Warum IT-Sicherheit nicht nur für Konzerne wichtig ist

Die Bedrohungslage durch Cyberangriffe verschärft sich zunehmend – nicht nur für Privatpersonen, sondern besonders für Unternehmen. Laut der Bitkom-Studie „Wirtschaftsschutz 2024“ waren im vergangenen Jahr 74 Prozent der Unternehmen vom Diebstahl von Geschäftsdaten betroffen. In diesem Beitrag sprechen IT-Sicherheitsexperte Marc Lenze von codecentric und Krisenkommunikationsexperte Klaus Baumann darüber, wie Unternehmen sich effektiv vor Cyberangriffen schützen und im Ernstfall richtig reagieren können.

Lara Krampe: Marc, warum ist IT-Sicherheit für Unternehmen heute wichtiger denn je?

Marc Lenze: Die Lage der IT-Security wird vom Bundesamt für Sicherheit in der Informationstechnik aktuell als „angespannt“ eingestuft. Während Privatpersonen meist von Phishing und Spam in Form von Mails, Benachrichtigungen und Anrufen betroffen sind, geraten auch zunehmend Unternehmen ins Visier professioneller Hackergruppen. Meist handelt es sich in diesen Fällen um organisierte Gruppierungen professioneller Cyberkrimineller. Sie planen Angriffe über einen längeren Zeitraum und verfügen über ein breites Wissen von teilweise noch unbekannten IT-Schwachstellen.

Ziel solcher Angriffe ist es, das gesamte Unternehmensnetzwerk zu infiltrieren und sensible Daten zu exfiltrieren – hierbei verfolgen die Angreifer primär zwei Ziele: Lösegelderpressung, Industriespionage oder beides. Bei einer Lösegelderpressung werden die Daten entweder vollständig verschlüsselt oder komplett abgezogen und noch vor Ort gelöscht. Bei Industriespionage bewegen sich die Angreifer über längere Zeit im System des Unternehmens und kopieren unbemerkt, aber sukzessive, kleinere Datenmengen. Oftmals geht es hier um die Intellectual-Property (Patente, Konstruktionszeichnungen, etc.) des Unternehmens. Die finanzielle Bedrohung eines Unternehmens durch Lösegelderpressung wird zusätzlich durch das Risiko verstärkt, dass der Abfluss sensibler Unternehmensdaten zum Verlust des eigenen Geschäftsmodells führt.

Ist Unternehmen die wachsende Bedeutung von IT-Sicherheit bewusst?

Marc Lenze: Teilweise. Wachsam werden Unternehmen üblicherweise spätestens dann, wenn sie durch regulatorische Vorgaben (NIS-2, DORA, KRITIS, TIBER etc.) in Zugzwang geraten, einen direkten Angriff durchlebt und überlebt haben oder von anderen Unternehmen hören, bei denen es einen IT-Sicherheitsvorfall gab.

Man kann nicht genug betonen, dass Prävention existenziell wichtig für jedes Unternehmen ist. Oft ist den Verantwortlichen zwar bewusst, dass sie etwas tun müssen, der Return eines Investments im Bereich IT-Security ist ohne akuten Vorfall jedoch weniger sichtbar als beispielsweise eine Investition in neue Produktionsanlagen. Tritt der Angriffsfall ein, ist es für präventive Maßnahmen allerdings zu spät. Darum ist es unerlässlich, frühzeitig sinnvolle und kosteneffiziente Maßnahmen zu ergreifen.  

Eine der Fragen, die ich am meisten von Neukunden höre, lautet: Wie fangen wir am besten an? Uns bei codecentric ist es wichtig, dass jedes Unternehmen zunächst einen Überblick über seine zentralen Assets bekommt, damit es weiß, was im Angriffsfall besonders schützenswert ist. Dieses Ziel versuchen wir mit möglichst geringem monetärem und personellem Aufwand des Unternehmens zu erreichen. Wir starten daher in der Regel mit einem kleineren IT-Sicherheits-Assessment, um schnell einen Überblick über die Schwachstellen des Unternehmens zu erhalten. Auf dieser Basis können unsere Kundinnen und Kunden direkt gezielte Maßnahmen zur Steigerung ihrer IT-Sicherheit definieren und ergreifen. Im ersten Schritt geht es uns darum, Verständnis beim Kunden dafür zu schaffen, was wichtig ist und was nicht. Wir sehen den Einstieg in das Thema IT-Security als Entwicklungsprozess, bei dem wir bedürfnisorientiert begleiten und effizient unterstützen. 

