• aktualisiert:

    Würzburg

    IT-Angriffe: Experten zeigen, auf was Firmen achten sollten

    Internetkriminalität richtet alljährlich in Deutschland einen Milliardenschaden an (Symbolbild). In Unternehmen ist das ein Top-Thema geworden. Foto: Karl-Josef Hildenbrand, dpa

    Fast niemand bleibt verschont: Zwei von drei Unternehmen in Deutschland waren nach Angaben des Fachverbandes Bitkom innerhalb eines Jahres einem IT-Angriff ausgesetzt – mit zum Teil verheerenden Folgen. Das Thema hat schon deshalb Sprengstoff, weil gerade der Mittelstand bei der IT-Sicherheit großen Nachholbedarf habe, sagen Experten.

    Mainfrankens Wirtschaft hat viel Mittelstand. Deshalb kommt dem Kampf gegen Cyberkriminelle hier besondere Bedeutung zu. Beim "IT-Sicherheitsforum" Mitte November in Schweinfurt werden unter anderem Axel Winkelmann und Fabian Gwinner von der Universität Würzburg über das Thema reden. Vorab schildern sie im Interview, auf was es bei der IT-Sicherheit ankommt, was im schlimmsten Fall passieren kann und dass der Feind mitunter auch in den eigenen Reihen sitzt.

    Angriffe auf die Informationstechnologie können für Unternehmen existenzbedrohend sein. Gerade Mittelständler sollten sich da mehr wappnen, meinen Axel Winkelmann (rechts) und Fabian Gwinner von der Universität Würzburg - hier mit Mini-Computern, die ebenfalls anfällig sind für Cyberkriminalität. Foto: Johannes Kiefer

    Frage:  Warum gehen Mittelständler so schlampig mit ihrer IT-Sicherheit um?

    Axel Winkelmann: Schlampig, das würde ich gar nicht sagen. Es ist natürlich so, dass ein Mittelständler nur begrenzt Personalkapazität zur Verfügung hat und sich sehr genau fokussieren muss. Dabei fallen Themen, die vermeintlich mal keine Wertschöpfung bringen, hinten runter.

    Das hört man in der Tat öfters, dass gerade kleine Unternehmen momentan mit ihrem Alltagsgeschäft so ausgelastet sind, dass sie für solche fundamentalen Themen schlicht und einfach keine Zeit haben. Bestätigen Sie das?

    Fabian Gwinner: Durchaus, ja. Neben dem Personal fehlt mitunter auch die finanzielle Kraft, um so ein Thema anzugehen. Aber es gibt ja schon einfache Tipps.

    Angriff auf die IT eines Unternehmens: Wie schlimm kann das im Extremfall werden?

    Winkelmann: Ich habe neulich mit einem Firmenvertreter gesprochen, der sagte, er habe einen Trojaner oder eine Malware gehabt, die ihm das gesamte Festplattensystem verschlüsselte. Er hatte insofern Glück, weil er einen Tag vorher ein Backup seiner gesamten Software und Datenlandschaft gemacht hatte. Insofern konnte er das rekonstruieren.

    Hat Ihnen dieser Unternehmer signalisiert, was ihn der Angriff hätte kosten können?

    Winkelmann: Insolvenz. Wenn Sie an Ihre Daten nicht mehr ran kommen, wenn Sie produzieren müssen, aber Ihre Kundenaufträge nicht mehr bedienen können, wenn Sie keine Finanzbuchhaltung mehr machen können – dann ist das der extremste Fall.

    Nun ging das bei dem erwähnten Unternehmer ja wohl noch gut aus. Hatten Sie auch schon Fälle, bei denen es zum Aus des Betriebes kam?

    Winkelmann: Ich persönlich habe solche Fälle noch nicht erlebt. Aber ich bin mir sicher, dass es auch schon vorkam, dass Unternehmen massiv darunter gelitten haben oder sogar in die Insolvenz gegangen sind.

    Gwinner: Gerade bei Ransomware, die auch Kryptotrojaner genannt werden, ist es ja so, dass man mit der Zahlung einer gewissen Summe die Möglichkeit bekommt, das ganze Verschlüsselungssystem wieder aufzulösen. Ich glaube, da gibt es eine große Dunkelziffer an Fällen.

