20 Tipps, die Hacker ungerne hören

Das Internet hat für Unternehmen immer mehr böse Überraschungen parat. Auf dem 2. Cybercrime-Kongresses Nord-Westfalen in Gelsenkirchen haben Experten gezeigt, wie Firmen die digitalen und mentalen Schutzschilde hochfahren können. | Text: Dominik Dopheide

Wie sieht die aktuelle Bedrohungslage aus?

„Kriminalität wandert ins Internet und wächst dort“, berichtet NRW-Innenminister Herbert Reul. Im Cyberspace sei die Bedrohung so hoch wie nie zuvor. Wie auch Henning Voß vom Verfassungsschutz NRW, hat der Minister Zahlen im Gepäck:
  • Fast 150 Ransomware-Erpressungen sind 2023 von Unternehmen gemeldet worden – rund doppelt so viel wie 2022.
  • Die NRW-Kriminalitätsstatistik für 2024 bestätigt den Trend: Die Polizei hat landesweit 22.800 Fälle im gesamten Bereich Cybercrime erfasst – darunter Sabotage, Betrug und Datenhehlerei. Das sind 7,8 Prozent mehr als im Vorjahr.
  • Im Sommer 2024 melden deutschlandweit 81 Prozent der Unternehmen, dass sie in den vergangenen zwölf Monaten von Cyberkriminalität betroffen waren. Im Jahr zu vor lag der Anteil noch bei 72 Prozent. Gestiegen ist auch die Schadenssumme: von 205,9 Mrd. in 2023 auf ca. 267 Mrd. Euro.
2. Cybercrime-Kongress Nord-Westfalen in Gelsenkirchen
NRW-Innenminister Herbert Reul auf dem 2. Cybercrime-Kongress im Hans-Sachs-Haus in Gelsenkirchen. © Kaemper/IHK Nord Westfalen
Reul betont, dass die Täter im Hinblick auf Technik und Know-how immer besser werden und verweist auf die Zunahme staatlich gelenkter, KI-gestützter Attacken. Voss bestätigt: Rund fünf Prozent aller Cyberangriffe haben einen staatlichen Ursprung. Hier seien Angreifer am Werk, die sich gezielt mit einem Unternehmen und seiner Belegschaft beschäftigen, weil es systemrelevant ist oder Daten zu bieten hat, die für ihr Land von Wert sind. Eine Phishing-Mail mit staatlichem Hintergrund ist in der Regel das Resultat langwieriger Nachforschungen, vor allem in den Social Media. „Es geht darum, Schwachpunkte festzustellen“, erklärt der Verfassungsschützer.
Bundeswehr-General Hans-Dieter Müller
Bundeswehr-General Hans-Dieter Müller © Kaemper/IHK Nord Westfalen
Wer beispielsweise einen Tauchurlaub verbracht und das im Internet dokumentiert habe, werde sich über die vermeintliche Einladungsmail zu einem maritimen Event nicht wundern, macht Voss die Detailtiefe solcher Recherchen deutlich. Ob Spionage, Sabotage oder Datendiebstahl: Staatliche gelenkte Angriffe sind komplex und gefährlich, weil die Angreifer betriebswirtschaftlich aus dem Vollen schöpfen können. „Die machen kein Controlling“, sagt Voss. Bundeswehr-General Hans-Dieter Müller sieht es genauso: „Das sind Experten, die sich auch auf Spurenverwischung verstehen“, weiß der Kommandeur des Landeskommando NRW. Die größte Bedrohung gehe von Russland aus, und zwar nicht nur für die Computernetzwerke. „Die hybride Kriegsführung läuft, Ziel ist die Gesellschaft“, berichtet Müller. Doch sei längst nicht allen bewusst, wie ernst die Lage ist. Die Behörden seien sensibilisiert, im Übrigen aber gehe die Party weiter, bedauert der General.

Welche Unternehmen sind besonders gefährdet?

  • Die Kriminellen haben insbesondere KMU und Start-ups auf dem Kieker, weil dort in der Regel nicht die Ressourcen für ein umfassendes Schutzkonzept verfügbar sind, wie in einem DAX-Konzern.
  • Beliebte Branchen bei Angreifern mit staatlichem Hintergrund sind unter anderem Maschinenbau, Automobil und Energie.

