Die Facebook Live Veranstaltung, die auch über Youtube gesendet wurde begann um 15.00 Uhr mit der Begrüßung durch Johannes Wiggen, der als Referent für Cybersicherheit in der Hauptabteilung Analyse und Beratung der Konrad-Adenauer-Stiftung tätig ist. Dieser begrüßte die Zuschauer und führte in das Thema ein. Zudem stellte er die zwei ausgewiesenen Experten vor, mit denen er das Gespräch führte; Manuel Bach, Referatsleiter für Cyber-Sicherheit für Kleine- und Mittelständige Unternehmen (KMU) beim Bundesamt für Sicherheit in der Informationstechnik (BSI), sowie Max Tarantik von Business Development Enginsight GmbH in Jena.
Den Einstieg in das Thema begann Johannes Wiggen dann direkt mit der Frage an Manuel Bach, wie denn die Bedrohungslage für Angriffe auf die IT von Unternehmen in Deutschland liege. Bach antwortete, dass die Lage durchaus bedrohlich sei, gerade für kleine und mittelständige Unternehmen, da diese aufgrund ihrer Größe meist nicht das nötige „Know How“ mitbringen.
Max Tanratik schloss sich an diese Einschätzung an und präzisierte nochmals die Unterschiede zwischen großen Unternehmen und KMUs. Gerade bei den KMUs wäre eine IT-Abteilung häufig mit maximal zwei Arbeitnehmern besetzt und damit viel zu unterbesetzt für die modernen Herausforderungen in der IT-Welt. Viele KMUs greifen daher auf externe Dienstleister zurück. Es bestehe jedoch auch dabei das Problem, dass das Management dieser Firmen noch einem Lerneffekt unterliegt. Viel zu häufig würden die Gefahren nicht ernst genommen, da man selbst noch nicht betroffen war, und daher nicht genug Ressourcen für die IT-Sicherheit zur Verfügung gestellt.
Allerdings gibt es auch Ähnlichkeiten zwischen KMUs und großen Unternehmen. Denn im Durchschnitt würde es ca. 200 Tage dauern bis ein Unternehmen bemerkt, dass es angegriffen wird, ganz egal ob es sich um ein großes Unternehmen oder ein KMU handelt.
Auf die Frage an Manuel Bach, was das BSI tut um KMUs bei ihrer IT-Sicherheit zu unterstützen wird erwähnt, dass das BSI in erster Linie in der Aufklärung und der Beratung tätig ist. Mit diesen Mitteln könnte man in den allermeisten Fällen schon die größten Sicherheitslücken in der Unternehmens-IT schließen. Bis zu 70% der Hackerangriffe auf KMUs in Deutschland ließen sich durch ein regelmäßiges Updaten des Betriebssystems verhindern. Weitere Maßnahmen für die verbesserte Sicherheit lägen dann in der Beratung zur Passwortsicherheit, sowie der Deaktivierung von Makros begründet. Informationen hierzu sind auf der Webseite des BSIs zu finden.
Fakt ist aber, dass es irgendwann immer einen erwischen wird. Das liegt häufig daran, dass Unternehmen nicht gezielt angegriffen werden, sondern allgemeine Lücken genutzt werden und diese dann auch das Unternehmen treffen. Wenn man dies aber jetzt schon wisse, dann müsse man sich vorbereiten um die Schäden im Falle eines Angriffes so gering wie möglich zu halten. Grundpfeiler einer solchen Vorbereitung sei eine gute „Back-Up“-Strategie bei der man die wichtigen Daten des Unternehmens regelmäßig auf externen, offline verfügbaren Speicher kopiert. So kann man sich einen „Notfallplan“ erstellen, bei dem das BSI auch auf Ihrer Webseite Hilfestellung leistet.
Des Weiteren kann man, wenn es das eigene Unternehmen getroffen hat, diesen Vorfall auch direkt ans BSI melden und bekommt dann vom BSI Hilfestellung. Dies kann bei Unternehmen der kritischen Infrastruktur entweder durch einen direkten Besuch des BSIs erfolgen, oder durch die Weiterleitung von IT-Dienstleistern, von denen das BSI weiß, dass sie in diesem Fall der richtige Ansprechpartner sind.