    IT-Kriminalität und wichtige Begriffe
    Tragweite: Allein im Jahr 2017 sei in Deutschland in Folge von Internetkriminalität ein Schaden von 2,2 Milliarden Euro entstanden, teilt das Bundeskriminalamt unter Berufung auf eine US-Studie mit. 67 Prozent der Unternehmen sind nach Darstellung des Fachverbandes Bitkom von IT-Angriffen betroffen. 90 Prozent von ihnen setzen immerhin Virenscanner und Firewalls als eine Art Basis-Schutz ein. 70 Prozent der Unternehmen haben demnach ein Notfall- oder Krisenmanagement für den Fall eines Angriffes auf ihre IT. Trotz des ausgeprägten Sicherheitsbewusstseins hinke gerade der Mittelstand bei der Prävention von Cyberkriminalität hinterher.
    Cyberkriminalität: Auch als Cybercrime bezeichnet, umschreibt der Begriff im weiteren Sinne alles, was Kriminelle tun, um an fremde Daten – entweder von Privaten oder von Firmen – zu kommen. Das kann durch Tricks per E-Mail oder durch Einloggen in externe IT-Systeme geschehen.
    Phishing ist hierbei die wohl bekannteste Masche: Unbekannte verschaffen sich unerlaubten Zugriff zum Beispiel auf Passwörter oder Kreditkartendaten – oft über fingierte Links in E-Mails.
    Ransomware ist wie der artverwandte Begriff Malware ein aus dem Englischen stammendes Kunstwort für schädliche Software. Angreifer blockieren damit dem Opfer den Zugang auf seine persönlichen Daten zum Beispiel auf dem Computer zuhause oder in der Firma. Nur mit Zahlung eines Lösegeldes wird der Zugang wieder frei gegeben. Das Bundesamt für Sicherheit in der Informationstechnik hat unter www.bsi-fuer-buerger.de Tipps und Infos rund um Ransomware und andere Formen von Cyerkriminalität.

    Abseits des gängigen Antivirenschutzes und des üblichen Backups von Daten: Wissen denn die Unternehmer, wo sonst noch sensible Lücken in ihren IT-Systemen sein können?

    Winkelmann: Ich glaube, dass das Verständnis da ist. Aber nicht das Bewusstsein. Das heißt: Es hat jeder schon einmal gehört, was passieren könnte, aber es wird ein bisschen zur Seite gedrängt. Das gibt es auch im Compliance-Bereich, also bei der Einhaltung rechtlicher Aspekte, mit dem schönen Zitat: Wenn du glaubst, dass Compliance teuer ist, dann versuche es mal mit Nicht-Compliance. Das ist bei der IT-Sicherheit auch so: Wenn das Kind in den Brunnen gefallen ist, dann wird das sehr, sehr teuer.

    Kennen denn gerade die Mittelständler immer die richtigen Handgriffe und Schritte, wenn es um ihre IT-Sicherheit geht? 

    Gwinner: Bei den Fällen mit Ransomware haben die Angreifer ja was davon, wenn die Leute zahlen. Dementsprechend ist der User-Support hier unglaublich gut. Diejenigen, die das System verschlüsselt und die Malware geschrieben haben, haben passend dazu eine Anleitung zur Entschlüsselung. Die bieten regelrecht einen Service, weil sie ja was davon haben, wenn gezahlt wird. Da wird zum Beispiel eine perfekte Anleitung angeboten, wie man Schritt für Schritt einen Account auf einer Plattform anlegt, um dann von dort Bitcoins an eine andere Adresse zu überweisen und damit den Code für die Entschlüsselung der IT-Systeme zu bekommen.

    Nun reden wir hier die ganze Zeit über Angriffe von außen. Wie hoch ist Anteil der Fälle, bei denen der Feind in den eigenen Reihen sitzt? Stichwort: Sabotage durch eigene Mitarbeiter.

    Winkelmann: Darüber spricht keiner. Wenn ein Softwareprojekt nicht läuft, findet man das schon mal in der Zeitung. Wenn jemand einen internen Betrug hat, wird darüber nicht gesprochen. Es passiert aber in sehr vielen Unternehmen, das wissen wir.

    Wie weit ist Künstliche Intelligenz beim Schutz vor Cybercrime einsetzbar?

    Gwinner: Daran forschen wir. Es gibt schon Systeme, die im Bereich IT-Sicherheit arbeiten. Das beste Beispiel sind E-Mail-Spamfilter, die schon seit langer Zeit mit Machine-Learning-Algorithmen laufen. (Anmerkung der Redaktion: Machine Learning heißt Maschinelles Lernen und meint, dass zum Beispiel Roboter mit Hilfe Künstlicher Intelligenz aus einer Datenflut Gesetzmäßigkeiten ableiten und daraus lernen können.) Es gibt Systeme, die überwachen den Netzwerkverkehr. Allerdings ist das nichts, was ich einem kleinen Unternehmen als Tipp mitgeben könnte. Dafür sind solche System entweder schlichtweg zu teuer oder zu komplex für die kleine IT solcher Unternehmen.

