Gut geschützt gegen Datendiebe
Cybersicherheit geht jeden etwas an
Die Mail kam von einem unbekannten Absender. Ihr Inhalt war für die Geschäftsführung des Brandenburger Unternehmens ein Schock: „Ich bin in Ihr Netzwerk eingedrungen und habe 25 Gigabyte Daten heruntergeladen.“ Ein fünf Gigabyte großes Datenpaket hatte der Absender mitgeschickt – als Beweis. Der Verfasser der Mail drohte mit Verbreitung der Daten und forderte 5000 Dollar für ihre Löschung auf seinen Systemen. „Das waren wirklich kritische Daten“, sagt Kriminaloberkommissar Rocco P. aus dem Landeskriminalamt (LKA) in Eberswalde. Er arbeitet für die ZAC - die Zentrale Ansprechstelle Cybercrime im LKA. Sie ist speziell für Cyber-Straftaten in Wirtschaftsunternehmen und Behörden zuständig.
Cybercrime wird zunehmend zu einer Bedrohung für mittelständische Unternehmen in Brandenburg. Fälle von Datendiebstahl wie der geschilderte rangieren weit vorn bei der Cyberkriminalität im Land: Datenklau, sowie Verschlüsselung von Daten mit sogenannter Ransomware sind laut LKA maßgeblich für die von der Polizei erfassten Schäden in Unternehmen und Behörden. Insgesamt verzeichnete das LKA 2023 landesweit 2744 Cybercrime-Fälle bei Privatleuten und in der Wirtschaft mit einem Schaden von mehr als drei Millionen Euro.
Die Anzahl der registrierten Fälle hat 2023 im Vergleich zu 2022 leicht zugenommen. Allerdings dürfte die Dunkelziffer deutlich höher liegen. Unternehmen zeigen solche Attacken nach den Erfahrungen der Polizei oft nicht an, unter anderem, weil sie um ihre Reputation fürchtet. Rocco P. appelliert an Firmen, Anzeigen zu stellen. So wird für die Polizei deutlich, wenn sich eine bestimmte Art der Angriffe häuft oder neuartige Attacken auftreten.
Häufig sind es von den Tätern übers Internet erkannte Sicherheitslücken, die ein Unternehmen ins Visier krimineller Hacker geraten lassen. Sie dringen in die Computersysteme ein und verschaffen sich einen Überblick. „Das ist, als ob ein Einbrecher durch die Tür geht und sich erstmal im Haus umschaut, wo er etwas finden kann“, beschreibt der Kriminalist. Cyberkriminelle spionieren Firmennetze aus, stehlen heimlich Daten.
Das kann über Wochen und Monate gehen, ohne dass es auffällt. Nicht immer verschlüsseln die Täter bei solchen Angriffen auch Daten auf Firmenrechnern. Im Fall des Brandenburger Unternehmens blieb es beim Datenklau. Dessen Geschäftsführung schaltete die Experten des LKA frühzeitig ein.
Da sei wichtig , sagt der Cyber-Crime-Experte, damit Datenspuren nicht verloren gehen. „Wenn wir ermitteln, fahren wir nicht mit Blaulicht vor“, sagt Rocco P. Die Polizei gehe diskret vor. Mitunter befürchten Firmen auch, dass die Kriminalisten Rechner mitnehmen und sie dann überhaupt nicht mehr arbeitsfähig sind.
Dem widerspricht Rocco P.. Man setze auf kooperative Zusammenarbeit mit den Betroffenen. Die Ermittler müssten nicht in jedem Fall ins Unternehmen kommen. Wichtig sei für sie der Zugang zu Daten, um Spuren der Täter zu finden.
Zunahme: 29 399 sogenannte DDoS-Angriffe verzeichnete die Deutsche Telekom 2024 - gut ein Drittel mehr als 2023. Bei diesen Angriffen wird eine Website oder ein Dienst mit Anfragen geflutet.
Einfallstor war der Laptop eines Angestellten
Die Kriminellen agieren oft im Ausland. Gut Dreiviertel der Cybercrime-Taten gehen nach Statistiken der Brandenburger Polizei entweder vom Ausland aus oder es ist unklar, von wo die Täter zuschlagen. Auch im beschriebenen Datenklau-Fall der Brandenburger Firma handelte sich es um Kriminelle außerhalb Europas.
Gefasst werden konnten sie nicht. Aber die Polizei konnte aufklären, wie sie an die Daten herangekommen sind. Einfallstor war der Laptop eines Mitarbeiters, der sowohl dienstlich als auch privat genutzt werden durfte. Dessen Kinder spielten darauf offensichtlich Online-Games.
Vermutlich hatten sie eine Software aus dem Internet geladen und dafür den Virenschutz abgeschaltet. Danach war der Rechner im Netz offen wie ein Scheunentor. Die kriminellen Hacker drangen auf den Laptop und von dort über gespeicherte Passwörter ins Firmennetz ein. Eine Zwei-Faktor-Authentifizierung, die das hätte verhindern oder erschweren können, gab es nicht.