Tarantik ergänzt, dass man zusätzlich verstehen muss, wie das eigene System funktioniert. Dazu können Stresstests dienen, bei denen man aktiv nach Schwachstellen in seinem System suchen lässt um diese dann auszubessern. Wenn die eigene IT-Sicherheit viel höher ist, als die des Nachbarn, dann würde man schnell uninteressant für Angriffe.
Auch Ehrlichkeit der IT Mitarbeiter sei wichtig, weil man nicht verheimlichen dürfe, wenn es Probleme gibt.
Aber wie sieht es im Extremfall aus? Wenn ein Hacker Lösegeld für die Freigabe der eigenen Daten verlangt, so soll man dies auf keinen Fall zahlen, so Tarantik. Damit würde man zum einem nur das System der Hacker unterstützen und zum anderen sei niemals gewährleistet, dass der Hacker nicht einige Wochen später zurückkehrt und wieder Lösegeld verlangt. Bach schließt sich dieser Einschätzung an. Viel zu häufig werden Daten bereits von Hacker veröffentlicht oder verkauft bevor die Lösegeldforderung auftaucht. Daher sei es auch nicht mehr logisch zu zahlen um den Angriff öffentlich zu verschweigen, da dies immer öffentlich wird. Die beste und sicherste Option seien hier die Back-Ups der eigenen Dateien, dann könne man auf solche Lösegeldforderungen gelassen reagieren, da die eigenen Daten immer aktuell gesichert sind.
Die Coronapandemie hat seit 2 Jahren das Land im Griff und hat auch das Gespür der Bevölkerung in Cybersicherheit geändert. Durch das vermehrte Homeoffice nahmen die KMUs zunächst Investitionen in die Hardware zu, um Homeoffice überhaupt zu ermöglichen. In die Cybersecurity wurde hingegen leider weniger investiert. Meist gehen Unternehmen erst dann auf das Thema ein, wenn sie selbst, ein Nachbar, oder jemand aus der Branche betroffen war. Das BSI hat in dieser Zeit zunächst vor allem die Branchenverbände und die Kammern beraten. Erfreulich war, dass diese dann relativ schnell reagierten und die Informationen weitergaben. Leider, so Herr Bach, hat der einfache Handwerksbetrieb meist einfach nicht die Zeit sich um IT Sicherheit zu kümmern.
Wiggen fragt die Referenten zum Abschluss, was diese sich von der Politik oder der Gesellschaft wünschen, um die IT-Sicherheit in Deutschland zu stärken. Tarantik wünscht sich in erster Linie mehr Ansprechpartner auf kommunaler oder regionaler Ebene, die sich gezielter mit den Unternehmen in Ihrer Region auseinandersetzen können und denen die Unternehmen vor Ort auch mit mehr Vertrauen gegenüberstehen würden, als gegenüber einer großen bundesweiten Institution wie dem BSI. Hier könnten vor allem die IHKs eine gute Anlaufstelle sein. Des Weiteren spricht er sich auch für eine gesetzliche Verpflichtung der Unternehmen zu einem Mindestmaß an IT-Sicherheit aus. Bach wünscht sich, dass das Thema IT-Sicherheit zur „Chef-Sache“ deklariert wird. Denn nur wenn der Chef eines KMUs weiß wie sein IT-System funktioniert, wo die Schwächen sind und wo man nachbessern muss, kann er dann auch adäquat reagieren und die richtigen Entscheidungen für sein Unternehmen treffen. Wenn dies mit den einfachen Maßnahmen, die heute vorgestellt wurden, verbunden wird, dann wären die KMUs in Deutschland in der IT-Sicherheit um ein vielfaches sicherer.
Cybersicherheit als Wettbewerbsvorteil für Kleine und Mittlere Unternehmen
KAS, YouTube