Wieso Notfallpläne bei Cyberangriffen das Um und Auf sind

Es passiert im Eifer des Gefechts: Man erhält eine E-Mail von einem unbekannten Absender, klickt auf den mitgeschickten Link oder die angehängte Datei und bevor man es sich versieht, ist es schon geschehen: Man ist auf einen sogenannten Phishing-Angriff hereingefallen. Phishing“ (von „password fishing“) nennt man den Trick, geheime Daten, die z.B. für das Online-Banking, Auktionshäuser, Online-Shops oder soziale Netzwerke genutzt werden, von Konsumenten herauszulocken. Die erbeuteten Daten werden dann oft an andere Betrüger weiterverkauft.

Nicht nur für Privatpersonen unangenehm – auch für Unternehmen können Angriffe dieser Art fatal sein. So sind in den letzten drei Jahren laut PwC bei 60 Prozent der Firmen in West- und Zentraleuropa durch Sicherheitsvorfälle Kosten zwischen 100.000 und 20 Millionen US-Dollar entstanden. Dabei ließen sie sich einfach vermeiden, weiß Gerald Kortschak, Bundessprecher der Experts Group IT-Security des WKO-Fachverbands Unternehmensberatung, Buchhaltung und IT (UBIT). Laut seiner Schätzung passieren rund 70 bis 80 Prozent der Cybercrime-Fälle aufgrund von Unachtsamkeiten der Mitarbeiter: „Sie öffnen unbedacht E-Mails und Webseiten und installieren so Schadprogramme.“

Jedes Unternehmen ist von Angriffen betroffen

Vor allem größere Unternehmen seien sich mittlerweile der Gefahr eines Angriffs bewusst. Kleinere Betriebe blenden diese aber noch immer häufig aus und hoffen, dass ihnen nichts passiert. Damit wiege man sich aber in falscher Sicherheit weiß Kortschak: „Generell wird jeder von uns permanent angegriffen. Auch Cyberkriminalität ist wirtschaftlich orientiert. Cyberkriminelle verschicken Phishing-Mails wie andere Unternehmen Newsletter. In der Tat sind für Hacker Unternehmen mit einem guten Verdienst interessant, denn sie können den Erpresserforderungen nachkommen. Es gibt aber auch in diesem Bereich Halbprofis, die wild drauflos Cyberangriffe starten und mit der großen Masse Geld machen. Wer also glaubt, dass er nicht ins Visier Krimineller gerät, weil er einen kleinen Betrieb in der Peripherie hat, der irrt. Auch diese Firmen sind erfolgreich, denn sonst gäbe es sie nicht“, so der Experte. 

Neueste Daten unterstreichen das. Laut Deloitte Security Report aus dem Jahr 2023 gibt rund die Hälfte der Unternehmen mit über 50 Mitarbeitern an, schon einmal Attacken mit Erpressungstrojanern erlebt zu haben. elf Prozent sind fast täglich damit konfrontiert, weitere 23 Prozent werden zumindest mehrmals im Jahr davon getroffen. Es sei eben eine Fehlannahme, dass der Kauf einer IT-Sicherheitssoftwarelösung ausreichen würde. „Viele Unternehmer kaufen sich etwas und glauben, dass durch den Kauf alle Abläufe und Prozesse gesichert sind. Für die Installation und Wartung braucht es aber Profis“, so Kortschak. 

Klaus Gebeshuber, Professor für IT Security an der FH Joanneum, kann dem nur zustimmen. Er rät, für die Wartung entweder auf externe Fachkräfte zurückzugreifen oder aber in die Ausbildung von eigenem technischen Personal zu investieren. Auf diese Weise erhalten interne IT-Mitarbeiter die Chance, sich in diesem Bereich weiterzubilden. „Wenn sich die eigenen Beschäftigten nur nebenbei mit IT-Sicherheit befassen, ist das ein riesiges Sicherheitsrisiko“, verrät Gebeshuber. Daneben gilt es, die eigenen IT-Maßnahmen auf den aktuellen Stand zu bringen und Mitarbeiter für gefälschte E-Mails zu sensibilisieren. Zudem sei es wichtig, an eine externe Datensicherung zu denken, die beispielsweise auf einer Cloud oder auf einer externen Festplatte gespeichert wird.

Notfallpläne sind für Firmen unvermeidbar

Doch was tun, wenn der Angriff bereits stattgefunden hat? „Generell würde ich zunächst die Cyber-Security-Hotline anrufen (mehr dazu im Hinweiskasten unten). Wenn die Daten nicht gesichert wurden und man als Unternehmen auf diese angewiesen ist, bleibt einem eigentlich nichts anderes übrig, als den Zahlungsaufforderungen nachzukommen. Eine Garantie, dass man diese dann aber auch zurückbekommt, ist das nicht“, sagt Gebeshuber. Und es gibt auch noch ein weiteres Problem: IT-Dienstleister können entgegen der landläufigen Meinung Daten nach Hackerangriffen nicht in wenigen Stunden wiederherstellen. „Für Unternehmen ist ein Angriff so unangenehm wie ein Brand auf dem Firmengelände. Unter sieben Tagen läuft oft gar nichts. Je mehr der Betrieb von den Daten abhängig ist, desto länger dauert es. Jeder Unternehmer muss sich daher überlegen, wie er seine Firma in den nächsten 48 Stunden bis sieben Tagen durchbringt“, so Kortschak. 

Doch angefacht von GenAI und der EU-weiten NIS2-Richtlinie, die bis spätestens 17. Oktober umgesetzt werden muss, kommt auch Bewegung in die Sache: Laut aktueller PwC-Studie möchten heuer 60 Prozent der heimischen Unternehmen ihre Budgets für Cybersicherheit erhöhen. Die Hälfte der heimischen Befragten geht indes davon aus, dass es im Laufe des Jahres zu verheerenden KI-Angriffen kommen wird. „Das Phishing-Thema wird weiter professionalisiert und die Angriffe werden ausgefeilter. Es ist aber ein Katz-und-Maus-Spiel, denn auch Unternehmen können KI für ihre eigene Sicherheit nutzen. Beispielsweise indem die KI verdächtiges Verhalten im Netz erkennt und reagiert“, meint Gebeshuber. Kortschak mahnt aber auch hier zur Vorsicht. „Auch im Bereich der KI-Abwehr reicht es nicht aus, etwas von der Stange zu kaufen und sich sicher zu fühlen. Wenn man nichts von Autos versteht, repariert man ja auch keine Bremsen. Daher empfehle ich auch im Bereich der KI, mit Experten zu sprechen, die einschätzen können, welche Abwehrsysteme für das eigene Unternehmen sinnvoll sind.“