Titelthema Cybersicherheit

Stellen Sie sich vor, Ihr Unternehmen steht still. Keine E-Mails, keine Rechnungen, keine Gehälter. Stattdessen flattert eine Lösegeldforderung ins Postfach – Millionen, sonst bleiben Ihre Daten verschlüsselt. Szenarien wie diese sind längst keine Ausnahme mehr, sondern tägliche Realität in deutschen Firmen.
Wird man Ziel einer Cyberattacke, heißt es schnell reagieren, sagt Moritz Huber, ehemaliger Kriminalbeamter und Chef der Kirchheimer SmartSEC GmbH.
Hacker agieren nicht mehr als isolierte Tüftler im Hoodie, sondern als hochprofessionelle, global vernetzte Organisationen, die monatelang ihre Opfer ausspionieren, um im entscheidenden Moment zuzuschlagen. Und: Die Frage ist nicht, ob es passiert – sondern wann. Und ob Ihr Unternehmen vorbereitet ist, wenn der Ernstfall eintritt.
„Der Mensch ist der schwächste Punkt“ – das ist eine Binsenwahrheit, wenn es um Cybersicherheit geht. Am effektivsten sei es, so wird oft gefolgert, die Mitarbeiter für Risiken zu sensibilisieren. Und doch stimmt Dr. Moritz Huber nur bedingt zu. „Solange es möglich ist, dass der Klick eines beliebigen Mitarbeiters das Unternehmen in eine existenzielle Krise bringt, kann man nicht wirklich von Sicherheit reden“, sagt der ehemalige Kriminalhauptkommissar, der nach einer Karriere beim LKA und als Hochschulprofessor die Sicherheitsfirma SmartSEC GmbH in Kirchheim/Teck gegründet hat.

Technische Barrieren sind entscheidend

Selbst noch so gut geschulte Mitarbeiter machen Fehler, wie Huber aus Erfahrung weiß. Und: Nicht alle entwickeln ein anhaltendes Gefahrenbewusstsein, sondern agieren bald nach dem Sicherheitsbriefing schon wieder gefährlich sorglos. „Awareness ist wichtig, aber sie hat ihre Grenzen“, sagt der 38-Jährige deshalb. „Entscheidend sind die technischen Barrieren.“ Die IT-Sicherheitstechnik biete viele Möglichkeiten, mit sehr einfachen Maßnahmen lasse sich schon viel erreichen.

Dazu lohnt es sich, das Vorgehen der Internetkriminellen näher zu betrachten. Fast alle Unternehmen nutzen für ihre tägliche Arbeit cloudbasierte Dienste. Mit jedem Endgerät, an jedem Ort der Welt kann man sich so in das Firmennetzwerk einloggen und anfangen zu arbeiten. Leider können dies auch Cyberkriminelle, sofern sie sich, zum Beispiel über Phishing, Benutzernamen und Passwort verschafft haben.

Cyberkriminelle haben Geduld

Dann verfolgen die Angreifer geduldig den Datenverkehr, bis sich ihnen die Gelegenheit bietet, die Anmeldedaten eines Administrators abzufangen. Sind sie im Besitz dieser Daten, kann man sie kaum noch aufhalten: Nach Belieben laden sie Kundenlisten, Verträge, Personalakten der Mitarbeiter und andere sensible und vertrauliche Informationen herunter. Die Datenträger des Unternehmens werden verschlüsselt und für alle rechtmäßigen Nutzer unzugänglich gemacht, meist zerstören die Gangster auch noch die Backups, sofern diese über das Netzwerk zugänglich sind.
„Aber man kann den Angriff erschweren“, erklärt Huber: „Zum Beispiel, indem man eine weitere, physische Sicherheitskomponente hinzunimmt.“ Er rät dazu, einen Security-Token zu verwenden, den man im Elektronikhandel für weniger als 100 Euro bekommt. „Die Zugangsdaten nützen den Cyberkriminellen dann nichts, solange sie den Stick nicht haben.“ Das ist die Zwei-Faktor-Authentifizierung, die man auch vom Handy kennt – nur deutlich komfortabler.