Das Unternehmen zahlte am Ende die 5000 Dollar an den Erpresser in der Hoffnung, dass er die sensiblen Daten wie vereinbart löscht. Ob der Täter sich daran gehalten hat, wird sich wohl nie klären lassen.
Rocco P. und seine Kolleginnen und Kollegen stellen anonymisierte Fälle wie diesen auf Veranstaltungen in Behörden und Unternehmen vor. Denn sie ermitteln nicht nur, sie arbeiten auch präventiv. „Das Problem ist der Faktor Mensch“, sagt der Cyber-Crime-Ermittler. Er rät Unternehmen, ihre Mitarbeitenden regelmäßig zu schulen und für neue Bedrohungen zu sensibilisieren.
Backup testen. Zur Cybersicherheit in Unternehmen gehört auch eine Backup-Strategie. Firmen sollten ein aktuelles Backup wichtiger Daten in petto haben, am besten nach der 3-2-1-Lösung: Es sollte drei Backups auf zwei verschiedenen Medien geben, davon sollte eines offline sein. Genutzt werden können unter anderem CD oder Bandlaufwerke. Eine Kopie sollte sich in einem anderen Gebäude befinden – aus Brandschutzgründen. Testhalber sollte das Backup auch einmal eingespielt werden, um zu schauen, ob es funktioniert.
Mitarbeiter sollten stutzig werden
Derzeit nimmt eine neue Art von Betrugsfällen zu: Cyberkriminelle schleusen sich in den Mailverkehr zwischen Unternehmen und Kunden ein und fangen Mails ab. Sie fälschen Rechnungen und teilen den Empfängern mit, die Bankdaten des Geschäftspartners hätten sich geändert, das Geld solle auf ein anderes Konto überwiesen werden. Mitarbeiter sollten bei solchen Mails stutzig werden, warnt der Kriminalist.
Bis zu siebenstellige Summen wurden nach Erkenntnissen des LKA in Brandenburg mit dieser Methode bereits entwendet. Das Thema der nächsten Jahre wird für die Ermittler Künstliche Intelligenz sein, schätzt Rocco P ein. „KI kann nicht nur eine große Chance für Unternehmen sein, sondern auch ein Risiko.“ Bereits jetzt häufen sich Betrugsfälle mit sogenannten Fake-Shops im Internet, die von KI generiert wurden.
Vertreter der ZAC sind beim 14. IT-Sicherheitstag dabei.
FORUM/Ina Matthes
IT-Sicherheitstag in Wildau: Am 12. September findet der 14. IT-Sicherheitstag Berlin Brandenburg in Wildau statt. Von 9.30 bis 15 Uhr erwartet die Teilnehmenden ein umfangreiches Programm mit Fachvorträgen, Workshops, Diskussionen und Formaten zum Austausch mit Experten und zwischen den Unternehmen selbst. Die Tagung findet auf dem Gelände der Technischen Hochschule Wildau statt. Sie wird organisiert von den drei Brandenburger Industrie- und Handelskammern, der IHK Berlin sowie den Brandenburger und Berliner Handwerkskammern. Zur Anmeldung und für mehr Infos hier klicken.
Fürs Krankenhaus und fürs AC/DC-Konzert
LAN-COM-East baut Richtfunkstrecken auf – und schickt Daten für unterschiedliche Anwender schnell und sicher durch die Luft.
Ob im privaten oder geschäftlichen Alltag – nichts geht mehr ohne digitale Dienstleistungen. Und jeder ist gut beraten, sich in der digitalen Welt bestmöglich zu schützen. Denn Angriffe auf Daten sind allgegenwärtig, können Verwaltungen, Unternehmen, medizinische Einrichtungen empfindlich treffen. Sie dienen dem Ausspähen, der Einflussnahme durch Desinformation, sie stören Abläufe, vernichten Archive. Es gibt Seiten im Internet, die aktuelle Vorfälle in Deutschland und darüber hinaus abbilden. Sie zeigen, wie vielfältig die Bandbreite bei den Opfern von Onlinekriminalität ist.
Frauenspitze: Die Wirtschaftsingenieurin Sabine Nowagk (r.) führt seit vier Jahren die LAN-COM-East GmbH in Hoppegarten (Märkisch-Oderland). 2024 trat ihre Schwester Andrea Pfeifer in die Geschäftsführung ein.
Allein im Mai 2025 waren in Deutschland unter anderem eine Hotelgruppe, ein Sportartikelhersteller, eine Kreisverwaltung, eine Berufsschule, ein Kulturverein, ein Autohändler und eine Ärztekammer betroffen. Das Tückische bei den Angriffen ist, dass sie häufig erst spät registriert werden, sich unbemerkt in Systemen festsetzen und dort als tickende Zeitbombe verbleiben. Das macht sie so gefährlich und die Nachverfolgung schwierig.
