Cyberattacken: Angriffe von außen abwehren
©Alex — stock.adobe.com

Cyberattacken: Angriffe von außen abwehren

Datenschutz und Datensicherheit sind auch für mittlere und kleinere mittelständische Unternehmen wichtig. Aber wie können sich Unternehmen gut vor Cyberattacken schützen und was müssen sie tun, wenn Cyberkriminelle sie angreifen?

Ihr Unternehmen ist äußerst innovativ? Sie haben mit einem besonderen Produkt eine Marktnische besetzt? Dann ist Ihr Geschäftsmodell nicht nur zukunftssicher – Sie sind auch ein beliebtes Ziel für Wirtschaftsspionage und Erpressungsversuche. Deutschen Unternehmen ist in den vergangenen zwei Jahren ein Gesamtschaden von über 223 Milliarden Euro entstanden, schätzt der IT-Branchenverband Bitkom. Sieben von zehn Unternehmen wurden bereits Opfer eines Datendiebstahls, eines Sabotageakts oder sogar von Spionage. Und das betrifft nicht nur Großunternehmen, auch kleine und mittelständische Betriebe sollten sich dringend schützen.

Wie wappne ich mich gegen Angriffe von außen?

Zunächst gilt es, Schwachstellen im eigenen Betrieb zu identifizieren. Worauf könnten es Cyberkriminelle abgesehen haben? Gibt es auf Servern und PC gespeichertes Firmen-Know-how oder vertrauliche Kundendaten, die Angreifer zu Geld machen können? Oder eignen sich die Daten, um Lösegeld zu erpressen?

Wer sein Unternehmen vor Hackerangriffen schützen will, muss dann entsprechende technische Maßnahmen ergreifen. „Gerade bei kleineren und mittleren mittelständischen Unternehmen gibt es immer noch einige, denen eine professionelle IT-Struktur fehlt“, sagt Andreas Bachmeier, Unternehmensberater bei Ecovis in Dingolfing. Dabei sind regelmäßige Updates der Systeme und Programme ebenso wichtig wie Virenschutzprogramme, Browserschutz, Firewalls und ein ordentliches Backup-System. Und auch organisatorische Abläufe sowie die Beziehungen zu Geschäftspartnern oder Lieferanten müssen Unternehmerinnen und Unternehmer durchleuchten.

Nicht am falschen Ende sparen

Die technische Datensicherheit ist also der erste Schritt im Schutz gegen Cyberangriffe. „Dazu sind Unternehmer verpflichtet“, betont Ecovis-Rechtsanwalt Axel Keller in Rostock. Und die Anforderungen an Unternehmen sind nicht zuletzt auch aufgrund der Datenschutzgrundverordnung, kurz DSGVO, erheblich gestiegen. „Datensicherheit und Datenschutz gehen hier Hand in Hand – Unternehmer sollten deshalb bei beiden nicht sparen. Wer hier nachlässig ist, für den wird es im Ernstfall richtig teuer“, warnt Keller.

Nicht nur müssen Betriebe im Fall des Falles etwa Datenbanken wieder komplett neu aufbauen. Die Kostenfalle lauert noch woanders, erklärt Keller: „Wenn Unternehmer gar nicht wissen, wie und welche Daten abhandengekommen sind, müssen beispielsweise teure IT-Forensiker herausfinden, welche Daten wie abgeflossen sind. Dazu kommen im Zweifelsfall anschließend die Kosten für die Information der Betroffenen sowie erhebliche Bußgelder und Schadenersatzforderungen.“ Bis zu vier Prozent des Jahresumsatzes können die Behörden als Bußgeld verhängen. Schadenersatzforderungen um die 5.000 Euro pro Geschädigten sind auch keine Seltenheit. Keller rechnet vor: „Bei 3.000 Datensätzen kommen so beispielsweise 15 Millionen Euro zusammen. Das dürfte für viele Unternehmen existenzbedrohend sein.“ Und Vorsicht: Das Oberlandesgericht (OLG) Dresden hat entschieden, dass Geschäftsführer auch persönlich für Datenschutzverstöße haften (Urteil vom 30. November 2021, 4 U 1158/21).

