Viele Unternehmen fühlen sich gut gegen Cyberangriffe gewappnet. Doch was passiert, wenn die Selbsteinschätzung trügt? Ein Gespräch mit Dr. Michael Falk von KPMG über typische Fehler, die Grenzen von IT-Security und darüber, was zu tun ist, wenn nichts mehr geht.

Wenn es um die eigene Cybersicherheit geht, strotzen deutsche Unternehmen vor Selbstbewusstsein: 88 Prozent der Entscheiderinnen und Entscheider, die das Handelsblatt Research Institute (HRI) dazu befragte, wie sie die IT-Sicherheit ihrer Organisation beurteilen, sagten „gut“ oder „eher gut“. Doch der Schein trügt. Bei der Nennung von konkreten Schutzmaßnahmen führen nur 40 Prozent die Nutzung von Antiviren-Software und Firewalls, regelmäßige Schulungen (39 Prozent) sowie die Entwicklung einer IT-Security-Strategie (38 Prozent) an.

Etwas mehr als jede vierte befragte Person beklagt gar das Fehlen einer solchen Strategie oder mangelndes Bewusstsein für die Bedrohungslage (beide 27 Prozent), dicht gefolgt von zu wenig Personal im IT-Bereich und unzureichendem Budget (26 Prozent; Mehrfachnennungen möglich). Übersehen wird die Relevanz von Cybersicherheit indes nicht: Laut Umfragedaten hat sich die Bedrohungslage in den vergangenen fünf Jahren bei fast der Hälfte der Befragten (stark) erhöht.

Als Partner für Cyber Security beim Beratungsunternehmen KPMG unterstützt Dr. Michael Falk Unternehmen dabei, sich vor Industriespionage, Ransomware- und DDos-Angriffen zu schützen.

Dr. Michael Falk ist Partner für Cyber Security beim Beratungsunternehmen KPMG.

Herr Dr. Falk, wie sieht derzeit die Top-3 der IT-Risikofaktoren für Unternehmen aus?
Erstens: Die Professionalisierung von Ransomware-Angriffen hat erheblich zugenommen – das sind Verschlüsselungs-Attacken mit dem Ziel, Lösegeld für die Entschlüsselung zu erpressen. Zweitens beobachten wir mehr erfolgreiche Angriffe im Kontext neuer Technologien, vor allem bei der Nutzung von Künstlicher Intelligenz (KI). Viele Unternehmen öffnen ihre Datenpools für Large-Language-Modelle, Schwachstellen darin sind eine Einladung für Angreifer. Drittens steigt durch geopolitische Spannungen die Gefahr, dass Unternehmen zum Ziel ausländischer Hacker werden.

Nach erfolgreichen Hackerangriffen in den vergangenen Jahren sollte IT-Sicherheit weit oben auf den Management-Agenden stehen. Tut sie das auch?
In großen Unternehmen ist das so, es wird aber oft nicht kommuniziert. Im Mittelstand sieht es anders aus: Viele Unternehmen sind schnell überfordert oder haben Mühe bei der Prioritätensetzung. Zwischen Sicherheit und dem produktiven Einsatz neuer Technologien abzuwägen, fällt ihnen oft schwer.

Was meinen Sie konkret?
Es geht um die Frage, welche Chancen ein Unternehmen durch die Nutzung neuer Technologien bekommt. Bei immer kürzeren Innovationszyklen hilft mir die beste IT-Security nicht, wenn ich deswegen zum Beispiel auf KI verzichte. Ein Unternehmen – sicher, aber pleite – kann nicht das Ziel sein. Das ist ein Problem, das typische IT-Security-Analysen oft ausblenden, der in der Management-Praxis aber sehr wichtig ist.

Überschätzen Unternehmen Ihre Cyber-Resilienz?
Viele Unternehmen fühlen sich sicher, auch wenn die Security-Maßnahmen, die sie ergriffen haben, schon zehn Jahre zurückliegen. Die meisten dieser Vorkehrungen sind heute wirkungslos. Sehr wirkungsvoll ist es hingegen, das Management von Zugriffsrechten innerhalb einer Organisation zu durchleuchten. Und es lässt sich leicht feststellen, ob so eine Maßnahme erfolgreich war.