Warum wird der Mensch beim Thema IT-Sicherheit oft als größte Schwachstelle betrachtet?

Marc Lenze: Jeder von uns erhält heutzutage so viele E-Mails, dass es kaum noch möglich ist, zu erkennen, ob wir es mit authentischen oder gefälschten Inhalten zu tun haben. Natürlich sind wir mittlerweile alle durch Awareness-Kampagnen zum Thema Phishing sensibilisiert, doch im Trubel des Alltags werden diese Warnungen häufig unterschätzt. Darüber hinaus hat die Qualität gefälschter E-Mails in den vergangenen Jahren enorm zugenommen. Aus Unternehmenssicht ist es daher statistisch gesehen fast unvermeidbar, irgendwann Opfer eines Phishing-Angriffs zu werden. Die „Schwachstelle“ Mensch wird dabei immer eine Herausforderung bleiben.

Auch hier ist der Faktor Prävention daher entscheidend. Ist mein Unternehmen auf mögliche Angriffe vorbereitet, kann ich im Ernstfall schneller und effizienter agieren und potenzielle Folgeschäden mildern.

Wir empfehlen außerdem regelmäßige Awareness-Schulungen und Workshops. Je besser Mitarbeitende für Gefahren sensibilisiert und entsprechend geschult sind, desto sicherer ist das Unternehmen. Einen hundertprozentigen Schutz vor einem erfolgreichen Phishing-Angriff wird es aber nie geben. 

Welche Rolle spielt KI bei heutigen Cyberattacken?

Marc Lenze: Künstliche Intelligenz vereinfacht Angriffe auf die IT-Infrastruktur um ein Vielfaches. Cyberkriminelle können z. B. durch die Unterstützung von KI den Versand von Phishing-Mails automatisieren und sie inhaltlich passgenau auf einzelne Unternehmen und Mitarbeitende zuschneiden. Durch dieses Vorgehen steigern sie die Reichweite und Frequenz ihrer Angriffe massiv. Darüber hinaus kann KI die Erfolgsquoten ausgegangener Mails auswerten und Folgenachrichten mit den gesammelten Erfahrungswerten optimieren. Dieses Vorgehen wird „Spear-Phishing“ genannt und hat eine deutlich höhere Erfolgsquote als klassische Phishing-Angriffe.

Durch KI entstehen außerdem neue Angriffsarten, wie Deep-Fake-Attacken, bei denen Stimmen und Bilder bekannter Persönlichkeiten – beispielsweise des Geschäftsführers des angegriffenen Unternehmens – täuschend echt imitiert werden. Solche Methoden erhöhen die Komplexität der Angriffe und zeigen, dass sich Unternehmen tiefergehend mit IT-Sicherheit und der Schulung ihrer Mitarbeiter auseinandersetzen müssen, um auf dem aktuellsten Stand der Vorgehensweisen und Bedrohungslage zu sein.

Positiv betrachtet kann Künstliche Intelligenz den Schutz des eigenen Unternehmens erhöhen, indem sie beispielsweise darauf trainiert wird, Anomalien im Nutzerverhalten zu erkennen. Durch entsprechende Anwendungen können Angriffe frühzeitig erkannt und unterbunden werden.

Künstliche Intelligenz kann somit auch im Bereich von Cyberattacken Chance und Risiko zugleich sein.

Was sollte ein Unternehmen tun, wenn es Opfer eines Cyberangriffs wird?

Marc Lenze: Als erstes ist es wichtig Ruhe zu bewahren. Das ist im Falle eines Angriffs oft schon schwierig genug. Panik, ebenso wie die Suche nach Schuldigen, ist in solchen Situationen allerdings niemals zielführend.  