Den Angreifern spiele dabei in die Karten, dass sie im Erfolgsfall einen umfassenden und schnellen Zugriff auf eine Unmenge von Daten haben und die Anonymität des Internets ihre Identifizierung sowie Verfolgung erschwere, schreibt das Bundesministerium des Inneren auf seiner Homepage. Der Schaden durch Cyberattacken wird von der Datenbank Statista für das Jahr 2024 auf 178,6 Milliarden Euro beziffert.
Die gebräuchlichsten Methoden sind: Phishing – Betrugsversuche, bei denen Nutzer durch gefälschte E-Mails oder Webseiten zur Eingabe von Daten verleitet werden. Ransomware – die Verschlüsselung von Daten durch Angreifer, oft gefolgt von einer Erpressung, um die Entschlüsselung zu erzwingen. Und Malware – Schadsoftware, die auf Computern oder anderen Geräten installiert wird.
Unabhängig von Kabeln und Mobilfunk
Eine Möglichkeit, sich davor zu schützen, sind die Individualisierung des Datenverkehrs und die zumindest partielle Unabhängigkeit vom Internet. Richtfunk heißt hier eine Alternative – und ist seit 35 Jahren das Kerngeschäft der LAN-COM-East GmbH. Das in Hoppegarten im Landkreis Märkisch-Oderland ansässige Familienunternehmen mit 20 Mitarbeitern erstellt auf der Basis modernster Übertragungstechnik Lösungen für sichere Kommunikationsnetze durch die Luft.
Über den Dächern der Hauptstadt: Auf diesem Hochhaus in Berlin-Mitte reiht sich Antenne an Antenne. Sie gehören zu einer Richtfunkstrecke, errichtet von dem Hoppegartener Unternehmen.
„Durch eine eigene Infrastruktur, unabhängig vom kabelgebundenen Kommunikations- und Mobilfunknetz, bringen wir die Sicherheit auf eine nächste höhere Ebene und gewährleisten den Schutz der Daten“, sagt Sabine Nowagk. Die Wirtschaftsingenieurin ist beruflich im Unternehmen groß geworden, hat vor vier Jahren die Geschäftsführung von ihrem Vater und Firmengründer Dr. Rolf Thier übernommen. Seit dem Vorjahr wird sie von ihrer Schwester, der Juristin Andrea Pfeifer, in der Geschäftsführung unterstützt.
LAN-COM-East plant, installiert und betreibt dauerhafte und temporäre Richtfunknetze für ganz unterschiedliche Nutzer. Die Kundschaft reicht von öffentlichen Verwaltungen über Bildungs- und Forschungseinrichtungen sowie Krankenhäuser bis hin zu Wirtschaftsunternehmen und Start-ups.
Selbst für den Datenverkehr eines AC/DC-Konzerts in Dresden hat das Unternehmen innerhalb von nur zwei Wochen eine Richtfunkstrecke zur Verfügung gestellt. Während das Internet anfällig für Hackerangriffe ist und eine möglichst leistungsfähige Kabelverbindungen sowie Stromversorgung erfordert, bietet Richtfunk hierbei Autarkie. Über die individuell konzipierten Strecken können immense Datenmengen zuverlässig, schnell und ausfallsicher transportiert werden. „Glasfaserkabel lassen zwar große Datenmengen zu, aber je mehr Nutzer es zeitgleich über dasselbe Kabel gibt, um so begrenzter ist die Leistung“, erklärt die Unternehmerin.
Schnell und sicher: Für eine AC/DC-Konzert in der Dresdener Rinne hat die LAN-COM-East in kürzester Zeit eine Richtfunkstrecke geplant, installiert und für stabilen Datenverkehr gesorgt.
Anders beim Richtfunk. Die drahtlose Nachrichtenübertragung erfolgt zwischen einem Sender und einem Empfänger. „Richtfunk ist Sichtfunk“, erläutert die Geschäftsführerin das Prinzip. Beide Antennen müssen frei von Hindernissen miteinander kommunizieren können und werden deshalb oft auf hohen Gebäuden, Türmen oder Masten angebracht. Die Daten werden auf einem sehr schmalen unsichtbaren Band übertragen – mittels elektromagnetischer Modulation über Radiowellen auf einer vorgegebenen Frequenz von Punkt zu Punkt.
Attraktiv für sensible Daten
Das Abgreifen der Daten auf dem Weg von A nach B ist laut LAN-COM-East nicht nur unwahrscheinlich, sondern nahezu ausgeschlossen. Neben der Schnelligkeit und Individualität im Transfer liegt in dem Prinzip die hohe Sicherheit des Systems begründet. Und diese kann durch das zusätzliche Verschlüsseln der Daten noch erhöht werden. „Der Übertragungsweg ist für sensible Informationen besonders attraktiv“, sagt die Geschäftsführerin und nennt den Datenaustausch zwischen Verwaltungsobjekten an unterschiedlichen Standorten sowie zwischen medizinischen Einrichtungen hinsichtlich der Diagnostik als Beispiele.
