für Unternehmen nicht mehr darum, ob sie angegriffen werden, sondern wann. Die Hacker attackieren automatisiert massenhaft KMU, bis sie eine Schwachstelle finden. Immer und immer wieder – Kleinvieh macht auch Mist! Dieses Vorgehen ist eventuell sogar ertragreicher und risikoärmer als beispielsweise große Unternehmen wie die Lufthansa anzugreifen.“
Ein Beispiel aus dem Jahr 2022:
Eine mit Schadsoftware infizierte E-Mail konnte einen 3000 Mitarbeiter starken Energiekonzern aus Hannover infiltrieren. Anschließend verschlüsselten die Täter die Daten kritischer IT-Systeme – und verlangten Lösegeld. Die CEO entschied, das Geld nicht zu zahlen (s. Interview mit CEO zum Thema).
Die Auswirkungen der Ransomware-Attacke: keine funktionierende IT, wochenlang kein Kundenkontakt, Probleme beim Handel an der Strombörse.
Schadenssumme: 20 Millionen Euro – und fünf Monate Aufwand, bis der Energieversorger alle Systeme wieder hergestellt hatte.
4.
IT-Sicherheits-Schulungen sind zu teuer. Das können wir uns nicht leisten.
Ansgar Licher: „Die Zahlen entlarven diesen Mythos sehr schnell! Eine IT-Sicherheitsschulung bei LWsystems von vier Stunden Dauer für circa 20 Personen kostet 400 Euro plus Mehrwertsteuer. Die Gesamtschäden aus Cyberattacken betrugen vergangenes Jahr mehr als 148 Milliarden Euro, gab der Branchenverband Bitkom bekannt.
Allein 16,1 Milliarden Euro machen dabei die Erpressung mit gestohlenen oder verschlüsselten Daten aus – was übrigens einem Anstieg von 50,5 Prozent entspricht. Wird Ihr Unternehmen erfolgreich angegriffen, kommen Aufwände und Kosten auf Sie zu wie:
- Arbeitsausfall
- Verdienstausfall
- Produktionsausfall
- Anwaltskosten
- Lösegeldzahlungen
- Reparatur der IT-Infrastruktur (Server retten bzw. neu aufsetzen)
- Unabsehbare Folgekosten.“
5.
KI verändert zwar den Berufsalltag, spielt für die IT-Sicherheit aber kaum eine Rolle.
Ansgar Licher: „Das Gegenteil ist der Fall: Durch Künstliche Intelligenz erhöht sich die Bedrohungslage für Unternehmen enorm. Erst kürzlich transferierte ein Hongkonger Mitarbeiter des britischen Ingenieur- und Designunternehmens Arup rund 23 Millionen Euro, weil er sich in einer Videokonferenz mit dem britischen CFO wähnte, der dies vermeintlich anordnete. In Wirklichkeit kommunizierte der Mitarbeiter mit einer durch KI erzeugten Deepfake-Version, basierend auf Audio- und Videomaterial des echten CFO.
Das hört sich nach Science-Fiction an? Ich habe versuchshalber eine KI mit Audiomaterial von Joe Biden gefüttertund die KI anschließend unterschiedliche Texte aufsagen lassen – das Ergebnis klang erschreckend echt. Und KI kann noch mehr: Sie formuliert und versendet in hoher Anzahl perfekt klingende Phishing-Mails, programmiert Codes für Schadsoftware, usw. Daher ist es enorm wichtig, seine Mitarbeiter auf diese Bedrohungen vorzubereiten.“