Im Ernstfall zählt tatsächlich jede Sekunde. Bestenfalls existiert deshalb ein gut vorbereiteter und regelmäßig getesteter Notfallplan, in dem genau festgeschrieben steht, wie und mit wem in dieser Situation fortgefahren wird. Ein eingespielter Krisenstab ist an dieser Stelle ebenso wichtig wie die rasche Einbindung externer Experten, die das Unternehmen bei der Schadensbegrenzung unterstützen.

Der Notfallplan selbst sollte klare, effiziente Prozesse enthalten, die in kürzester Zeit aktiviert werden können, um den möglicherweise noch laufenden Angriff zu stoppen und den Betrieb schnellstmöglich wiederherzustellen.

Trotz aller Vorbereitungen lässt sich die Chance Opfer eines Cyberangriffs zu werden allerdings nie vollständig ausschließen. Daher ist es entscheidend, dass präventive Maßnahmen wie regelmäßige Audits, umfassende Schulungen und das kontinuierliche Üben von Notfallszenarien Teil jeder Sicherheitsstrategie sind, um die Auswirkungen eines Angriffs so gering wie möglich zu halten.

Während eine solide IT-Sicherheitsstrategie die technische Grundlage bildet, ist im Ernstfall auch die richtige Kommunikation entscheidend. Im Gespräch mit unserem Krisenkommunikationsexperten Klaus Baumann wird deutlich, warum eine durchdachte Vorbereitung auf Krisensituationen unerlässlich ist. Er erklärt, wie Unternehmen einen effektiven Krisenkommunikationsplan aufbauen, wann und wie sie kommunizieren sollten und welche Rolle ein gut strukturierter Krisenstab dabei spielt.

Lara Krampe: Klaus, warum ist eine gründliche Vorbereitung auf Krisensituationen, wie z. B. Cyberangriffe, so wichtig?

Klaus Baumann: Eine gute Vorbereitung kann den Unterschied zwischen einem überschaubaren Vorfall und einem schweren Reputationsschaden ausmachen. Ein durchdachter und anwendbarer Krisenplan stellt sicher, dass Unternehmen in kritischen Momenten handlungsfähig bleiben, schnell reagieren und den Schaden minimieren können – sowohl wirtschaftlich als auch kommunikativ. Gerade bei Cyberangriffen geht es darum, den Geschäftsbetrieb schnellstmöglich wiederherzustellen, das Vertrauen der Kunden zu erhalten und rechtliche Vorgaben einzuhalten.

Was sind die ersten Maßnahmen in der Krisenkommunikation, wenn ein Unternehmen von einem Cyberangriff betroffen ist?

Klaus Baumann: Cyberangriffe sind besonders kritisch, wenn personenbezogene Daten betroffen sind. In solchen Fällen besteht nach der DSGVO eine Meldepflicht an die zuständige Datenschutzaufsichtsbehörde. Bei erhöhtem Risiko müssen zudem betroffene Personen wie Mitarbeitende, Kundinnen und Kunden etc. informiert werden.

Je nach Branche können auch andere Behörden wie die Bundesnetzagentur zuständig sein. Eine zeitnahe Kommunikation ist hier sehr wichtig, um rechtliche Konsequenzen zu vermeiden. Unabhängig davon sollte der Krisenstab des Unternehmens zusammentreten, um die Lage zu bewerten und zu entscheiden, welche Kommunikationsmaßnahmen sinnvoll sind, um das Vertrauen der Stakeholder zu sichern.

Welches sind die größten kommunikativen Herausforderungen bei einem Cyberangriff?

Klaus Baumann: Ein wichtiger Aspekt wird häufig unterschätzt: Die Kommunikationskanäle von Unternehmen und Institutionen sind heute nahezu vollständig digital. Von Blogtexten und Newsrooms auf der Website über Newsletter und Social Media Posts bis zum Intranet. Erfolgt nun eine Cyberattacke, kann die gesamte IT-Infrastruktur des Unternehmens lahmgelegt werden. Die Kommunikation mit den Stakeholdern bröckelt. Oder die interne und externe Kommunikation liegt vollständig brach. Möglichweise können weder die eigenen Mitarbeitenden noch die Öffentlichkeit informiert werden. Selbst die intensiv vorbereitete Dark Site, mit welcher im Krisenfall über eine Landingpage bereits vorbereitete Informationen für die Zielgruppen freigeschaltet werden sollen, ist blockiert. Hier gilt es, sich auf den Notfall vorzubereiten und ein Set an weiterhin verfügbaren Kommunikationskanälen zu installieren.