„Richtfunk ist hier eine wichtige Komponente“, betont sie, und füge sich in den Reigen der Maßnahmen in Sachen Datenschutz ein. Der gelte natürlich auch für ihr Unternehmen und deshalb schule sie ihre Mitarbeiter regelmäßig. An Wachsamkeit könne gar nicht oft genug erinnert werden. Zudem müsse man stets auf der Höhe der Zeit sein, was die raffinierten Methoden der Cyberkriminalität anbelangt.
Sie rät zum lokalen Aufbewahren der Daten, dem wohlüberlegten Umgang bei der Nutzung von Clouds, zu wirksamen Firewalls und zu komplizierten, immer wieder wechselnden Passwörtern. „So lässt sich der Zugriff auf Daten erheblich erschweren und macht ihn unattraktiv.“
FORUM/Anke Beißer
Mit Cyberkriminellen auf Augenhöhe kommen
Bei der Prävention von Angriffen sind drei Dinge wichtig, sagt Peter Gemander von Zöllner Büro- und IT Systeme aus Elsterwerda.
Der Bildschirm wird schwarz, eine Nachricht blinkt auf: Wir haben Ihre Daten verschlüsselt und werden sie löschen, wenn Sie uns nicht das von uns verlangte Geld überweisen. So oder so ähnlich sieht ein Angriff mit sogenannter Ransomware, also für Erpressungen genutzter Schadsoftware, aus – oder eigentlich die letzte Phase einer solchen Attacke, erklärt Peter Gemander, Experte für IT-Sicherheit. „Die Täter haben dann schon lange das Rechnersystem infiltriert“, erklärt der Geschäftsführer der Zöllner Büro- und IT-Systeme GmbH in Elsterwerda. Um sich gegen solche Angriffe zu wehren, gelte es, frühzeitig zu reagieren.
Wettlauf gegen die Uhr: Bei einer Bedrohung müssen Unternehmen schnell reagieren können, sagt Peter Gemander von Zöllner Büro- und IT Systeme.
Für Unternehmen rangiert Cyberkriminalität laut dem Allianz Risk Barometer 2025 auf Platz 1 der Geschäftsrisiken. 47 Prozent gaben an, dass Cyber-Vorfälle für sie eine Bedrohung darstellen. Im Vorjahr waren es 44 Prozent. Schon wenn die Betriebsabläufe längere Zeit unterbrochen sind, keine Erreichbarkeit per Mail mehr gegeben ist und Überweisungen nicht mehr möglich sind, ist das eine existenzielle Bedrohung. Dann kann es verlockend sein, das geforderte Lösegeld zu zahlen. „Die Täter wissen genau, was sie fordern können“, sagt Peter Gemander. Schließlich haben sie mitgelesen und in die Bücher geschaut. Sie werden deshalb eine Summe fordern, die sich an Größen wie Umsatz und Gewinn orientiert und schmerzhaft ist, aber den Betrieb nicht überfordert.
Nachgeben ist jedoch keine Lösung. Zum einen gibt es keine Gewissheit, dass die Erpresser nach einer Lösegeldzahlung die Verschlüsselung wie versprochen aufheben. Zum anderen besteht das Risiko, dass sie bald ein zweites Mal zuschlagen, wenn sie erst eine erpressbare Firma gefunden haben. Außerdem gilt der Grundsatz, dass dem organisierten Verbrechen keine finanziellen Mittel zur Verfügung gestellt werden sollten.
Wichtig ist die Vorbeugung. „Dafür gilt: Ich muss mit den Cyberkriminellen auf Augenhöhe kommen“, sagt Peter Gemander. Das gehe nur durch ein Paket mit drei wesentlichen Bestandteilen. Erstens müssten die Mitarbeiter gründlich geschult werden. Zero Trust laute das Schlagwort, also grundsätzliches Misstrauen gegenüber allem, was ihnen im Netz begegnet, in Mails, auf Webseiten oder über Social Media. Auch hinter Telefonanrufen von Personen, die sich etwa als Microsoft-Mitarbeiter ausgebend, verberge sich oft ein Cyberangriff. Zweitens seien alle notwendigen technischen Maßnahmen zu ergreifen, also eine Sicherung der Daten durch regelmäßige Backups, Firewall, Virenscanner und eine Netzwerk-Segmentierung. Das Unternehmen muss möglichst resilient gegen Angriffe werden mit Rückfallebenen, die bei Systemausfällen zum Tragen kommen können. Drittens schließlich muss eine hochprofessionelle IT-Sicherheit hinzukommen. Für kleine und mittlere Unternehmen kann das nur ein externer Dienstleister sein, betont Peter Gemander.