Ist der Angriff da, heißt es schnell reagieren

Ein weiteres Einfallstor sind Schadprogramme, die meist über E-Mails oder vorhandene Software-Schwachstellen eingeschmuggelt werden. Oft sind sie so raffiniert designt, dass konventionelle Firewalls und Virenschutzprogramme sie nicht anhand typischer Sequenzen erkennen können. Deshalb rät Moritz Huber, moderne Sicherheitssoftware zum Schutz der Endgeräte und Server einzusetzen. „Diese Systeme analysieren permanent das Verhalten der firmeneigenen Software auf allen Geräten und schlagen Alarm, wenn sie ungewöhnliche Aktivitäten feststellen.“ End-Point-Protection (EPP) lautet der Fachausdruck dafür.
Von da an muss man vor allem schnell reagieren, sagt Huber. Denn in der ersten Phase schauen sich die Eindringlinge erst einmal um, erforschen die Sicherheits- und Backup-Systeme und kundschaften aus, wie sie ihre Rechte erweitern können, um das Firmennetz zu übernehmen. Handelt man rasch, isoliert befallene Bereiche und schaltet betroffen Geräte ab, lässt sich das Schlimmste meist noch verhindern. „Wenn man allerdings erst am nächsten Morgen den Computer hochfährt und feststellt, dass sich Cyberkriminelle schon seit neun Stunden im Netzwerk herumtreiben, ist es oftmals schon viel zu spät.“

Rund um die Uhr handlungsfähig sein

Größere und mittlere Unternehmen stellen deshalb mit einem „Security Operation Center“ sicher, dass qualifizierte Mitarbeiter rund um die Uhr bereitstehen, um einzugreifen. Doch auch für kleinere Firmen ist es lebenswichtig, dass stets eine Person auf einen Alarm reagieren kann und weiß, was zu tun ist. Zwar gibt es auch Schutzprogramme, die die nötigen Schritte automatisch einleiten. Dies kann laut Huber jedoch auch ungewollte Folgen haben: „Stellen Sie sich einen Industriebetrieb vor, in dem alle Maschinen abgestellt und die gesamte Produktion gestoppt wird – und dann war es falscher Alarm. Die Entscheidung zum Einsatz solcher Programme muss daher in jedem Einzelfall sorgfältig abgewogen werden.
Eine weitere Schutzmaßnahme: Das ­gesamte IT-Netzwerk mit allen Endgeräten muss „gehärtet“ sein – das heißt, allen Mitarbeitern werden nur die Zugriffsrechte gewährt, die sie unbedingt brauchen. Aktive USB-Schnittstellen sind ein No-Go, ebenso der Zugriff auf die Systemsteuerung und sei es nur um das Hintergrundbild am Bildschirm zu ändern. So verringert man die Wahrscheinlichkeit, dass Mitarbeiter einen Fehler machen und den Angreifern damit die Türen öffnen. Zum „Härten“ gehört auch, dass der Abfluss von Daten an den Software-Hersteller auf ein Minimum begrenzt wird.

