20 Tipps, die Hacker ungerne hören

Das Internet hat für Unternehmen immer mehr böse Überraschungen parat. Auf dem 2. Cybercrime-Kongresses Nord-Westfalen in Gelsenkirchen haben Experten gezeigt, wie Firmen die digitalen und mentalen Schutzschilde hochfahren können. | Text: Dominik Dopheide

Wie sieht die aktuelle Bedrohungslage aus?

„Kriminalität wandert ins Internet und wächst dort“, berichtet NRW-Innenminister Herbert Reul. Im Cyberspace sei die Bedrohung so hoch wie nie zuvor. Wie auch Henning Voß vom Verfassungsschutz NRW, hat der Minister Zahlen im Gepäck:
  • Fast 150 Ransomware-Erpressungen sind 2023 von Unternehmen gemeldet worden – rund doppelt so viel wie 2022.
  • Die NRW-Kriminalitätsstatistik für 2024 bestätigt den Trend: Die Polizei hat landesweit 22.800 Fälle im gesamten Bereich Cybercrime erfasst – darunter Sabotage, Betrug und Datenhehlerei. Das sind 7,8 Prozent mehr als im Vorjahr.
  • Im Sommer 2024 melden deutschlandweit 81 Prozent der Unternehmen, dass sie in den vergangenen zwölf Monaten von Cyberkriminalität betroffen waren. Im Jahr zu vor lag der Anteil noch bei 72 Prozent. Gestiegen ist auch die Schadenssumme: von 205,9 Mrd. in 2023 auf ca. 267 Mrd. Euro.
2. Cybercrime-Kongress Nord-Westfalen in Gelsenkirchen
NRW-Innenminister Herbert Reul auf dem 2. Cybercrime-Kongress im Hans-Sachs-Haus in Gelsenkirchen. © Kaemper/IHK Nord Westfalen
Reul betont, dass die Täter im Hinblick auf Technik und Know-how immer besser werden und verweist auf die Zunahme staatlich gelenkter, KI-gestützter Attacken. Voss bestätigt: Rund fünf Prozent aller Cyberangriffe haben einen staatlichen Ursprung. Hier seien Angreifer am Werk, die sich gezielt mit einem Unternehmen und seiner Belegschaft beschäftigen, weil es systemrelevant ist oder Daten zu bieten hat, die für ihr Land von Wert sind. Eine Phishing-Mail mit staatlichem Hintergrund ist in der Regel das Resultat langwieriger Nachforschungen, vor allem in den Social Media. „Es geht darum, Schwachpunkte festzustellen“, erklärt der Verfassungsschützer.
Bundeswehr-General Hans-Dieter Müller
Bundeswehr-General Hans-Dieter Müller © Kaemper/IHK Nord Westfalen
Wer beispielsweise einen Tauchurlaub verbracht und das im Internet dokumentiert habe, werde sich über die vermeintliche Einladungsmail zu einem maritimen Event nicht wundern, macht Voss die Detailtiefe solcher Recherchen deutlich. Ob Spionage, Sabotage oder Datendiebstahl: Staatliche gelenkte Angriffe sind komplex und gefährlich, weil die Angreifer betriebswirtschaftlich aus dem Vollen schöpfen können. „Die machen kein Controlling“, sagt Voss. Bundeswehr-General Hans-Dieter Müller sieht es genauso: „Das sind Experten, die sich auch auf Spurenverwischung verstehen“, weiß der Kommandeur des Landeskommando NRW. Die größte Bedrohung gehe von Russland aus, und zwar nicht nur für die Computernetzwerke. „Die hybride Kriegsführung läuft, Ziel ist die Gesellschaft“, berichtet Müller. Doch sei längst nicht allen bewusst, wie ernst die Lage ist. Die Behörden seien sensibilisiert, im Übrigen aber gehe die Party weiter, bedauert der General.

Welche Unternehmen sind besonders gefährdet?

  • Die Kriminellen haben insbesondere KMU und Start-ups auf dem Kieker, weil dort in der Regel nicht die Ressourcen für ein umfassendes Schutzkonzept verfügbar sind, wie in einem DAX-Konzern.
  • Beliebte Branchen bei Angreifern mit staatlichem Hintergrund sind unter anderem Maschinenbau, Automobil und Energie.

Wie können sich Unternehmen schützen und vorbereiten?