Täter schlagen oft nachts zu
„Es ist eine Illusion, zu glauben, diese Aufgaben selbst leisten zu können“, sagt er. Schließlich agierten die Täter als hochprofessionelles und meist international vernetztes Team, schlügen oft in der Nacht zu. Dann sind die Büros verwaist, die Server aber laufen meist weiter, so dass Hacker dann unbemerkt tätig werden können. So wie es in der analogen Welt selbstverständlich sei, dass ein Sicherheitsdienst permanent das Firmengelände überwache, müsse auch im digitalen Bereich der Rund-um-die-Uhr-Einsatz von Profis Normalität werden, mahnt der IT-Experte. Hinzu komme, dass die Bedrohungslage sich ständig verändere. Auf jede Abwehrmaßnahme reagierten die Kriminellen mit neuen Strategien.
Beim Schutz vor Cybercrime ist zudem die Geschwindigkeit ein wichtiger Faktor. Bei Bedrohungsvorfällen müssen Unternehmen in der Lage sein, minutenschnell zu reagieren, sagt IT-Sicherheitsexperte Peter Gemander. Sein Unternehmen, die Zöllner Büro- und IT-Systeme GmbH, ist ein in der Region Südbrandenburg verwurzelter Betrieb, der seinen Kunden unter anderem Lösungen für KI-basierte Businesskommunikation in Form von Voice-Bots und Chat-Bots anbietet, außerdem Lösungen für Büro- und Objektausstattung sowie Beratung und Betreuung zur Cybersicherheit. Für einen umfassenden Schutz der Informationstechnik arbeitet Zöllner mit Sophos Managed Detection and Response (MDR) zusammen, einem global tätigen Dienstleister, der einen Rund-um-die-Uhr-Schutz und eine sehr schnelle Reaktion gewährleisten kann.
Systeme erkennen Angriff minutenschnell
Die Systeme von Sophos MDR sind nach Gemanders Angaben in der Lage, innerhalb von einer Minute einen Bedrohungsfall zu erkennen. Nach im Schnitt 25 Minuten haben sie den Angreifer analysiert, nach weiteren zwölf Minuten ausgeschaltet. Vom Auftritt der Bedrohung bis zu ihrer Beseitigung vergehen so durchschnittlich 38 Minuten. Würde sich ein internes IT-Team um den Vorfall kümmern, so Gemander, würden bis zum Abschluss des Falls mindestens drei Stunden, oft sogar bis zu 30 Stunden vergehen. In dieser Zeit könne ein Cyber-Angriff bereits erheblichen Schaden anrichten.
Die Geschäftsführer eines Unternehmens sind schon in ihrem eigenen Interesse gefordert, den Betrieb gegen Cybercrime zu schützen, denn sie haften unter Umständen für mögliche Schäden.
Zu den direkten Kosten, zum Beispiel durch Erpressung und Betriebsunterbrechung, kann ein Verlust von Daten kommen, darunter auch Kundendaten. Das kann einen schwerwiegenden Verstoß gegen Datenschutzrichtlinien bedeuten mit schwer kalkulierbaren Folgen unter anderem durch den Vertrauensverlust bei Kunden und Geschäftspartnern. Peter Gemander rät, Bedrohungen der IT-Sicherheit nicht auf die leichte Schulter zu nehmen.
Die Geschäftsführer eines Unternehmens sind schon in ihrem eigenen Interesse gefordert, den Betrieb gegen Cybercrime zu schützen, denn sie haften unter Umständen für mögliche Schäden.
Zu den direkten Kosten, zum Beispiel durch Erpressung und Betriebsunterbrechung, kann ein Verlust von Daten kommen, darunter auch Kundendaten. Das kann einen schwerwiegenden Verstoß gegen Datenschutzrichtlinien bedeuten mit schwer kalkulierbaren Folgen unter anderem durch den Vertrauensverlust bei Kunden und Geschäftspartnern. Peter Gemander rät, Bedrohungen der IT-Sicherheit nicht auf die leichte Schulter zu nehmen.
FORUM/Ulrich Nettelstroh/Brandenburg Media
“Das geht alle Unternehmen etwas an”
Die EU hat die Cybersicherheits-Richtlinie NIS2 erlassen. Was das für Firmen bedeutet, erläutert Volker Fett von der Transferstelle Cybersicherheit im Mittelstand.
Volker Fett ist Projektleiter in der Transferstelle Cybersicherheit im Mittlestand
Mit der NIS2 will die EU wichtige Infrastrukturen besser gegen IT-Störungen und Angriffe schützen. Die Vorgabe regelt die Informationssicherheit von Unternehmen und Institutionen – und muss noch in deutsches Recht umgesetzt werden. Für die Wirtschaft ergeben sich daraus neue Anforderungen – und Chancen.