Software stets auf dem neuesten Stand halten

Und, das vielleicht Allerwichtigste: Neue Sicherheits-Updates müssen regelmäßig auf allen Rechnern installiert werden – und zwar, sobald ein Computer, Tablet oder Handy online geht. Dazu gibt es so genannte Patch-Management-Systeme – eine Software, die Updates nicht nur umfassend ausführt, sondern dem Administrator auch jederzeit den Überblick verschafft, auf welchen Geräten der Patch noch aussteht.
Kann man sich getrost zurücklehnen, wenn man diese Maßnahmen umgesetzt hat? Nein, denn „hundert Prozent Sicherheit gibt es nicht“, sagt Moritz Huber, „das ist eine Illusion.“ Cyberkriminelle nutzen wirklich jedes Schlupfloch aus. Es genügt ein kleiner, scheinbar unbedeutender Fehler, etwa ein Programmierfehler in einem Dienst- oder Anwendungsprogramm, von dem die IT-Experten keine Ahnung haben. „Dann bringt dem Unternehmen auch die beste Prävention nichts mehr.“ Deshalb stellt sich Huber darauf ein, dass selbst seine mit allen Wassern gewaschene IT-Sicherheitsfirma Opfer eines Cyberangriffs werden könnte.
„Mindestens ebenso wichtig wie einem Cyberangriff vorzubeugen ist es, zu wissen was man tut, wenn er da ist“, schließt der Experte daraus. Denn dass es irgendwann einmal geschieht, ist so gut wie sicher.
Online-Gangstern Lösegeld zu zahlen, ist keine gute Idee, so Dr. Heiko Roßnagel vom Fraunhofer IAO.
Auch Dr. Heiko Roßnagel vom Fraunhofer Institut für Arbeitswirtschaft und Organisation rät den Unternehmen, Pläne für den Fall der Fälle zu entwickeln. „Wenn die Krise da ist, ist es dafür zu spät, denn es zählt jede Minute.“ Vor allem sei es wichtig, ein Notfallhandbuch zu erstellen, in dem notwendige Schritte und Verantwortlichkeiten festgelegt sind. Damit kann ein Schaden nicht abgewendet werden, aber man kann verhindern, dass er noch größer wird.
Der Zeitdruck ist dann groß, und das nicht nur durch die Lösegeldforderung der Cybergangster. Denn ist es einem Angreifer gelungen, personenbezogene Daten abzuziehen, ist das betroffene Unternehmen dazu verpflichtet, es binnen 72 Stunden an den Landesdatenschutzbeauftragten zu melden. Das ist nicht immer einfach, da zunächst oft gar nicht klar ist, was genau passiert ist und welche Daten betroffen sind. „Es ist daher absolut essenziell, die Abläufe zuvor durchgespielt und im Notfallhandbuch festgeschrieben zu haben.“

Wer einen Angriff verheimlicht, riskiert hohes Bußgeld

Wird die Frist gerissen, drohen hohe Bußgelder – im Extremfall bis zu vier Prozent des Jahresumsatzes. Dies zu dem ohnehin meist hohen wirtschaftlichen Schaden, der dem Unternehmen durch den Angriff entsteht. Für einzelne Branchen wie die Finanzwirtschaft gelten sogar noch strengere Fristen.
Ist es den Angreifern gelungen, die Datenträger des Zielunternehmens zu verschlüsseln, präsentieren sie in der Regel eine Lösegeldforderung, die je nach Größe des Unternehmens von einigen Tausend bis mehrere Millionen reichen kann.

Den Erpressern nachzugeben ist keine Lösung

„In der ersten Panik kann die Versuchung zu zahlen groß sein“, sagt Roßnagel. Das ganze Unternehmen steht still, es können weder Rechnungen gestellt noch Gehälter gezahlt werden, es gehen keine E-Mails ein und aus. Und selbst wenn alles durch ein Team aus IT-Profis wieder zum Laufen gebracht werden kann, erreichen die Kosten sehr schnell den sechsstelligen Bereich. Das ist aber noch nicht alles: Wurden Daten gestohlen, kursieren Führerscheine, Personalausweise und Kontonummern der Mitarbeiter im Darknet, ebenso sensible Daten von Kunden und Lieferanten.
Doch wie alle anderen Experten rät Roßnagel dringend davon ab, sich darauf einzulassen. Nicht nur, weil man den Erpressern damit den nächsten Coup finanziert. „Wenn Sie der Erpressung einmal nachgegeben haben, kommen Sie nicht mehr heraus“, erklärt der Experte. Oft rücken die Erpresser nur einen Teil der Daten heraus und stellen eine neue Forderung. So kann es eine ganze Weile weitergehen. Und: Warum also sollten die Kriminellen Wort halten und die Daten nach erfolgter Lösegeldzahlung wirklich wieder freigeben? Warum sollten sie nicht Kopien sensibler Daten zurückbehalten und im Darknet noch einmal abkassieren? „Skrupel kennen diese Leute nicht“, so Roßnagel.
Aber selbst wenn: „Welchen Sinn macht es, ein gehacktes System wieder in Betrieb zu nehmen, in das die Cyberkriminellen jederzeit wieder hineinmarschieren können?“ Um den Neuaufbau seiner gesamten IT-Infrastruktur kommt das betroffene Unternehmen also auf keinen Fall herum. Das kostet zwar, ermöglicht aber einen Neuanfang.