Wie?
Wenn nicht ein einziges Zugriffsrecht entzogen wurde, können Sie davon ausgehen, dass es keine echten Prüfungen gab. Dann wurden einfach alle Listen blind bestätigt.

Cyber-Resilienz: So werden Unternehmen widerstandsfähiger

Lesen Sie hier einen Beitrag auf der Website von KPMG Klardenker.

Zum Beitrag wechseln

Wie lässt sich noch für mehr Sicherheit sorgen?
Neben der Technik, dazu gehören auch Back-up- und Recovery-Strategien, ist die organisatorische Resilienz wichtig: Wie lange können Abteilungen mit welchen Einschränkungen arbeiten? Es lohnt sich, den Worst-Case zu besprechen. So wissen im Notfall alle, was sie tun können und dürfen. Das ist im Hinblick auf mögliche Folgen eines Hackerangriffs unglaublich kosteneffizient.

Wie sollten Unternehmen handeln, wenn ihre Systeme gekapert wurden?
Wir sehen, dass Unternehmen, die einen Plan haben und schnell entscheiden, eher wieder leistungsfähig sind. Deshalb: Nachdem Sie sich einen Überblick verschafft haben, sollten Sie klären, ob Sie externe Hilfe in Anspruch nehmen wollen. Danach sollten Sie prüfen, ob die Lage noch schlimmer werden kann und ob sich mögliche Verschlimmerungen abwenden lassen. Dann geht es an die Ausführung der Recovery-Strategie: Beweise sichern, Systeme reinigen, Back-ups einspielen und den Betrieb wieder aufnehmen.

Was kann das Management in dieser Zeit tun?
Ansprechbar bleiben und alle Beschäftigten informieren, sich aber nicht aufdrängen. Mein Tipp: Wenn Sie nicht konkret helfen können, lassen Sie ihre Mitarbeitenden im Krisenteam in Ruhe arbeiten. Stündliche Lageberichte führen nur zu noch mehr Stress.

Apropos Stress: Je nach Branche und Unternehmensgröße müssen IT-Vorfälle auch an die zuständige Behörde gemeldet werden.
Genau, das Bundesamt für Sicherheit in der Informationstechnik (BSI) erwartet je nach Schwere innerhalb von 24 bis 72 Stunden eine erste Meldung und nach einem Monat einen Abschlussbericht. Bei der Meldung geht es aber nicht nur um die Statistik: Das BSI hilft mit Hinweisen, wenn der gemeldete Vorfall bereits bekannten Vorfällen ähnelt.

Talkbook: Digitale Transformation im Mittelstand

Wie mittelständische Unternehmen digitale Geschäftsmodelle entwickeln, künstliche Intelligenz erfolgreich einsetzen und Cyberrisiken begegnen.

Jetzt herunterladen

Wovon sind Entscheiderinnen und Entscheider bei IT-Angriffen Ihrer Erfahrung nach am meisten überrascht?
Der Klassiker ist, dass Unternehmen das Wiederherstellen ihrer Systeme gar nicht proben und im Ernstfall feststellen, dass das nicht funktioniert. Ebenso verbreitet ist der Glaube an die Unfehlbarkeit von IT-Security-Anbietern. Auch die können gehackt werden. Ebenfalls problematisch: Unternehmen denken nicht wie Hacker, sondern nur an die Wiederaufnahme ihres Geschäfts.

Welche Risiken blenden sie damit aus?
Was passiert denn, wenn die Angreifenden Daten stehlen und veröffentlichen? Gegen den folgenden Reputationsschaden hilft Ihnen das beste Back-up nicht. Es gilt also auch, den Abfluss von sensiblen Daten zu verhindern.

Vielen Dank für das Gespräch.