Patrick Häuser, Leiter des Hauptstadtbüros BITMi, Bundesverband IT – Mittelstand e. V. Foto: Presse

Herr Häuser, es gibt in den letzten Jahren einen massiven Zuwachs an Cyberkriminalität in Unternehmen. Wie erklären Sie sich das?

Der Anstieg von Cyberkriminalität lässt sich schon seit Jahren beobachten. Das liegt daran, dass es durch die fortschreitende Digitalisierung immer mehr Bereiche gibt, in die die Täter eingreifen können. Dazu kommt, dass sich ein großer Markt an Cybercrime-Tools und -Dienstleistungen gebildet hat, auf dem sich auch Kriminelle ohne besondere IT-Kenntnisse bedienen können. Der Täterkreis ist damit gewachsen. Dieser Entwicklung hat die Pandemie noch einmal einen Schub gegeben: Digitalisierung wurde in Unternehmen oft erzwungen, ohne IT-Sicherheitsstrategie. Das war ein leichtes Einfallstor für Cyberkriminelle.

Trifft dies nur auf Großunternehmen zu?

Keinesfalls. Gezielte Angriffe und Erpressung sind bei den großen Unternehmen häufiger. Aber auch deutsche Mittelständler stellen mit ihrer Bandbreite an innovativen Geschäftsmodellen und der hohen Zahl an Patentanmeldungen lukrative Ziele für Angreifer dar. Dazu kommt, dass Angriffe durch Phishing auf dem Vormarsch sind: Es kann jedes Unternehmen treffen. Hier sind Unternehmen auch von Geschäftspartnern, Kunden und deren Sicherheitsmaßnahmen abhängig. Gelangen E-Mails von externen Personen in die Hände der Cyberkriminellen, haben diese inhaltlich die perfekte Grundlage für einen zugeschnittenen Angriff. Noch dazu können die Angriffe, wenn einmal Daten abgeflossen sind, größtenteils automatisiert durchgeführt werden.

Welchen wirtschaftlichen Schaden verursachen solche Vorfälle?

Zuletzt war für 2020 von etwa 223 Milliarden Euro entstandenem Schaden pro Jahr die Rede – das ist mehr als doppelt so viel wie in den Jahren 2018 und 2019.

Wie können sich kleine und mittlere Unternehmen davor schützen?

Das Bewusstsein ist inzwischen in weiten Teilen da. Viele Mittelständler wissen aber nicht, was genau sie jetzt eigentlich tun sollten. Dabei gibt es viele konkrete Maßnahmen, die einfach ergriffen werden können: Eine Zwei-Faktor-Authentifizierung sollte Standard sein, Backups müssen regelmäßig erfolgen, Mitarbeiter geschult und Mails verschlüsselt werden. Damit ist schon ein guter Grundstein gelegt.

Welche Hilfestellung für mehr IT-Sicherheit in Unternehmen können Sie geben?

Das Wichtigste ist, dass Unternehmen für sich einen Plan entwickeln, was sie bei einem Angriff tun. Hier handelt es sich um eine Stresssituation, in der schnell Entscheidungen gefällt werden müssen. Es zahlt sich aus, wenn bereits klare Handlungsanweisungen vorbereitet sind, und Risiken eingeschätzt wurden. Es gibt viele gute und kostenlose Angebote, die sich an den Mittelstand richten und ihm beim Thema IT-Sicherheit unter die Arme greifen: Dazu gehört die Transferstelle IT-Sicherheit im Mittelstand (TISiM) oder unsere eigene BITMi-Fachgruppe IT-Sicherheit mit Veranstaltungen wie dem IT-Security Tuesday. Panik ist fehl am Platz, jedoch müssen sich Unternehmer beim Thema IT-Sicherheit immer vor Augen halten: Im Ernstfall können Verluste in Millionenhöhe drohen, welche die Investitionen in IT-Sicherheit deutlich übersteigen. Dazu kommt ein nicht abzuschätzender Imageschaden. Das Teuerste ist es also, nichts zu tun.