Der Hafnium-Hack als Weckruf

Wie wichtig es ist, gut vorbereitet zu sein, hat die Brighina GmbH vor fünf Jahren schmerzlich erlebt. Damals wurde das Elektrotechnik-Unternehmen aus Sindelfingen-Darmstein Opfer des so genannten Hafnium-Hacks, der eine Sicherheitslücke im Microsoft-Exchange-Server nutzte, mit dem die Office-Dienste des IT-Riesen arbeiten. Der Vorfall war ein Musterbeispiel für die These von Moritz Huber, dass bei Programmierfehlern in der erworbenen Software auch die beste Prävention nicht hilft. Denn als der Konzern die Lücke bemerkte und ein Sicherheitsupdate zur Verfügung stellte, hatten Hacker schon zugeschlagen.
Dennis Ciavarella, IT-Chef der Brighina GmbH, weiß aus Erfahrung: Die Firma gegen Hacker zu schützen, ist ein Projekt, das nie endet.
„Wir haben großes Glück gehabt, dass wir den Angriff in einem frühen Stadium erkannt und sehr schnell Gegenmaßnahmen ergriffen haben“, sagt Dennis Ciavarella, IT-Chef des Sindelfinger Unternehmens. Letztlich war bei Brighina nach zehn Tagen wieder klar Schiff, mit rund 10.000 Euro hielten sich die Kosten in vergleichsweise engen Grenzen. Bei zahlreichen Firmen ist der Schaden so groß, dass sie nach einem Hackerangriff Insolvenz anmelden müssen. Kürzlich traf es einen traditionsreichen Hersteller von Servietten im Rheinland mit 240 Mitarbeitern.
Brighina hatte Glück, „weil wir schon damals hinsichtlich Firewall und Virenschutz besser aufgestellt waren als das durchschnittliche mittelständische Unternehmen“, so Ciavarella. Inzwischen haben die Sindelfinger sowohl Prävention als auch Reaktionsfähigkeit noch deutlich verbessert. So wurden Firewall und Virenschutz ausgebaut – unter anderem mit der Anschaffung eines Systems mit End-Point-Protection. Das gesamte IT-Netzwerk wurde maximal gehärtet und ein Patch-Management-System installiert.
Backups aller wichtigen Daten werden bei Brighina engmaschig und mehrfach redundant erstellt und – das ist besonders wichtig – auch außerhalb des Netzwerks gespeichert. Eindringlinge haben so im Fall der Fälle keine Chance, die lebenswichtigen Backups zu zerstören und so den Wiederaufbau der Unternehmensdaten zu sabotieren. „Bei uns liegt eine Kopie immer auf separaten Datenträgern im Safe“, sagt der IT-Chef.

