Cyberkriminalität ist mittlerweile ein hochprofitables Geschäftsmodell. Wie vielfältig die Facetten sind, zeigte sich am prall gefüllten Programm des Cyberprotection Days der Wirtschaftswoche. Dass ITler und Sicherheitsspezialisten nach Düsseldorf zu der Veranstaltung mit zahlreichen Vorträgen und Best Practices kamen, war klar. Aber warum ich als Kommunikatorin?
Mich beschäftigt das Thema seit Jahren, und zwar aus zwei Perspektiven. Cybersecurity ist ein komplexes Thema, das sich nicht von allein erklärt. Durch unseren Kunden telent konnte ich in den vergangenen Jahren viel darüber erfahren, wie hochverfügbare, resiliente IT- und Kommunikationsnetze aufgebaut sind. Die Netzwerk- und Cybersecurity-Experten berichteten mir in Interviews, wie beispielsweise Infrastrukturen technisch am besten gegen Hackerangriffe geschützt werden. Die Einblicke beschreibe ich in Fachartikeln. Da es keinen hundertprozentigen Schutz geben kann, kommt meine zweite Perspektive ins Spiel. Im Fall des Falles steht unser Team von Sympra betroffenen Unternehmen mit Krisenkommunikation zur Seite. Das beginnt bereits mit der strategischen Vorbereitung, die wichtiger denn je ist, wie das Resümee des BSI, der obersten Bundesbehörde in Deutschland für Cybersecurity zur Bedrohung im Cyberraum zeigt.
Schlimm, schlimmer, kein Ende absehbar: Der Tenor des BSI-Lageberichts ist seit Jahren erschreckend zu lesen. Noch beeindruckender war für mich die Aussage direkt von Manuel Bach zu hören. Der BSI-Referatsleiter Cybersicherheit für KMU sprach auf dem Cyberprotection Day darüber, was den Mittelstand in diesem Jahr erwartet. Und das ist nichts Gutes!
Cybercrime-as-a-Service als Dienstleistungsmodell
Cyberkriminalität boomt, weil es für Kriminelle immer einfacher wird, Ransomeware einzusetzen, um damit Firmendaten zu verschlüsseln und Lösegeld zu erpressen. Längst müssen die Akteure die Technik nicht mehr bis ins Detail beherrschen. Kriminelle „Zulieferer“ bieten verschiedenste Cybercrime-Aktivitäten als Dienstleistung an. Die international agierende Szene ist so professionell und arbeitsteilig organisiert wie die Wertschöpfungsketten der deutschen Industrie. Und die greifen sie auf allen Ebenen an.
KMU stehen mittlerweile im Fokus. Nach gängiger Definition also alle Unternehmen mit weniger als 250 Beschäftigten und einem Umsatz unter 50 Millionen Euro. Anders ausgedrückt: Deutlich mehr als 90 Prozent der Firmen in Deutschland. Erwischt es eine davon, kann das die komplette Lieferkette treffen und damit auch große Organisationen, die wichtige Infrastrukturen für das Funktionieren unserer Gesellschaft bereitstellen.
Jede Firma wird irgendwann angegriffen werden
Es gibt natürlich Ausnahmen. Aber grundsätzlich gilt: Je kleiner, desto schlechter sind Unternehmen auf einen Cyberangriff vorbereitet. Um endlich ins Handeln zu kommen, gab Manuel Bach zwei Regeln mit auf den Weg: Erstens, jedes Unternehmen wird irgendwann angegriffen werden – es gibt keine Ausnahme. Und zweitens, früher oder später werden Schutzmaßnahmen versagen.
Wer diese Regeln beherzigt, der wird schnellstens seine „Kronjuwelen“, wie sensible Daten sowie geschäftskritische Anlagen identifizieren, um sie zu schützen. Dafür braucht es Notfallkonzepte, Backup-Strategien, externe Hilfe, wenn die eigenen Kapazitäten oder das Fachwissen nicht ausreichen. Und dann gilt es, den Ernstfall zu üben, daraus zu lernen und die Maßnahmen immer weiter zu verbessern. Wichtig fürs Verständnis: Cybersecurity ist keinesfalls allein Sache der IT. Jede und jeder im Unternehmen muss für die Risiken sensibilisiert werden und sich verantwortlich fühlen. Ein wichtiges Werkzeug dafür ist die interne Kommunikation, die alle mitnimmt, Maßnahmen verständlich erklärt und das Cybersicherheits-Wissen auf dem neuesten Stand hält.
Schreibe einen Kommentar