FORUM: Herr Fett, Sie haben die NIS2-Richtlinie schon auf vielen Veranstaltungen vorgestellt. Welche Frage hören Sie dazu von den Unternehmern am häufigsten?
VOLKER FETT: Oft werde ich gefragt, ob man sich damit überhaupt auseinandersetzen muss.
FORUM: Worum geht es im Kern bei NIS2?
VOLKER FETT: Mit der NIS2 sollen kritische Infrastrukturen und letztlich das Funktionieren der Gesellschaft gesichert werden. Die Richtlinie legt für viele Unternehmen und Organisationen in kritischen Sektoren Sicherheitsmaßnahmen und Meldepflichten fest.
FORUM: Die Richtlinie verpflichtet Unternehmen zu strengeren Sicherheitsmaßnahmen. Können Sie die wichtigsten nennen?
VOLKER FETT: Unternehmen, für die NIS2 gilt, müssen ein Informationssicherheitsmanagement aufsetzen. Das heißt, sie müssen die Vertraulichkeit, die Integrität und die Verfügbarkeit von Informationen gewährleisten. Erforderlich ist außerdem ein Notfallmanagement. Ein Unternehmen muss vorab regeln, was zu tun ist, wenn es angegriffen wird. Dabei sollte es auch seine Lieferketten im Blick haben und bedenken, welche Auswirkungen ein Notfall bei seinen Lieferanten oder Dienstleistern hat. Firmen sind außerdem verpflichtet, ihre Mitarbeiter zu schulen.
FORUM: Nach der neuen Regelung aus Brüssel müssen sich auch Geschäftsführer weiterbilden. Können Sie dazu etwas sagen?
VOLKER FETT: Auch die Geschäftsführer sind verpflichtet sich weiterzubilden. Das ist ein Unterschied zur Datenschutzgrundverordnung (DSGVO), wo das nicht so explizit verlangt wird. Geschäftsführer müssen nach der NIS2 zum Beispiel grundlegend verstehen, welche Auswirkungen IT-Sicherheitsvorfälle auf ihr Unternehmen haben können und wie man sich schützen kann. Sie können das Thema Cybersicherheit nicht allein an Mitarbeiter delegieren.
FORUM: Die EU-Richtlinie muss in nationale Gesetze überführt werden. In Deutschland gibt es ein solches Gesetz noch nicht, nur Referentenentwürfe. Wie sicher können wir denn sein, dass alles das, worüber wir jetzt gesprochen haben, am Ende gilt?
VOLKER FETT: Ich gehe davon aus, dass sich an den jetzt vorliegenden Entwürfen bis auf Kleinigkeiten nicht mehr viel ändern wird. Mit dem deutschen NIS2-Umsetzungsgesetz wird man meines Erachtens im Herbst dieses Jahres rechnen können.
FORUM: Sie deuteten es bereits an, nicht alle Unternehmen sind von der NIS2 erfasst. Für wen trifft das künftige Gesetz zu?
VOLKER FETT: In Deutschland werden das circa 35 000 Unternehmen sein. Es gibt dafür verschiedene Kriterien. Vor allem handelt es sich mit wenigen Ausnahmen um Unternehmen, die mindestens 50 Mitarbeiter beschäftigen oder deren Umsatz beziehungsweise die Bilanzsumme mehr als zehn Millionen Euro beträgt. Betreiber bestimmter kritischer Anlagen gehören gleichfalls dazu.
FORUM: Wie findet ein Unternehmen heraus, ob es von NIS2 betroffen ist?
VOLKER FETT: Es wird eine Betroffenheitsprüfung im Internet geben. Aber man kann sich auch bereits jetzt informieren. Die Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bietet zum Beispiel einen solchen Check an.
FORUM: Wenn das erwartete NIS2-Umsetzungsgesetz vornehmlich größere Firmen erfasst, dann heißt das aber doch, dass sich kleinere Unternehmen mit wenigen Mitarbeitern zurücklehnen können…
VOLKER FETT: Wir sprechen hier von IT- und Netzwerksicherheit. Das geht alle Unternehmen etwas an, egal, ob sie 500 oder fünf Mitarbeiter haben. Auch Unternehmen, die dem Gesetz nicht unterliegen, sollten sich mit diesen Themen auseinandersetzen. Gerade für kleine Unternehmen kann zum Beispiel ein Ransomware-Angriff, also eine Verschlüsselung von Daten und der Abgriff selbiger durch eine Software, existenzgefährdend sein.
FORUM: NIS2 fordert auch eine höhere Sicherheit innerhalb der Lieferketten. Was bedeutet das für kleine Betriebe, die nicht der Richtlinie unterliegen, aber Zulieferer oder Dienstleister für ein großes Unternehmen sind?