Backups auf Datenträgern im Safe

Nach dem glimpflich überstandenen Hafnium-Hack war die Geschäftsführung der Sindelfinger Firma gerne bereit, hierfür Geld in die Hand zu nehmen. Für Ciavarella ist klar: „Wer heute nicht bereit ist, Geld in die IT-Sicherheit zu investieren, sollte sein Unternehmen lieber gleich dichtmachen.“ Das gelte auch für gutes Personal, das nur schwer zu bekommen sei: „Für 42.000 Euro Jahresgehalt steht heute kein IT-ler mehr auf.“
Fertig ist man bei Brighina immer noch nicht. „Zu einem guten IT-Sicherheitskonzept gehört, dass man regelmäßig überprüft, ob der Schutz noch dem neuesten Stand der Technik entspricht“, sagt der IT-Chef. „Es ist wie ein Baby, das nie groß werden will.“
Zumal die Internet-Kriminellen immer besser werden und sich allerneuester Technik bedienen. Laut Bundesamt für Sicherheit in der Informationstechnologie (BSI) wurden im Jahr 2024 weltweit täglich (!) 309.000 neue Malware-Varianten entdeckt. „Die Möglichkeiten der Internetkriminellen haben sich in den vergangenen Jahren sehr stark verbessert – vor allem durch generative KI“, sagt Mirko Ross, Chef des Stuttgarter IT-Sicherheitsunternehmens Asvin.

Daten schützen – auch physisch

Nicht vergessen sollte man, dass Datenräuber nicht immer nur digital arbeiten. Auch Rechenzentren, in denen Unternehmen ihre Daten speichern, sind ein möglicher Angriffspunkt. Sie müssen deshalb gegen ganz gewöhnlichen Einbruch gesichert werden, damit niemand hineinspaziert und sich an den Servern bedient oder Schaden anrichtet. Und nicht nur das: Wenn der Server, auf dem sensible Daten gespeichert sind, abbrennt, angezapft wird oder bei einem Wasserschaden absäuft, ist das Unglück nicht geringer als bei einer Attacke über das Netz.

Gegen Ausfälle mehrfach gesichert

Diese Überlegungen haben die Energieversorgung Filstal (EVF) schon vor fast einem Jahrzehnt bei der Planung ihres Colocation-Data-Centers (CDC) im Gewerbegebiet Stauferpark geleitet. „Als kommunaler Anbieter und Betreiber kritischer Infrastruktur wollten wir damit unserer Verantwortung besser gerecht werden“, erklärt EVF-Geschäftsführer Handel und Finanzen, Andreas Bantel.
Das Rechenzentrum des Energieversorgers ist gesichert wie Fort Knox. Schon bei der Standortwahl zu Gunsten des Stauferparks spielte eine Rolle, dass weder Hochwasser noch eine benachbarte Erdgaspipeline noch die Erschütterungen vorbeifahrender Züge die Sicherheit der Server gefährden durften – so gering jedes einzelne Risiko auch erschien. Damit die gespeicherten Daten immer verfügbar bleiben, ist die gesamte Infrastruktur doppelt, teilweise mehrfach vorhanden.
Andreas Bantel und Matthias Brandmaier im Herzen des Colocation-Data-Centers. Das Göppinger Rechenzentrum ist gegen Einbruch, Stromausfall und Naturkatastrophen mehrfach gesichert.
Das gilt für die Klimatisierung, die Löschsysteme, die Sicherheitstechnik und natürlich für die Stromversorgung: Das Zentrum kann seinen Strom aus drei verschiedenen Stadtteilnetzen beziehen und der Betreiber hat das städtische Stromnetz selbst in der Hand. Sollten alle drei ausfallen, springt ein Generator an, der mit mehreren verschiedenen Brennstoffarten betrieben werden kann. Um die wenigen Minuten bis dahin zu überbrücken, gibt es im Gebäude noch einen batterieelektrischen Speicher. „Wir erfüllen insgesamt mehr Anforderungen als es die Verfügbarkeitsklasse 3 der entsprechenden DIN-Norm erfordert“, sagt Rechenzentrums-Leiter Matthias Brandmaier. „Ein höherer Standard ist nur im militärischen und medizinischen Umfeld oder in der Forschung üblich.“
Wer in die Datenfestung hineinwill, muss nicht nur den richtigen Schlüsselchip vorhalten, sondern auch noch per Handvenenscan nachweisen, dass er zutrittsberechtigt ist. „Ein Fingerabdruck wäre zuwenig, da diese Methode zu unsicher ist und bei vielen Menschen erst gar nicht funktioniert, etwa wenn sie mit Laugen oder Baumaterial arbeiten“, sagt Brandmaier. Hat man es in das Gebäude geschafft, braucht man noch einen zusätzlichen Schlüssel, um an das Allerheiligste, die Hardware, zu gelangen.
Einigen Firmen, die sich im CDC eingemietet haben, ist auch das noch nicht genug: Sie sichern ihren Server mit einem zusätzlichen Stahlkäfig, der zusätzlich mit einer weiteren Zwei-Faktor-Autorisierung geschützt ist. Selbstverständlich ist das Gebäude innen und außen rund um die Uhr kameraüberwacht – und ein Sicherheitsteam steht ebenfalls Tag und Nacht bereit.