Voss macht den Unternehmen klar: Cyber-Kriminalität lebt von ihrer Geschwindigkeit. Die Daten sind oft sofort weg, die Diebe brauchen keinen Fluchtweg. Der beste Schutz ist also Prävention. „Jeden Tag aufpassen und die Awareness schulen“, mahnt Mirco Pinske, seit 2024 Geschäftsführer der Südwestfalen IT. Der Zweckverband war 2023 einem Cyberangriff zum Opfer gefallen. Jetzt gibt Pinske Erkenntnisse und Lehren an andere Unternehmen weiter.
Das macht auch Stephan Kulbatzki, Geschäftsführer und Finanzchef der Stölting Service Group GmbH. Sein IT-Team hat einen Angriff in einer frühen Phase gerade noch stoppen können. Beide Manager haben viele Empfehlungen für ein vorausschauendes Risikomanagement parat – hier eine Auswahl von 20 Tipps:
  • IT-Sicherheit eine angemessene Stellung im Unternehmen einräumen: Sie gehört ins Aufgabenportfolio der Geschäftsführung.
  • IT-Sicherheit dauerhaft finanzielle und personelle Ressourcen einräumen
  • Risiken bewerten, Auswirkungen analysieren: Welche Geschäftsprozesse sind kritisch?
  • Kooperationen aufbauen für das Krisenmanagement: Jetzt schon die Dienstleister definieren und kontaktieren, die im Ernstfall gebraucht werden.
  • Schon vor dem Ernstfall Kontakt zu Behörden aufnehmen, Meldepflichten recherchieren
  • Ganzheitlichen Notfallplan entwickeln: Prozesse und Krisenteams benennen, damit die Geschäfte bestmöglich weitergeführt werden können (Business Continuity Management).
  • Kommunikationsstrategie entwickeln. Belegschaft, Behörden, Kunden, Partner, Medien: Wer wird im Ernstfall wann informiert?
  • Wiederanlaufstrategie entwickeln: Welche Systeme sollten zuerst wiederhergestellt werden?
  • Den gesamten Notfallplan regelmäßig testen und anpassen
  • IT-Sicherheit „von oben“ leben: Führungskräfte müssen Vorbilder sein.
  • Verheimlichung vorbeugen mit einer offenen vertrauensvollen Kommunikationskultur in der Mitarbeiterschaft
  • Klare IT-Sicherheitsregeln formulieren
  • Regelmäßige Phishing-Tests und Awareness-Trainings durchführen
  • Spielerische Lernmethoden wie „Live-Hacking-Demos“ anwenden
  • Multi-Faktor-Authentifizierung etablieren
  • Endpoint Detection and Response-Software einführen, weil sie viele Bedrohungen erkennen und gegensteuern kann
  • Regelmäßig per Penetrations-Tests den Ernstfall simulieren, um Schwachstellen zu identifizieren
  • Das Netzwerk kleinteilig segmentieren
  • Daten regelmäßig sichern, Backups physisch auslagern, Wiederherstellung testen
  • Auch als nicht betroffenes Unternehmen die Cybersicherheit so weit wie möglich an der NIS-2-EU-Richtlinie orientieren

Wie agieren bei Angriffs-Alarm?

Stephan Kulbatzki schildert beispielhaft Punkte aus dem Notfallplan der Stölting Service Group:
  • IT-Systeme sofort isolieren, betroffene Systeme abschalten
  • Accounts sperren, Passwörter ändern
  • Interne Krisenkommunikation starten
  • Kunden proaktiv informieren
  • Transparenz schaffen gegenüber Kunden, Behörden und Partnern, um Vertrauensverlust zu vermeiden
  • Datenschutzbehörden und LKA informieren, um Compliance-Vorgaben einzuhalten

Welche Ansprechpartner helfen bei der Prävention und nach einem Angriff?

Mit der kommenden NIS-2-Verordnung wird der Kreis der Unternehmen, die Cyber-Sicherheitsvorfälle kurzfristig an das BSI (Bundesamt für Sicherheit in der Informationstechnik) melden müssen, deutlich größer. Doch fordern Polizei und Justiz auf dem Cybercrime-Kongress ohnehin alle weiteren Firmen auf, Kontakt zur Polizei aufzunehmen, wenn sie Opfer einer Attacke geworden sind. „Sie müssen nicht auf einer Wache warten, denn wir kommen zu Ihnen“, erklärt Amrei Lebbin aus dem Team der Cybercrime-Prävention der Polizei Münster. Ein vierköpfiges Team, darunter zwei Cyberspezialisten, steht dann den Unternehmen zur Seite. „Wir räumen nicht die Bude leer und interessieren uns auch nicht für Ihre Steuererklärung“, betont Lebbin. Vielmehr stehen die Methoden und Instrumente der Angreifer im Fokus. „Wir wollen Erfahrungen sammeln, um unsere Ermittlungen zu verbessern, und der Kriminellen schließlich habhaft werden“, sagt die Polizistin. Mit einem einzigen Telefonanruf lässt sich klären, welche Behörde in NRW jeweils den Fall übernimmt: Das LKA-Cybercrime-Kompetenzzentrum hat unter der Nummer 0211/939 4040 einen Single Point of Contact (SPoC) eingerichtet, der rund um die Uhr besetzt ist und den Vorgang sofort an die richtige Adresse leitet.
Präventionsberatung finden die Unternehmen vielerorts – etwa bei der Polizei, beim LKA und bei Dienstleistern. Auch der Dialog mit einem Versicherer – das macht Christian McLaren von der Provinzial AG deutlich – kann den Ist-Zustand der Cybersicherheit sowie erforderliche Schutzmaßnahmen offenbaren. Für kleinere Unternehmen mit bis zu 50 Mitarbeitern hat das BSI den Cyber-Risiko-Check nach DIN SPEC 27076 entwickelt. Den Test bieten geschulte Dienstleister an, die zudem über Fördermöglichkeiten informieren. Für den Einstieg in das gesamte Thema weist die IHK Nord Westfalen auf eine Reihe von kostenlosen Angeboten für kleine und mittlere Unternehmen (KMU) hin – darunter das Kompetenzzentrum für Cybersicherheit in der Wirtschaft DIGITAL.SICHER.NRW. sowie das Expertennetzwerk InfoSec, das von der IHK Nord Westfalen und dem IT-Forum Nord Westfalen gegründet wurde. Hier arbeiten IT-Sicherheitsexperten aus Wirtschaft und Wissenschaft ehrenamtlich zusammen, tauschen ihre Praxiserfahrungen untereinander und mit interessierten Unternehmen aus. Die IHK Nord Westfalen koordiniert das Netzwerk und vermittelt bei Bedarf einen passenden Kontakt.

IHK-Ansprechpartner:

Der 2. Cybercrime-Kongress Nord-Westfalen war eine gemeinsame Veranstaltung der drei Polizeipräsidien Gelsenkirchen, Recklinghausen und Münster, der IHK Nord Westfalen und der Stadt Gelsenkirchen.