Frau Greven, Cyber-Sicherheit ist ein wichtiges Thema. Die Bedrohungslage für kleine und mittlere Unternehmen (KMU) nimmt stetig zu. Welche aktuellen Cyber-Bedrohungen gibt es, auf die sich der Mittelstand vorbereiten muss?
Frauke Greven: Die aktuelle Bedrohungslage im Bereich Cybercrime wird vom BSI, BKA und dem nationalen Cyber-Abwehrzentrum weiterhin als hoch eingeschätzt. Ransomware ist dabei nach wie vor die größte Bedrohung. Das sind Schadprogramme, die den Zugriff auf die Geschäftsdaten und IT-Systeme im Betrieb einschränken oder unterbinden. Für die Freigabe wird dann Lösegeld (engl. Ransom) erpresst. Cyberkriminelle Angreifer gehen oft den Weg des geringsten Widerstands und wählen erst einmal solche Opfer aus, die ihnen leicht angreifbar erschienen, d. h. im Fokus der Cyber-Angriffe mit Ransomware stehen KMU. Außerdem bergen Angriffe auf IT-Supply-Chains (IT-Lieferketten) und BEC (Business-Email-Compromise) ein hohes Bedrohungs- und Schadenspotential. Cyber-Kriminalität wird immer professioneller, denn die Spezialisierung auf bestimmte Dienstleistungen ermöglicht Cyberkriminellen, ihre „Services“ gezielt zu entwickeln und einzusetzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt in seinem aktuellen Lagebericht 2023 einen sehr guten Überblick über die Lage der IT-Sicherheit in Deutschland. Schwachstellen liegen demzufolge insbesondere bei der eingesetzten Software in Unternehmen. Das ist besorgniserregend, denn diese Schwachstellen sind das Einfallstor, um Systeme und Netzwerke zu kompromittieren.
Wie können sich KMU effektiv gegen Cyber-Angriffe schützen und wie können sie ihre digitale Sicherheit verbessern?
Frauke Greven: Viele Unternehmen besitzen weder eine ausreichende Kenntnis über die allgemeine Cyber-Bedrohungslage noch über das eigene Risikoprofil. Sie kommen daher überhaupt nicht auf die Idee, dass sie mehr in ihre Sicherheit investieren müssen. Sogar elementare und oftmals kostenfrei umsetzbare Präventionsmaßnahmen werden daher häufig nicht ergriffen Sensibilisierung für das Thema ist daher ein wichtiger erster Schritt, den sich das Cyber-Sicherheitsnetzwerk Sachsen als ein Ziel gesetzt hat. Die Initiative, ins Leben gerufen von der Digitalagentur Sachsen gemeinsam mit allen Industrie- und Handelskammern im Freistaat und dem Landeskriminalamt Sachsen, unterstützt sächsische KMU dabei, potentielle Cyber-Angriffe deutlich zu erschweren und im Falle einer erfolgten Attacke zügig wieder den Geschäftsbetrieb aufnehmen zu können. Das Netzwerk bündelt Erfahrung, Wissen und Tools der beteiligten Partner und bietet eine Reihe an kostenlosen Präventions- und Beratungsangeboten für Unternehmen. So zeigt z. B. das Landeskriminalamt Sachsen mit dem kostenlosen Angebot „Sicheres Unternehmen“, wo Sicherheitslücken im Bereich der Objektsicherheit sowie Personal- und Organisationssicherheit bestehen. Daraus erstellt das LKA Sicherheitsempfehlungen, die auf die Anforderungen des jeweiligen KMU zugeschnitten sind.
Sollte es doch einmal zu einem IT-Sicherheitsvorfall kommen: Welche Maßnahmen müssen getroffen werden, um auf einen Cyberangriff zu reagieren?
Frauke Greven: Für diesen Fall hat das Cyber-Sicherheitsnetzwerk Sachsen eine IT-Notfallkarte entwickelt. Auf dieser Karte sind strukturierte Maßnahmen aufgeführt, die helfen sollen, weiteren Schaden zu verhindern und den Geschäftsbetrieb nach einem Angriff schnellstmöglich wiederaufzunehmen. Dabei haben wir uns bewusst für eine analoge Postkarte entschieden, um nach einem Cyber-Angriff, wenn digitale Kommunikationswege gestört sind, eine zuverlässige Unterstützung bieten zu können. Die Notfallkarte wird 2024 um multimediale Elemente erweitert, um die Reaktionsfähigkeit im Ernstfall zu verbessern. Dazu gehören Kurzfilme zu technischen und organisatorischen Sofortmaßnahmen sowie eine Checkliste zur Wiederaufnahme des Geschäftsbetriebs, speziell zugeschnitten auf die Bedürfnisse von KMU.
Worauf sollten KMU bei der Verbesserung ihrer IT-Sicherheit besonders achten?