Lokales Rechenzentrum kommt gut an

Derzeit ist das Zentrum zu 70 Prozent ausgelastet, sagt EVF-Geschäftsführer Bantel, doch ein weiterer Bauabschnitt ist schon in der Planung und darüber hinaus gibt es Platz für Erweiterungsschritte. Etwa 40 Kunden haben ihre Daten bisher der EVF anvertraut. Sie stammen meist aus der Region, aber auch aus Bayern, Hessen und der Schweiz. „Viele sind Rückkehrer aus der Cloud“, sagt Brandmaier, „sie trauen den internationalen Anbietern nicht mehr ohne weiteres und wollen wissen, wo ihre Daten sind“. Andererseits wollen sie aber wegen der Gefahr von Bränden und Naturkatastrophen auch nicht alles im eigenen Unternehmen konzentrieren.
Das Fazit: Hundert Prozent Sicherheit gibt es nicht. Aber wer seine Systeme härtet, Updates konsequent einspielt, Notfallpläne vorbereitet, Backups klug aufbewahrt und die Mitarbeiter sensibilisiert, senkt das Risiko dramatisch. Entscheidend ist, Sicherheit nicht als einmaliges Projekt zu sehen, sondern als dauerhaften Prozess. Oder wie es Moritz Huber formuliert: „Die Frage ist nicht, ob der Angriff kommt – sondern ob Sie dann wissen, was zu tun ist.“

So beugen Sie vor

1. Sicherheitsbewusstsein der Mitarbeiter: Schulungen zu Phishing, Social Engineering und sicheren Umgang mit Daten

2. Starke Passwörter & Multi-Faktor-Authentifizierung (MFA) verwenden: Komplexe, individuelle Passwörter verwenden, MFA aktivieren z. B. mit einer Authenticator App

3. Regelmäßige Updates: Betriebssysteme, Anwendungen und Geräte stets aktuell halten

4. Netzwerkschutz: WLAN-und LAN-Netzwerke absichern (starke Verschlüsselung, separate Gäste-Netze, Liste von erlaubten Geräten, blockieren von nicht genutzten Fernzugängen).

5. Antivirus- & Endpoint-Security-Lösungen: Aktuelle Antivirus- und Anti-Malware-Software einsetzen

6. Regelmäßige Backups: Automatisierte Backups einrichten und Wiederherstellung prüfen

7. Zugriffsrechte beschränken: Rollenbasierte Zugriffskontrolle einsetzen und Rechte auf das Notwendige beschränken

8. Sicherer Umgang mit E-Mails: Spamfilter aktivieren. E-Mail-Anhänge und Links vor jedem Klick kritisch prüfen

9. Gerätesicherheit: Verschlüsselung von Festplatten und mobilen Geräten. Physische Sicherheit z. B. keine Laptops unbeaufsichtigt offen liegen lassen

10. Notfallplan nach IHK-Muster erstellen