Die Mitarbeiter ins Boot holen

Nicht alle Angriffe erfolgen aber von außen. Smartphones, eingeschleuste Datenträger, etwa USB-Sticks oder SD-Speicherkarten, können ebenso zur Gefahr werden. Und auch unsichere oder leicht festzustellende WLAN-Passwörter oder Phishing-Mails sind ein gern genutztes Einfallstor für Cyberattacken. Erkennt der Empfänger die Phishing- Mail nicht und klickt in der E-Mail auf einen präparierten Link, lädt sich die Software unbemerkt auf den Computer. Dort fischt sie beispielsweise Bankkennwörter oder Ähnliches ab. Diejenigen, die auf diesem Weg Schadsoftware auf den PC installieren, sind sich oft gar nicht darüber im Klaren, welchen Schaden sie anrichten.

„Die Mitarbeiterinnen und Mitarbeiter gut zu schulen ist deshalb ganz essenziell“, betont Ecovis-Unternehmensberater Bachmeier, der auch selbst regelmäßige Datenschutzschulungen für seine Mandanten anbietet. „Nur wenn alle wachsam sind, lassen sich Gefahren minimieren.“

So können sich Unternehmen auch vor einer besonders perfiden Variante, die Kriminelle nutzen, schützen: dem „Social Engineering“. Dabei spionieren die Angreifer die Mitarbeiterinnen und Mitarbeiter aus und beeinflussen sie, vertrauliche Daten preiszugeben. Und das passiert, ohne dass es den Betreffenden überhaupt bewusst ist.

Datenzugriff im Unternehmen regeln

Und dann gibt es natürlich zudem die Gefahr, die von Mitarbeitern selbst ausgeht. Rechtsanwalt Keller rät deshalb auch hier zur Vorsicht: „Achten Sie darauf, dass nur diejenigen Zugriff auf Unternehmensdaten bekommen, die diese auch wirklich für ihre Arbeit brauchen. Jemand, der am Empfang arbeitet, braucht beispielsweise meist keinen Zugriff auf Buchhaltungsdaten“, sagt Keller. Zusätzliche Zugriffsprotokolle lassen unerwünschte Dateneinsichten außerdem schnell erkennen.

Sieben Tipps für mehr Datensicherheit und Datenschutz im Betrieb

  1. Achten Sie darauf, dass Sie keine Newsletter mit einem offenen E-Mail-Verteiler an Ihre Kunden verschicken.
  2. Minimieren Sie den Einsatz von USB-Sticks oder anderen Datenträgern in Ihrem Unternehmen.
  3. Schützen Sie Ihre Daten auch intern mithilfe von Zugriffsberechtigungen. Kaum ein Mitarbeiter muss auf alle Daten zugreifen können.
  4. Verpflichten Sie alle Mitarbeitenden zu regelmäßigen Datenschutzschulungen.
  5. Erarbeiten Sie gemeinsam mit Ihrem Datenschutzbeauftragten und Ihrem IT-Dienstleister einen Notfallplan, den auch Ihre Mitarbeitenden kennen.
  6. Sorgen Sie für Zugriffsprotokolle. So können Sie im Fall des Falles erkennen, was passiert ist.
  7. Installieren Sie eine tragfähige Backup-Struktur.

Tipp

Erfahren Sie mehr über die Wege und die Schadsoftware, die Cyberangreifer nutzen, um in Ihr Unternehmen zu gelangen: https://de.ecovis.com/aktuelles/cyberangriff-durch-welche-tueren-die-angreifer-kommen

Ansprechpartner

Axel Keller
Rechtsanwalt in Rostock
Tel.: +49 381 12 88 49 0
Andreas Bachmeier
Unternehmensberater in Dingolfing, Nürnberg, München
Tel.: +49 8731-7596-0

Berater in Ihrer Region gesucht?

Beratersuche
X