Cyber-Sicherheit: Schutz vor Phishing, Ransomware & Co.

Ein Antipode gegen die digitalen Teufeleien aus dem Darknet, gegen die Hacker dieser Welt. Tatsächlich ist Hofmann Experte für IT-Security mit mehr als 40 Jahren Berufserfahrung sowie Gründer und Geschäftsführer der meco IT GmbH in Weingarten. Er betreut mit seinem Team kleine und mittelständische Unternehmen zu IT-Sicherheit und -Infrastruktur. Und manchmal sind er und seine Mitarbeiter auch Retter in großer Not – dann, wenn der Ernstfall eingetreten ist.

Rund 39 Millionen infizierte Systeme, sogenannte Abuse Reports, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im vergangenen Jahr allein in Deutschland dokumentiert – Tendenz steigend. Dabei sei der deutschen Wirtschaft 2024 ein Schaden in Höhe von 178,6 Milliarden Euro entstanden, rund 30 Milliarden Euro mehr als im Vorjahr, berichtet Bitkom, der Branchenverband der deutschen IT- und Digitalwirtschaft. Laut einer weiteren BSI-Analyse werden täglich mehr als 300.000 neue Schadprogrammvarianten entdeckt – ein alarmierender Hinweis auf die zunehmende Professionalisierung der Cyber-Kriminellen. Monströse Zahlen, die aufschrecken. „Es geht schon lange nicht mehr um die Frage, ob meine IT-Infrastruktur attackiert wird, sondern nur noch um das Wann und Wie“, mahnt meco-IT-Chef Hofmann.

„Ransomware und Phishing-Kampagnen bleiben die häufigsten und gefährlichsten Angriffe“, weiß René Karcher, Geschäftsführer der SecuritySquad GmbH in Frickingen. Der Mann war einst beim Bundesnachrichtendienst beschäftigt und weiß genau, wie es in den Eingeweiden des globalen Cyberspace ausschaut und welche Gefahren dort lauern: „Solche Attacken richten oft erhebliche Schäden an und haben in den letzten Jahren signifikant zugenommen.“ SecuritySquad ist nach eigenen Angaben darauf spezialisiert, widerstandsfähige digitale Infrastrukturen vor allem für KMUs, Behörden und andere Organisationen zu schaffen.

Ransomware ist Schadsoftware, die heimlich eingeschleust wird. Sie eröffnet eine Hintertür ins System, Angreifer können sich in aller Ruhe umsehen, manchmal monatelang. Und wenn sie nicht rechtzeitig entdeckt werden, macht es irgendwann Klick, und alle Daten sind verschlüsselt, oft auch in den Backups. Phishing-Attacken kommen als E-Mails von scheinbar vertrauenswürdigen Absendern und zielen darauf ab, vertrauliche Informationen wie Passwörter abzuschöpfen. Die Daten werden manchmal im Darknet zum Kauf angeboten, oder es folgt eine Lösegeldforderung. Oder beides.

Doch es droht auch Gefahr von innen – Risiko Schatten-IT: „Häufig nutzen Mitarbeiterinnen und Mitarbeiter private Anwendungen auf ihrem Bürorechner oder eigene Geräte, die nicht in das Sicherheitskonzept des Arbeitgebers integriert sind“, stellt Angela Lembcke, Sales Manager bei der SITS Deutschland GmbH in Ulm, fest. Das Unternehmen ist auf Cyber- Sicherheit für große Mittelständler und Konzerne mit ihren teils globalen und komplexen Netzwerken spezialisiert. Mit Blick auf international aufgestellte Unternehmen zählt Lembcke auch Attacken auf die verschiedenen Lieferketten zu den größten Bedrohungen: „Solche Supply- Chain-Attacken auf Zulieferer oder Partnerunternehmen zielen darauf ab, den Angreifern Tür und Tor in die Systeme großer, eigentlich gut geschützter Unternehmen zu öffnen.“ Noch eher selten sind Schäden durch Attacken auf IoT-Geräte oder Deep Fakes und sogenannte Robo Calls, die vor allem durch die Verbreitung von Künstlicher Intelligenz einfacher werden, wie im Bitkom-Bericht nachzulesen ist.

Die gute Nachricht: Es gibt Mittel und Wege, Unternehmen sowie IT-Infrastruktur und Daten effizient zu schützen. Aber wie? „IT-Sicherheit beginnt im Kopf“, erklärt Hofmann. Viele Entscheider und Führungskräfte kleiner und mittelständischer Unternehmen (KMUs) gehen seiner Erfahrung nach immer noch davon aus, sie seien für Cyber-Attacken nicht interessant genug. Doch das Gegenteil ist der Fall: Gerade KMUs geraten immer mehr ins Visier der Angreifer, belegt die BSI-Dokumentation.

