Unterschätzen deutsche Unternehmen die Gefahr von Cyberattacken?Vielen ist bewusst, dass Handlungsbedarf besteht. Sie sind jedoch überfordert, das Risiko entsprechend zu adressieren: Soll ich jetzt lieber Firewalls und Virenscanner kaufen, soll ich die Mitarbeiter schulen oder doch lieber nur Sicherheitskonzepte schreiben lassen? Wie viel Budget muss ich denn einplanen? Das sind alles Fragen, die man sehr früh beantworten muss, obwohl man noch gar nicht richtig weiß, gegen wen man sich schützen möchte.

Zu welchen Fehlern führt das?In unseren Sicherheitsanalysen bemerken wir schon, dass es besonders in kleinen und mittelständischen Unternehmen an der IT-Sicherheit hapert. Da werden zu oft noch Windows XP oder völlig veraltete Server-Betriebssysteme eingesetzt, deren Sicherheitslücken weit bekannt und trivial ausnutzbar sind. Absichern kann man solche Systeme nicht mehr, weil sie vom Hersteller nicht mehr unterstützt werden. Doch fürchten sich viele Unternehmen vor Upgrades auf moderne Systeme, weil dadurch Fehler entstehen können.

Lässt sich dieser ungewollte Stillstand vermeiden?Generell muss IT-Sicherheit direkt beim Entwurf des Systems adressiert werden und danach ständig weitergepflegt werden. Das ist ein Prozess, der über die gesamte Lebensdauer des Systems andauern muss.

Wie lässt sich ein besserer Schutz überhaupt erreichen?DIT-Sicherheit bedeutet Budget und Ressourcen, beides muss zu Projektbeginn eingepreist werden. Man kann ein IT-System nicht „nebenher“ noch sicherer machen. Es hat sich auch gezeigt, dass es sinnvoll ist, sich externe Expertise hinzuzuholen. Macht man das nicht, so kann es durchaus vorkommen, dass ein System wegen gravierender Sicherheitsmängel später vom Netz genommen werden und möglicherweise vieles neu gebaut werden muss.

Geht es bei den Cyberattacken eher um Industriespionage oder um Erpressung?Beides. Industriespionage wird oft sehr gezielt durchgeführt, das heißt, der Angreifer pickt sich bestimmte Angriffsziele heraus und sucht dort nach bestimmten Informationen. Die aktuelle Welle von Verschlüsselungstrojanern „streut“ mehr. Das heißt, es wird Schadcode zum Beispiel über E-Mail-Anhänge einfach an sehr viele Leute versandt. Wer den Anhang öffnet, fängt sich einen Virus ein, der alle Daten verschlüsselt und somit für Sie unzugänglich macht. Um wieder an die Daten zu kommen, müssen Sie ein Lösegeld an den Erpresser bezahlen.

Selbst wenn ich kein Ziel von Industriespionage bin, kann ich trotzdem zum Opfer von Cyberattacken werden?Ja. Aktuelle Vorfälle wie in der Stadtverwaltung Rheine oder einem Krankenhaus in Neuss zeigen, dass die Angreifer nur einige Hundert bis wenige Tausend Euro Lösegeld gefordert hatten. Das ist die gleiche Summe, wie sie von Privatleuten verlangt wird, und somit ein Indiz, dass die Angriffsziele nicht bewusst gewählt werden.