VOLKER FETT: Es ist davon auszugehen, dass große Unternehmen ihre Verträge mit Zulieferern und Dienstleistern anpassen. Das heißt, sie werden zumindest sicherstellen wollen, dass sie rechtzeitig über einen IT-Vorfall bei einem Zulieferer informiert werden. Kleine Betriebe können NIS2 auch als Chance sehen: Wenn sie ein eigenes Notfallmanagement vorweisen, könnte das ein Vorteil bei einer Auftragsvergabe sein. Umgekehrt müssen aber auch größere Unternehmen beachten, welche Auswirkungen ein Angriff gegen sie selbst auf ihre Zulieferer und Dienstleister haben kann. Letztlich geht es darum abzusichern, dass Lieferketten weiter funktionieren.
FORUM: Was bietet die Transferstelle Cybersicherheit im Mittelstand für Unternehmen an, die sich über NIS2 beziehungsweise das noch ausstehende Gesetz informieren wollen?
VOLKER FETT: Wir haben im vergangenen Jahr mehr als 200 Veranstaltungen zum Thema IT und Cybersicherheit angeboten und werden dies weiter tun. Außerdem können Firmen auf unserer Website einen „Cybersicher-Check“ absolvieren. Wir helfen ihnen, im Notfall schnell Kontakt zu IT-Experten aus der Wirtschaft zu bekommen und bieten viel Wissen rund um das Thema Cybersicherheit auf unserer Website. Diese Angebote sind sämtlich kostenfrei.
Es fragte Ina Matthes
NIS2 - Worum geht es? Die NIS2-Richtlinie ist eine EU-weite Vorgabe zur Erhöhung der Cybersicherheit, die in Deutschland durch das NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) umgesetzt wird. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) ist dabei eine zentrale Stelle, sowohl für die Umsetzung als auch für die Aufsicht über betroffene Unternehmen. Auf der Seite des BSI gibt es weitere Informationen und auch einen Check, mit dem Unternehmen herausfinden können, ob sie betroffen sind.
Wie Hacker sich Vertrauen erschleichen
Cybersicherheits-Experte Fabian Mildner zu den Risiken, die in öffentlich verfügbaren Informationen über Unternehmen stecken.
Fabian Mildner ist Informatik-Student und Präsident des CTF-Clubs an der BTU.
Fabian Mildner ist Informatikstudent an der Brandenburgisch Technischen Universität Cottbus-Senftenberg (BTU) und Mitgründer und Präsident des BTU CTF Clubs, der sich mit Cybersicherheit befasst. Hacker nutzen u. a. öffentlich zugängliche Daten für ihre Angriffe. Was Unternehmen über sich preisgeben, sagt Mildner, sei letztlich Abwägungssache. Wichtig sei auch eine allgemeine Kenntnis der Taktiken der Hacker.
FORUM: Welche Rolle spielen öffentlich zugängliche Daten – etwa auf Social Media – bei Hackerangriffen auf Unternehmen?
FABIAN MILDNER: Eine sehr große Rolle! Angreifer nutzen gezielte Techniken, sogenanntes „Social Engineering“, um Personen zu täuschen oder ihr Vertrauen zu gewinnen und damit an den Hürden sicherer IT Systeme vorbeizukommen. Das ist die häufigste Ursache für einen Hack.
Hier kommen die öffentlich zugänglichen Daten ins Spiel: Je mehr ein Angreifer über das Unternehmen, die Mitarbeiter und deren interne Prozesse weiß, desto mehr Vertrauen kann er erwecken. Ein klassisches Beispiel sind Phishing E–Mails, bei denen sich Angreifer oft als Kollegen oder Vorgesetzte ausgeben, um Personen dazu zu bringen, sensible Daten preiszugeben. Auch plötzliche Warnungen von Dienstleistern und Partnern des Unternehmens und zugehörige Zahlungsaufforderungen sind eine beliebte Variante. Aber ein engagierter Angreifer kann noch viel weiter gehen, etwa indem er Videoanrufe mittels KI inszeniert oder gezielt unsichere Prozesse innerhalb des Unternehmens ausnutzt. Vieles hiervon lässt sich sogar schon automatisiert und ohne großen Aufwand auf eine Firma zuschneiden, sodass selbst kleine Unternehmen schnell zum Opfer eines ausgefeilten Angriffsszenarios werden können.
Hier kommen die öffentlich zugänglichen Daten ins Spiel: Je mehr ein Angreifer über das Unternehmen, die Mitarbeiter und deren interne Prozesse weiß, desto mehr Vertrauen kann er erwecken. Ein klassisches Beispiel sind Phishing E–Mails, bei denen sich Angreifer oft als Kollegen oder Vorgesetzte ausgeben, um Personen dazu zu bringen, sensible Daten preiszugeben. Auch plötzliche Warnungen von Dienstleistern und Partnern des Unternehmens und zugehörige Zahlungsaufforderungen sind eine beliebte Variante. Aber ein engagierter Angreifer kann noch viel weiter gehen, etwa indem er Videoanrufe mittels KI inszeniert oder gezielt unsichere Prozesse innerhalb des Unternehmens ausnutzt. Vieles hiervon lässt sich sogar schon automatisiert und ohne großen Aufwand auf eine Firma zuschneiden, sodass selbst kleine Unternehmen schnell zum Opfer eines ausgefeilten Angriffsszenarios werden können.