    Viele Mitarbeiter arbeiten in zunehmendem Maße von Zuhause aus oder bekommen vom Chef ein Dienst-Smartphone mit der Möglichkeit, auf Firmendaten zuzugreifen. Sind das weitere Schwachstellen für die IT eines Unternehmens?

    Gwinner: Definitiv. Jedes Gerät, das man zusätzlich zur Verfügung stellt, ist ein Gerät, bei dem man sicherstellen muss, dass es nicht von außen zugänglich ist. Ein Smartphone muss ich genauso up to date halten wie einen Computer.

    Wie viele Angriffe auf die IT von Unternehmen bleiben unbemerkt?

    Winkelmann: Es ist schwierig, das in Prozent auszudrücken. Aber die Dunkelziffer ist hoch.

    Gwinner: Es gibt Unternehmen, da wurden jahrelang Patente und ähnliches abgezogen.

    Winkelmann: Der Schaden ist dann da, wenn viel Entwicklungsarbeit in ein Produkt gesteckt wurde. Wenn also ein anderes Unternehmen diese digitalen Blaupausen des Produktes von den Festplatten kopiert, um ein gleiches Produkt zur Hälfte des Preises auf den Markt zu bringen.

    Axel Winkelmann und Fabian Gwinner
    Axel Winkelmann (44) ist an der Universität Würzburg Lehrstuhlinhaber für Betriebswirtschaftslehre und Wirtschaftsinformatik. Schwerpunkte seiner Forschung sind unter anderem betriebswirtschaftliche Informationssysteme und Blockchain. Winkelmann hat einen eigenen Podcast, in dem er sich mit IT-Themen in der Wirtschaft auseinandersetzt: www.erp-podcast.de
    Fabian Gwinner ist wissenschaftlicher Mitarbeiter von Winkelmann. Der 31-Jährige setzt sich in erster Linie mit ERP-Systemen, Künstlicher Intelligenz (KI) und Blockchain auseinander.
    Beim IT-Sicherheitsforum am Donnerstag, 14. November, in Schweinfurt (12.30 bis 16 Uhr) werden Winkelmann und Gwinner erläutern, welche Methoden es zur Erkennung von IT-Betrug oder Manipulationsversuchen gibt. Motto der Veranstaltung mit weiteren Referenten: "Industrie 4.0 trifft auf KI - Transformation der Industrie". Die Teilnahme am Sicherheitsforum in den Räumen der Industrie- und Handelskammer (IHK) in der Karl-Götz-Straße 7 ist gratis. Anmeldung ist ab sofort online bei der IHK Würzburg-Schweinfurt oder unter Telefon (09 31) 41 94-317 möglich.
    Fünf Tipps zum Schutz vor Cyberkriminellen
    Die IT-Systeme vor Angriffen von außen zu schützen, müsse nicht kompliziert sein, meint Uni-Experte Fabian Gwinner. Er hat fünf einfache Tipps für Unternehmen zusammengestellt:
    1. Halten Sie Ihre Computer, IT-Systeme, Smartphones und andere Geräte immer auf dem neuesten Stand. Also: Regelmäßig die Software per Update aktualisieren. Werden keine Updates mehr angeboten, dann die Geräte aussortieren.
    2. Passwörter sicher gestalten und regelmäßig wechseln. Wie ein sicheres Passwort aussehen kann, dafür hat das Bundesamt für Sicherheit in der Informationstechnik auf seiner Website eingängige Ratschläge.
    3. Verschlüsseln Sie Endgeräte, also etwa die Festplatten der Computer. Aktivieren Sie per App die Funktion "Find my Device", um aus der Ferne zum Beispiel verschwundene Smartphones wieder zu finden.
    4. Schulen Sie Ihre Mitarbeiter regelmäßig in puncto IT-Sicherheit.
    5. Legen Sie Regeln und Rechte eng aus, was die firmeninterne Nutzung der IT-Systeme angeht.
    Erfahren Sie jeden Donnerstag, was Sie über Mainfrankens Wirtschaft wissen sollten:
    jetzt ImPlus-Newsletter kostenfrei abonnieren!

    Weitere Artikel

    Kommentare (0)

      Der Diskussionszeitraum für diesen Artikel ist leider schon abgelaufen. Sie können daher keine neuen Beiträge zu diesem Artikel verfassen!