Unterschätzte Gefahren können für Unternehmen existenzbedrohend sein

Ist das Thema Cybersicherheit für kleine und mittlere Betriebe relevant, oder sind die Ziele von Hackern nicht nur die großen DAX-Unternehmen, Regierungen und die kritische Infrastruktur eines Landes? Diese Frage stellte sich zu Beginn des Verbandstages, zu dem der BGI seine Mitglieder nach Oberhausen ins Haus der Grünen Verbände geladen hatte.

Dass die Realität anders aussieht, wurde mit jedem Vortragenden im Laufe des Vormittags deutlich. Das Ausspähen von Daten, Datenhehler und Datenfälschung sind an der Tagesordnung, und man benötigt nicht einmal große IT-Kenntnisse, um immensen Schaden anzurichten. Im Gegenzug verlangen Versicherungen und Kreditgeber von Unternehmen immer häufiger einen Nachweis für ein Risikomanagement in Sachen Datensicherheit.

Tür zu im Netz
Sebastian Barchniki, von Digital.sicher.NRW, dem Kompetenzzentrum für Cybersicherheit, beauftragt durch das NRW Wirtschaftsministerium, wies in seinem Einführungsvortrag darauf hin, dass bereits kleine Schritte wie beispielsweise regelmäßige Updates und eine 2-Faktor-Identifizierung, automatische Backups, Add ins gegen Werbung und die Nutzung von VPN-Clients die ersten Sicherheitslücken in kleinen und mittleren Betrieben schließen würden. Er wies darauf hin, dass der entscheidende Sicherheitsfaktor der Mensch sei und empfahl den Betrieben eine regelmäßige Schulung und Sensibilisierung der Mitarbeitenden in den Betrieben, als Grundstein für eine sichere Digitalisierung. Die Aktion „Tür zu im Netz“ steht den Betrieben für eine kostenlosen Erstberatung offen. Fehlende Investitionen in die Cybersicherheit seien „Cyberschulden“, und eine Nachsorge statt entsprechender Vorsorge könne immense Kosten verursachen, so Barchnicki.

Verantwortung für Daten
Beim Kriminalkommissariat Essen ist Jürgen Eick für den Bereich Cybercrime zuständig. Er berichtete anschaulich, dass Internetkriminalität ein Geschäftsmodell sei, sozusagen „Cybercrime as a service“, und diese Geschäfte professionell und mit neuesten technischen Mitteln wie künstlicher Intelligenz geführt und umgesetzt würden. Er schilderte eindrücklich Fälle bei denen über Crypto-Ransomware der Erpresser seinem Opfer den Zugriff auf die Unternehmensdaten versperrt. Nur in etwa 40 Prozent der Fälle würde nach Zahlung eines Lösegeldes wieder „befreit“. Firmen, die auf eine schnelle Datenverfügbarkeit angewiesen sind, würden dennoch häufig Lösegelder im 6 bis 7-stelligen Bereich bezahlen, um eine Insolvenz abzuwenden. Eick appellierte an die Inhaberinnen und Inhaber: „Sie sind verantwortlich für Ihre Daten, aber auch für die Daten Ihrer Kunden. Es ist Ihre Verantwortung, Ihre Firma, Ihr Ruf. Wenn Sie Sicherheit wollen, verabschieden Sie sich von der Bequemlichkeit“, so der Kriminalhauptkommissar.

Vermeiden von Investitionsstau
Auch Jürgen Wortmann von Digitalagentur Keepsmile Design konstatierte, dass Unternehmen Datenschutz und Compliance im Sinne der DSGVO manchmal auf die leichte Schulter nehmen und wies auf die Managerhaftung hin. Investitionen in Cybersicherheit dienen dem Schutz der Reputation, vor finanziellen Verlusten oder Datenverlust, erhöhen das Vertrauen von Kunden und Geschäftspartner und gewährleisten auch bei Sicherheitsvorfällen die Betriebskontinuität, so Wortmann. Er empfahl den Einsatz einer technischen Firewall und regelmäßige Investitionen in neue und sichere Hardware und Software. Darüber hinaus sollte häufiger geprüft werden, ob bereits Datenschutzverletzungen aufgetreten sind, denn oft befinde sich Schadsoftware schon lange auf den Unternehmensrechnern bis es zu einem Vorfall käme. Sicherheitsupdates, Mitarbeiterschulung und regelmäßige Backups sollten zum Pflichtprogramm in jedem Unternehmen gehören, regte der Experte an. Bei kleinen Unternehmen bis 50 Mitarbeitern könne am Anfang ein Cyber Risiko Check nach DIN Spec 27076 stehen. Dafür stünden in einigen Bundesländern Förderprogamme zur Verfügung.

 Kompetente Partner
Jan Peters von Alfa Pro IT sprach zum Abschluss über die Sicherheit der Systeme in der grünen Branche. Alfa Pro IT ist Anbieter von Software und E-Commerce Produkten von Point of Sale Kassensystem über den Webshop bis zum Verkauf. Die Software des Unternehmens für die Warenwirtschaft ist im Blumengroßhandel weit verbreitet, so war es für die Teilnehmer am BGI-Verbandstag interessant zu erfahren, welche Sicherheitsmaßnahmen Alfa Pro unternimmt, um die Systeme, das eigene Unternehmen und die Software zu schützen, um potenzielle Sicherheitsrisiken zu minimieren.

Die Teilnehmer des BGI-Verbandstages führten nach Abschluss der Vorträge noch viele Gespräche untereinander und mit den Referenten. Ein Teilnehmer betonte, man verlasse den Verbandstag mit dem Gefühl, dass man noch ein paar „Hausaufgaben“ in Sachen Cybersicherheit zu machen habe und man im Zuge der Digitalisierungsmaßnahmen im Betrieb die Risiken nun besser beurteilen und hoffentlich deutlich reduzieren könne.