FORUM: Welche Datenquellen nutzen Hacker für Social Engineering neben Facebook, LinkedIn oder X. Welche sollte man noch im Blick haben?
FABIAN MILDNER: Zunächst einmal sind die sozialen Netzwerke natürlich eine sehr ergiebige Quelle. Social Media ist allerdings eher die zweite Anlaufstelle für einen Angreifer, der es etwas ernster meint. Die nützlichsten Informationen für einen simplen Angriffsversuch findet man in der Regel schon auf der Unternehmensseite: Neben generellen Kontaktadressen sowie nennenswerten Partnern geben viele Unternehmen auch Namen und Rollen höherrangiger Kollegen preis – ein gefundenes Fressen für diejenigen, welche die Mitarbeiter im Namen des Chefs unter Druck setzen wollen. Im Zeitalter der künstlichen Intelligenz sind auch kompliziertere Attacken, wie etwa täuschend echte Telefonate oder Videokonferenzen, möglich. Hierfür braucht ein Angreifer zunächst echte Audioaufnahmen, Bilder und Videos zur Referenz – diese könnten etwa auf YouTube, im Lokalradio oder in Onlinezeitschriften zu finden sein. Ein energischer Angreifer kann sich auch konkrete, scheinbar nicht–öffentliche Daten aus dem Darknet beschaffen – von der Passagierliste im Flugzeug bis zur Polizeidatenbank. Dies lohnt sich allerdings nur bei (sehr) hochwertigen Zielen. Übrigens: Wer sich mit Cyber Security befasst, muss oft auch in mehreren Ebenen denken. Ein Angreifer kann, sobald er an diese herangekommen ist, auch interne Informationen zu seinen Zwecken nutzen. In der Praxis sollte man also immer gut überlegen, welche Informationen man wem zugänglich macht und Geheimnisse immer entsprechend vertraulich behandeln, ohne sie an ungeeigneten Stellen zwischenzuspeichern.
FORUM: Wie findet ein Unternehmen heraus, welche seiner Daten im Umlauf sind? Gibt es einfach handhabbare Tools zur Überwachung?
FABIAN MILDNER: Natürlich wünscht sich jeder solche Tools, mit denen man einfach und unkompliziert prüfen kann, ob sensible Daten im Umlauf sind. Das wissen auch potentielle Hacker. Deshalb sollte man solche Tools mit einem gesunden Maß an Skepsis behandeln – denn oft benötigen sie die Angabe von mehr oder weniger sensiblen Daten, um zu funktionieren. Das kann einem Angreifer natürlich in die Hände spielen. Man sollte sich also zunächst gut informieren, bevor man ein solches Werkzeug nutzt. Was gezielte Hacks und Accountdaten angeht, ist haveibeenpwned.com eine etablierte Website. Sie erlaubt es, zu prüfen, ob eine angegebene E–Mail Adresse in einem gehackten Datensatz (inklusive Passwörtern und ggf. sonstigen Informationen) zu finden ist. Wer hier fündig wird, sollte schnellstens handeln und etwaige Passwörter aktualisieren. Auch ChatGPT ist bereits jetzt in der Lage, automatische Suchen durchzuführen und dadurch aktuelle Zusammenfassungen über Themen, Personen und Unternehmen zu liefern. Es ist gut denkbar, dass dieses und ähnliche Werkzeuge schon bald einen guten Überblick über öffentliche Informationen eines Unternehmens liefern können – sowohl für Unternehmer, als auch für Hacker.
FORUM/OBB/CB
BTU CTF Club: Fabian Mildner (24) studiert Informatik an der BTU Cottbus–Senftenberg. In seinem Masterstudium konzentriert er sich unter anderem auf den Bereich Cyber Security. Nach einer Initiative zweier Cyber-Security-Studenten wurde er Mitgründer des BTU CTF Clubs (CTF - Capture the Flag), den er heute als Präsident repräsentiert. Der Club will eine praktische Sicht auf die Welt der Cybersicherheit vermitteln, inklusive Blick auf reale Hacks und Werkzeuge. Ein besonderes Augenmerk sind sogenannte Capture-The-Flag Tournaments, bei denen es darum geht, als Team Aufgaben zur Cybersicherheit im internationalen Wettbewerb zu lösen.
Kontakt
Jens Jankowsky
Referent Innovation/Energie
Geschäftsbereich Wirtschaftspolitik