Frauke Greven: Zunächst einmal müssen die Mitarbeitenden für das Thema sensibilisiert und geschult werden. Dabei können kostenlose Präventionsangebote genutzt werden. Weiterhin ist es wichtig, die IT-Notfallkarte im Unternehmen überall zu platzieren, damit im Ernstfall schnell reagiert werden kann. Damit KMU sich auf ihr Kerngeschäft fokussieren können, ist es ratsam, über verlässliche IT-Dienstleister mit Cybersicherheitskompetenz auf dem Stand der Technik zu bleiben. Große Unternehmen setzen schon jetzt auf Zero Trust Security. Dieses Sicherheitskonzept geht davon aus, dass kein Benutzer, Gerät oder Netzwerk von Natur aus vertrauenswürdig ist. Zero Trust Security legt den Schwerpunkt auf eine kontinuierliche Überprüfung und Authentifizierung aller Benutzer und Geräte, unabhängig von Standort oder Herkunft. Damit auch kleine und mittlere Unternehmen vom technologischen Fortschritt profitieren, sollten moderne Ansätze bereits in den angebotenen IT-Lösungen berücksichtigt werden.
Welchen Einfluss haben neue Technologien, wie z. B. Künstliche Intelligenz (KI), auf Cyber-Sicherheitsfragen und IT-Sicherheitsstrategien?
Frauke Greven: Am Beispiel Künstliche Intelligenz lassen sich heute schon viele Einflüsse erkennen.
Die gegenwärtigen populären Sprachmodelle bieten eine neuartige Angriffsfläche für kriminelle Aktivitäten. Mit gezielt „vergifteten“ Trainingsdaten können KI-Systeme beispielweise Daten stehlen lassen, in dem sie Links zu manipulierten Webseiten ausgeben. Verkörperlichte KI, etwa in Form von Robotern oder autonomen Fahrzeugen, kann durch Hacking im Extremfall eine Waffe darstellen. Momentan ist wenig zu Schutzmechanismen bekannt, auch weil viele Technologien noch nicht am Markt etabliert sind.
Zudem können Angriffe durch KI-Systeme erfolgen. So ist eine generative KI prinzipiell in der Lage, unendliche Varianten von Viren zu schreiben oder zum Hacking anzuleiten. Weiterhin besteht die Gefahr, dass Menschen in Dialogsituationen mit ChatBots verstärkt sensible Daten preisgeben. Deepfakes können auch biometrische Systeme unsicher machen oder durch Videos und Audios Personen kompromittieren. KI-Fake-News können Organisationen schaden. Neben derartigen neuen Spielarten bekannter Vorgehensweise könnte eine KI beispielsweise auch Muster in Unternehmensdaten oder Produkten erkennen und so Geschäftsgeheimnisse extrahieren.
Aber KI kann auch helfen, Cybersicherheit zu verbessern. Aufgrund der Lernfähigkeit von KI-Systemen können diese neuartige Angriffsformen sowie unbekannte Muster, etwa Nutzungsanomalien identifizieren. Auch die vielen „false positives“ im Sinne von „falscher Alarm“ können durch KI gescanned werden und so die Sicherheit erhöhen. KI kann insgesamt deutlich schneller reagieren und direkt auch selbstständig handeln. Im Sinne eines ethical hacking kann KI Schwachstellen in Systemen finden und diese ggfs. schließen.
In Summe ist davon auszugehen, dass ein technisches Wettrüsten stattfindet und sich die Dynamik im Feld deutlich erhöht. Noch ist in keiner Weise absehbar, in welchen Bereichen, mit welchen Technologien es zu welchen Ereignissen kommen wird.
_ _ _ _ _
Weiterführende Links
👉 IT-Notfallkarte
👉 Die Lage der IT-Sicherheit in Deutschland
_ _ _ _ _
Das Cyber-Sicherheitsnetzwerk Sachsen
Die Initiative Cyber-Sicherheitsnetzwerk Sachsen, ins Leben gerufen von der Digitalagentur Sachsen gemeinsam mit allen Industrie- und Handelskammern im Freistaat und dem Landeskriminalamt Sachsen, bündelt Erfahrung und Wissen der beteiligten Partner, um KMU zu befähigen, im Falle eines Cyber-Angriffs den Geschäftsbetrieb zügig wiederaufnehmen zu können und sich vor potentiellen Attacken besser zu schützen. Das Netzwerk sensibilisiert KMU für IT-Sicherheitsvorfälle und bietet eine Reihe an kostenlosen Präventions- und Beratungsangeboten für sächsische Unternehmen.
👉 Zur Website
_ _ _ _ _
Unsere Gesprächspartnerin
Frauke Greven
Leiterin der Digitalagentur Sachsen (DiAS)
DIGITALAGENTUR SACHSEN | SAXON AGENCY FOR DIGITALISATION
Stauffenbergallee 24 | 01099 Dresden
T: +49 351 212495-54 | presse@digitalagentur.sachsen.de
_ _ _ _ _
Dieses Interview ist im Rahmen der NEXT „Im Fokus: Software“ entstanden.
👉 Zur Gesamtausgabe des Heftes