Auch, weil die Angreifer die Schwachstellen von KMUs kennen: „Kleinstunternehmen fehlen nicht nur das technische Wissen, sondern oft auch die finanziellen Mittel, um grundlegende IT-Schutz- und Sicherheitsmaßnahmen effektiv umzusetzen“, erläutert IT-Experte Hofmann. Mittlere Unternehmen seien in der Regel zwar besser aufgestellt, „haben aber häufig keine ausreichend spezialisierten IT-Abteilungen und stoßen gerade bei komplexeren Anforderungen schnell an ihre Grenzen“. Vor allem aber sieht er eine Diskrepanz zwischen Eigenwahrnehmung und Realität: „Viele Geschäftsführer unterschätzen auf der einen Seite die Abhängigkeit ihres Unternehmens von einer funktionierenden IT-Infrastruktur. Und überschätzen auf der anderen Seite ihre IT-Sicherheit“, stellt Hofmann fest. Daher fordert er Unternehmensführer dazu auf, „ihr Bewusstsein für die Bedrohungen aus dem Cyberspace zu schärfen, die Gefahren realistisch einzuschätzen und in effiziente Schutzmaßnahmen zu investieren“.

Philipp König, Geschäftsführer der SSIG-IT GmbH in Blaubeuren, bläst ins selbe Horn. „IT-Sicherheit sollte nicht als Luxus verstanden werden, sondern als integraler Bestandteil einer verantwortungsbewussten Unternehmensführung“, betont er. Bereits nach einem einstündigen Impulsgespräch könnten erste Möglichkeiten skizziert und gemeinsam die Richtung bestimmt werden, das soll die Hemmschwelle senken. Die Mission seines Unternehmens: auch kleineren Unternehmen und Mittelständlern professionelle und erschwingliche IT-Sicherheitslösungen bereitzustellen.

Die vier Experten sind sich einig: Für einen effizienten Schutz der IT-Infrastruktur von Unternehmen braucht es einen ganzheitlichen Ansatz. Am Anfang steht eine fundierte Risikoanalyse: Wo sind die Schwachstellen, was sind die Kronjuwelen des Unternehmens?

René Karcher von SecuritySquad beispielsweise setzt dabei auf ein strategisches IT-Sicherheitsmanagement. Ein solches Information Security Management System (ISMS) bilde die Grundlage für eine systematische und langfristige Sicherung der IT-Infrastruktur. Dazu gehören für ihn ein umfassendes Sicherheitskonzept mit alltagstauglichen Richtlinien sowie regelmäßige Audits und die kontinuierliche Anpassung des ISMS an neue Bedrohungen. SITS Deutschland spricht analog von einem 360-Grad- Ansatz und verfolgt eine Sicherheitsstrategie, die sämtliche Geschäftsprozesse integriert, erklärt Angela Lembcke. Dazu zählen beispielsweise eine umfassende Risikobewertung, die Integration von Sicherheitsmaßnahmen in alle Unternehmensbereiche und eine konsequente Überwachung.

Konkret geht es um eine ganze Reihe für den Schutz einer IT-Infrastruktur elementarer, vorbeugender Maßnahmen. Ganz wichtig: „Es braucht eine effiziente Backup-Strategie mit klar definierten Prozessen, die vorschreiben, wann Backups erstellt und auch getestet werden müssen“, erklärt König. Wesentlich sei auch ein solides Patch-Management. Heißt: Software und Betriebssysteme müssen regelmäßige aktualisiert werden – die Updates schließen bekannte Sicherheitslücken. Rechner mit veralteter Software, für die es keinen Support und damit auch keine Patches mehr gibt, gehören unbedingt vom Netz, befindet Angela Lembcke: „Veraltete Systeme sind eine offene Einladung für Angreifer.“

Darüber hinaus hält meco-IT-Geschäftsführer Hofmann etwa Netzwerkpläne, Inventarlisten oder Konfigurationsdateien sowie einen Passwort- Manager und gut gepflegte, umfassende IT-Dokumentationen für zwingend notwendig. „Gerade im Notfall, wenn alles schnell gehen muss, braucht es einen guten Überblick über die Infrastruktur“, erklärt er. Daher sollten gut durchdachte Notfallpläne, die genau regeln, was nach einem Angriff zu tun ist, sowie Wiederanlaufpläne dabei helfen, nach Ausfällen schnell und geordnet zu reagieren.