Wie sieht ein idealer Krisenkommunikationsplan aus, und welche Inhalte sollte er umfassen?

Klaus Baumann: Ein effektiver Krisenkommunikationsplan sollte klar strukturiert sein und im Vorfeld alle Rollen, Abläufe und Kommunikationswege definieren. Zentrales Element ist ein Krisenstab mit festen Ansprechpartnern, der im Ernstfall schnell handlungsfähig ist.

Darüber hinaus sollten vordefinierte Statements und FAQs zur Verfügung stehen, um eine schnelle und einheitliche Reaktion zu ermöglichen. Checklisten für verschiedene Krisenszenarien wie Cyberangriffe helfen, nichts zu übersehen und strukturiert vorzugehen. Eskalationsstufen und klare Entscheidungswege sorgen dafür, dass keine wertvolle Zeit durch langwierige Abstimmungen verloren geht.

Wie wichtig ist ein Krisenstab, und wer sollte diesem angehören?

Klaus Baumann: Ein effektiver Krisenstab sollte interdisziplinär besetzt sein, um alle relevanten Aspekte eines Vorfalls schnell zu bearbeiten. Vertreter der Geschäftsführung treffen strategische Entscheidungen, während IT- und Sicherheitsverantwortliche Angriffe eindämmen und Systeme sichern. Die Rechtsabteilung klärt regulatorische Fragen und stellt die Einhaltung gesetzlicher Vorgaben sicher. PR- und Kommunikationsverantwortliche steuern die interne sowie externe Kommunikation, um Transparenz zu gewährleisten und Spekulationen vorzubeugen. Auch HR sollte einbezogen werden, wenn Mitarbeitende direkt betroffen sind.

Der Krisenstab sollte regelmäßig proben, um im Ernstfall handlungsfähig zu sein.

Wann sollte ein Unternehmen externe PR-Expert:innen oder beratende Personen hinzuziehen?

Klaus Baumann: Am besten bereitet man sich vor, bevor die erste Krise eintritt. Dazu sollten mögliche Krisenszenarien identifiziert, ein Krisenstab eingerichtet und ein Stakeholdermapping durchgeführt werden. Können diese Maßnahmen nicht selbständig umgesetzt werden oder gefährdet eine Krise bereits die Reputation, ist es sinnvoll, externe Beraterinnen und Berater beizuziehen.

Sie bringen Erfahrung mit, unterstützen bei der strategischen Kommunikation und sorgen für eine neutrale Einschätzung der Situation. Insbesondere bei Cyberangriffen, Produktkrisen oder Rechtsstreitigkeiten kann professionelle Krisen-PR helfen, den Schaden zu begrenzen und eine angemessene Tonalität in der Kommunikation zu wahren. Auch die Krisennachbereitung spielt eine wichtige Rolle. Es gilt aus Fehlern zu lernen und Maßnahmen zu ergreifen, um eine angeschlagene Reputation wiederherzustellen.

Insgesamt gilt: Unternehmen müssen sich nicht nur technisch, sondern auch kommunikativ auf Cyberangriffe vorbereiten. Am Münsteraner Hafen sind mit codecentric und Sputnik zwei Experten ansässig, die gemeinsam ein starkes Fundament für IT-Sicherheit und Krisenkommunikation bieten. Wer seine IT-Sicherheit stärken möchte, findet mit codecentric einen erfahrenen Partner für individuelle Sicherheitslösungen und umfassende IT-Strategien. Für eine professionelle Krisenkommunikation – von der Vorbereitung bis zur Bewältigung akuter Vorfälle – bieten wir die nötige Expertise, um den guten Ruf eines Unternehmens auch in schwierigen Zeiten zu schützen.