Wie können sich Unternehmen schützen und vorbereiten?

Voss macht den Unternehmen klar: Cyber-Kriminalität lebt von ihrer Geschwindigkeit. Die Daten sind oft sofort weg, die Diebe brauchen keinen Fluchtweg. Der beste Schutz ist also Prävention. „Jeden Tag aufpassen und die Awareness schulen“, mahnt Mirco Pinske, seit 2024 Geschäftsführer der Südwestfalen IT. Der Zweckverband war 2023 einem Cyberangriff zum Opfer gefallen. Jetzt gibt Pinske Erkenntnisse und Lehren an andere Unternehmen weiter.
Stephan Kulbatzki, Geschäftsführer und Finanzchef der Stölting Service Group GmbH aus Gelsenkirchen.
Das macht auch Stephan Kulbatzki, Geschäftsführer und Finanzchef der Stölting Service Group GmbH. Sein IT-Team hat einen Angriff in einer frühen Phase gerade noch stoppen können. Beide Manager haben viele Empfehlungen für ein vorausschauendes Risikomanagement parat – hier eine Auswahl von 20 Tipps:
  • IT-Sicherheit eine angemessene Stellung im Unternehmen einräumen: Sie gehört ins Aufgabenportfolio der Geschäftsführung.
  • IT-Sicherheit dauerhaft finanzielle und personelle Ressourcen einräumen
  • Risiken bewerten, Auswirkungen analysieren: Welche Geschäftsprozesse sind kritisch?
  • Kooperationen aufbauen für das Krisenmanagement: Jetzt schon die Dienstleister definieren und kontaktieren, die im Ernstfall gebraucht werden.
  • Schon vor dem Ernstfall Kontakt zu Behörden aufnehmen, Meldepflichten recherchieren
  • Ganzheitlichen Notfallplan entwickeln: Prozesse und Krisenteams benennen, damit die Geschäfte bestmöglich weitergeführt werden können (Business Continuity Management).
  • Kommunikationsstrategie entwickeln. Belegschaft, Behörden, Kunden, Partner, Medien: Wer wird im Ernstfall wann informiert?
  • Wiederanlaufstrategie entwickeln: Welche Systeme sollten zuerst wiederhergestellt werden?
  • Den gesamten Notfallplan regelmäßig testen und anpassen
  • IT-Sicherheit „von oben“ leben: Führungskräfte müssen Vorbilder sein.
  • Verheimlichung vorbeugen mit einer offenen vertrauensvollen Kommunikationskultur in der Mitarbeiterschaft
  • Klare IT-Sicherheitsregeln formulieren
  • Regelmäßige Phishing-Tests und Awareness-Trainings durchführen
  • Spielerische Lernmethoden wie „Live-Hacking-Demos“ anwenden
  • Multi-Faktor-Authentifizierung etablieren
  • Endpoint Detection and Response-Software einführen, weil sie viele Bedrohungen erkennen und gegensteuern kann
  • Regelmäßig per Penetrations-Tests den Ernstfall simulieren, um Schwachstellen zu identifizieren
  • Das Netzwerk kleinteilig segmentieren
  • Daten regelmäßig sichern, Backups physisch auslagern, Wiederherstellung testen
  • Auch als nicht betroffenes Unternehmen die Cybersicherheit so weit wie möglich an der NIS-2-EU-Richtlinie orientieren

Wie agieren bei Angriffs-Alarm?

Stephan Kulbatzki schildert beispielhaft Punkte aus dem Notfallplan der Stölting Service Group:
  • IT-Systeme sofort isolieren, betroffene Systeme abschalten
  • Accounts sperren, Passwörter ändern
  • Interne Krisenkommunikation starten
  • Kunden proaktiv informieren
  • Transparenz schaffen gegenüber Kunden, Behörden und Partnern, um Vertrauensverlust zu vermeiden
  • Datenschutzbehörden und LKA informieren, um Compliance-Vorgaben einzuhalten

Noch mehr Tipps:

Welche Ansprechpartner helfen bei der Prävention und nach einem Angriff?