Technische Lösungen bleiben wichtig, und Firewalls, Verschlüsselungen und Multi-Faktor-Authentifizierung sind heute Standard. Security- Squad hat außerdem automatisierte Tools wie Schwachstellenscanner sowie manuelle Penetrationstests im Portfolio, um regelmäßig Schwachstellen und Sicherheitslücken zu identifizieren. Innovative Werkzeuge wie Threat-Intelligence-Plattformen oder automatisierte Anomalie-Erkennung könnten ebenfalls dabei helfen, potenzielle Gefahren frühzeitig zu erkennen und gezielt abzuwehren, ist Karcher überzeugt.

„Aber Technik allein reicht nicht aus“, warnt Angela Lembcke von SITS Deutschland, die sogar eine Darknet-Schulung besucht hat, um zu verstehen, wie die Marktplätze im „dunklen“ Teil des Internets funktionieren, und daher einen ganz besonderen Blick auf die Dinge hat. Sie ergänzt: „Die Mitarbeitenden auf allen Unternehmensebenen sollten im Rahmen sogenannter Awareness-Kampagnen regelmäßig geschult werden, um ihre Sinne zu schärfen gegen die Bedrohungen aus dem Netz.“ Um Freund von Feind unterscheiden zu können. „Denn Mitarbeitende“, fügt René Karcher hinzu, „sind oft die erste Verteidigungslinie gegen Angriffe aus dem Netz.“

Solche Kampagnen könnten beispielsweise aus spielerischen Elementen bestehen wie einem internen Phishing-Test und interaktiven Workshops. „Simulierte Phishing-Mails sind dabei besonders effektiv“, weiß SSIGIT- Chef König. Karcher empfiehlt neben solchen Schulungsmaßnahmen auch die Einführung sogenannter Zero-Trust-Modelle, die davon ausgehen, dass niemandem im Netzwerk vertraut werden kann und daher bei Zugriffen automatisch eine ständige Verifizierung anfordern.

Sollte es trotz aller vorbeugenden Maßnahmen doch zu einem Hackerangriff kommen, ist schnelles Handeln gefragt: Krisenteams sollten einen kühlen Kopf bewahren, ihren Notfallplan aktivieren und professionell vorgehen: Um rechtliche Konsequenzen zu vermeiden, muss der Vorfall innerhalb von 72 Stunden an zuständige Stellen gemeldet und Kunden und Geschäftspartner müssen umfassend informiert werden. „Vor allem sollten die betroffenen Systeme sofort vom Netz genommen und isoliert, Daten gesichert und IT-forensische Analysen eingeleitet werden“, betont Security- Experte Karcher. Darüber hinaus liegt die Priorität auf der Wiederherstellung essenzieller Systeme – ein zentraler Schritt, um den Betrieb schnellstmöglich wieder aufzunehmen und den potenziellen finanziellen und Imageschaden einzugrenzen. Und darauf, Vertrauen wieder aufzubauen, das womöglich verloren gegangen ist, weil etwa sensible Unternehmensdaten – Stichwort DSGVO – betroffen sind.

Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2), die nun wohl erst im Laufe dieses Frühjahrs in nationales Recht umgesetzt werden wird, schreibt es ohnehin vor: Unternehmen müssen ihre Maßnahmen zum Schutz vor Cyber-Angriffen intensivieren, strengere Sicherheitsstandards etablieren und ihre IT-Systeme stets auf dem neuesten Stand halten und anpassen. Denn die Bedrohungsszenarien entwickeln sich weiter: „Cyber Angriffe werden zunehmend spezialisierter, und Angreifer setzen verstärkt auf KI-gestützte Werkzeuge“, befürchtet IT-Profi-Hofmann. „Auf diese neuen Bedrohungen müssen sich Unternehmen künftig einstellen.“ Andererseits entwickeln sich spezifische KI-Anwendungen auch zu einer mächtigen Waffe im Kampf gegen die Gefahren aus dem Internet. Schon heute gibt es automatisierte Systeme, die Bedrohungen in Echtzeit erkennen und abwehren. Unternehmen müssen daher auf aktuelle Technologien setzen und zukunftsfähig planen.

Alles in allem wird deutlich: „IT-Sicherheit geht uns alle an“, resümiert Norbert Hofmann. Entscheider müssen erkennen, dass es nicht um Panikmache, sondern um Vorsorge geht. Dabei sollte IT-Sicherheit nicht als einmalige Maßnahme betrachtet werden, sondern als ein dynamischer Prozess, der regelmäßig überprüft und optimiert wird. Ein gut geschultes Team, klare Prozesse und der bewusste Umgang mit Technik schaffen die Basis für ein sicheres Arbeiten. Denn am Ende geht es um mehr als um Daten – es geht um Vertrauen.

René Kius lebt und arbeitet als freier Journalist in Ravensburg