Mit der kommenden NIS-2-Verordnung wird der Kreis der Unternehmen, die Cyber-Sicherheitsvorfälle kurzfristig an das BSI (Bundesamt für Sicherheit in der Informationstechnik) melden müssen, deutlich größer. Doch fordern Polizei und Justiz auf dem Cybercrime-Kongress ohnehin alle weiteren Firmen auf, Kontakt zur Polizei aufzunehmen, wenn sie Opfer einer Attacke geworden sind. „Sie müssen nicht auf einer Wache warten, denn wir kommen zu Ihnen“, erklärt Amrei Lebbin aus dem Team der Cybercrime-Prävention der Polizei Münster. Ein vierköpfiges Team, darunter zwei Cyberspezialisten, steht dann den Unternehmen zur Seite. „Wir räumen nicht die Bude leer und interessieren uns auch nicht für Ihre Steuererklärung“, betont Lebbin. Vielmehr stehen die Methoden und Instrumente der Angreifer im Fokus. „Wir wollen Erfahrungen sammeln, um unsere Ermittlungen zu verbessern, und der Kriminellen schließlich habhaft werden“, sagt die Polizistin. Mit einem einzigen Telefonanruf lässt sich klären, welche Behörde in NRW jeweils den Fall übernimmt: Das LKA-Cybercrime-Kompetenzzentrum hat unter der Nummer 0211/939 4040 einen Single Point of Contact (SPoC) eingerichtet, der rund um die Uhr besetzt ist und den Vorgang sofort an die richtige Adresse leitet.
Präventionsberatung finden die Unternehmen vielerorts – etwa bei der Polizei, beim LKA und bei Dienstleistern. Auch der Dialog mit einem Versicherer – das macht Christian McLaren von der Provinzial AG deutlich – kann den Ist-Zustand der Cybersicherheit sowie erforderliche Schutzmaßnahmen offenbaren. Für kleinere Unternehmen mit bis zu 50 Mitarbeitern hat das BSI den Cyber-Risiko-Check nach DIN SPEC 27076 entwickelt. Den Test bieten geschulte Dienstleister an, die zudem über Fördermöglichkeiten informieren. Für den Einstieg in das gesamte Thema weist die IHK Nord Westfalen auf eine Reihe von kostenlosen Angeboten für kleine und mittlere Unternehmen (KMU) hin – darunter das Kompetenzzentrum für Cybersicherheit in der Wirtschaft DIGITAL.SICHER.NRW. sowie das Expertennetzwerk InfoSec, das von der IHK Nord Westfalen und dem IT-Forum Nord Westfalen gegründet wurde. Hier arbeiten IT-Sicherheitsexperten aus Wirtschaft und Wissenschaft ehrenamtlich zusammen, tauschen ihre Praxiserfahrungen untereinander und mit interessierten Unternehmen aus. Die IHK Nord Westfalen koordiniert das Netzwerk und vermittelt bei Bedarf einen passenden Kontakt.

IHK-Ansprechpartner:

Hilfreiche Links zur IT-Sicherheit:

  • DIGITAL.SICHER.NRW Kompetenzzentrum für Cybersicherheit in der Wirtschaft (Link: https://www.digital-sicher.nrw/)
    Seit März 2021 unter­stützt DIGITAL.SICHER.NRW den Mittel­stand NRWs dabei, die eigene digi­tale Sicher­heit schritt­weise zu erhöhen. Ressourcen und Infor­mationen rund um das Thema IT-Sicher­heit leicht verständ­lich und praxis­nah zur Ver­fügung zu stellen, ist das zen­trale An­liegen des Kompetenzzentrums.
  • Transferstelle Cybersicherheit im Mittelstand (Link: https://transferstelle-cybersicherheit.de/)
    Die Transferstelle Cybersicherheit im Mittelstand unterstützt kleine und mittlere Unternehmen, Handwerksbetriebe und Start-Ups kostenfrei bei der Prävention, Detektion und Reaktion auf Cyberangriffe.
  • Marktplatz IT-Sicherheit (Link: https://it-sicherheit.de/)
    Das Ziel des Marktplatzes IT-Sicherheit ist es, als zentrale und unabhängige IT-Sicherheits-Plattform die Kompetenz kleiner, mittlerer und größere Anwenderunternehmen bezüglich IT-Sicherheit mit passenden Informationen, Wissen und Tools zu stärken sowie sie zu befähigen, sich adäquat zu schützen.
  • Zen­tra­le An­sprech­stel­len Cyber­crime der Po­li­zei­en für Wirt­schafts­un­ter­neh­men (Link: https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html#Start)
    Die Zentralen Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes für die Wirtschaft stehen Ihnen bei Cybercrime-Vorfällen als Partner zur Verfügung, sowohl für Informationen zur Vermeidung von Cybercrime-Angriffen als auch im Falle von Cybercrime-Straftaten gegen Ihr Unternehmen.
  • BSI - Cyber-Sicherheitsnetzwerk (Link: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber-Sicherheitsnetzwerk/cyber-sicherheitsnetzwerk_node.html)
    Das Cyber-Sicherheitsnetzwerk (CSN) ist ein freiwilliger Zusammenschluss von qualifizierten Experten für eine Vorfallsbearbeitung. Die Experten stellen ihre individuelle Expertise und ihr individuelles Knowhow zur Behebung von IT-Sicherheitsvorfällen zur Verfügung. Im Rahmen des Pilotprojekts "Digitale Rettungskette" bietet das CSN Qualifizierungen zum Digitalen Ersthelfer sowie Zertifizierungen als Vorfall-Experte und IT-Sicherheitsdienstleister an.
  • Glossar "Cyber Sicherheit" (Link: https://norbert-pohlmann.com/category/glossar-cyber-sicherheit/)
    Im Glossar „Cyber-Sicherheit“ von Prof. Pohlmann, werden einige Begrifflichkeiten erklärt, um das Verständnis für die Cyber-Sicherheit zu verbessern.
  • Corona und Home-Office - Phishing-Test (Link: https://phish-test.de/)
    Erkennen Sie alle Phishing-Mails? Im Zuge der Corona-Krise stieg die Anzahl an Cyberangriffen drastisch an, die Hacker nutzen die unsichere Situation für ihre Zwecke aus. Ein Bewusstsein für IT-Sicherheitsrisiken ist also wichtiger denn je.
  • ACS Notfallkarte (Link: https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Unternehmen-allgemein/IT-Notfallkarte/IT-Notfallkarte/it-notfallkarte_node.html)
    Die IT-Notfallkarte „Verhalten bei IT-Notfällen“ ist das neue Hinweisschild, analog zum bekannten Format „Verhalten im Brandfall“. Beschäftigten in Organisationen werden wichtige Verhaltenshinweise bei IT-Notfällen aller Art an die Hand gegeben.
  • DsiN-Checklisten zum sicheren digitalen Arbeiten (Link: https://www.sicher-im-netz.de/dsin-checklisten-zum-sicheren-digitalen-arbeiten)
    Die DsiN-Checklisten enthalten wichtige Tipps für IT-Sicherheit im Home-Office und unterwegs für Unternehmen und Selbstständige.
  • BSI für Bürger (Link: https://www.bsi-fuer-buerger.de/)
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist der zentrale IT-Sicherheitsdienstleister des Bundes und somit für die IT-Sicherheit in Deutschland verantwortlich. Ziel ist der sichere Einsatz von Informations- und Kommunikationstechnik und die Sensibilisierung für das Thema IT-Sicherheit.

  • E-Mail-Checker des Hasso Plattner Instituts (Link: https://sec.hpi.de/ilc/)
    Über die Website des Hasso-Plattner-Instituts (HPI) können Nutzer anhand ihrer E-Mail -Adresse kostenlos prüfen lassen, ob persönliche Informationen im Zusammenhang mit der E-Mail-Adresse im Netz auftauchen.
Der 2. Cybercrime-Kongress Nord-Westfalen war eine gemeinsame Veranstaltung der drei Polizeipräsidien Gelsenkirchen, Recklinghausen und Münster, der IHK Nord Westfalen und der Stadt Gelsenkirchen.