Cybersecurity: Schritt halten mit der Bedrohung aus dem Netz und den EU-Vorgaben

Dass Cybercrime keine abstrakte Bedrohung ist, haben viele Menschen inzwischen am eigenen Leib spüren müssen, sei es als Unternehmer, Kunde oder Bürger. Dienstleistungen im Rathaus, die wegen einer Cyberattacke blockiert sind, Kreditkartendaten einer Flugbuchung, die durch eine Sicherheitslücke in kriminelle Hände geraten, Websites von Unternehmen, die gehackt werden – die Straftaten im Bereich Cybercrime bereiten immer größere Sorgen.

Eine starke Zunahme gab es in Deutschland zuletzt gerade von solchen Taten, die aus dem Ausland oder von einem unbekannten Ort aus begangen werden – im Jahr 2023 um 28 Prozent gegenüber dem Vorjahr. Laut dem Branchenverband Bitkom e. V. lagen die 2023 direkt durch Cyber-Angriffe verursachten gesamtwirtschaftlichen Schäden bei rund 148 Milliarden Euro.

Leidvolle Erfahrungen allerorten

Auch die PlattesGroup stand in der Vergangenheit bereits im Visier von Hackern. Auch wenn ein Datenklau verhindert werden konnte, machte die Wirtschafts-, Steuer- und Rechtskanzlei leidvolle Erfahrungen mit einer lahmgelegten Website. Die PlattesGroup hat vor diesem Hintergrund ihre Sicherheitsvorkehrungen weiter verschärft und räumt dem Thema gerade im Umgang mit den Mandanten höchste Priorität ein. Welche konkreten Entwicklungen derzeit zu beobachten sind und zu welchen Strategien ausgewiesene Experten raten, ist Thema einer Info-Veranstaltung am 7. Februar 2025 im Club der Mallorca Zeitung in Palma. Dafür arbeiten wir unter anderem mit den Fachleuten von Protektis zusammen. Die Consultingfirma für Cybersecurity berät branchenübergreifend und langfristig Unternehmen wie auch Behörden in den Bereichen Informationssicherheit, IT-Sicherheit und Datenschutz.

Angesichts der Bedrohungslage und der Verunsicherung besteht enormer Handlungsbedarf. So erwarten rund zwei Drittel der Unternehmen in Deutschland laut einer Umfrage von Bitkom einen Cyberangriff in den kommenden zwölf Monaten, aber nicht einmal die Hälfte von ihnen sieht sich gut genug dafür gerüstet. Zugleich befürchtet knapp die Hälfte, dass bei einem erfolgreichen Cyberangriff ihre Existenz bedroht sein könnte.

Weitreichende EU-Vorgaben zur Cybersicherheit

Aber auch die behördlichen Vorgaben bereiten Sorgen. Konkret geht es um die Umsetzung der NIS2-Richtlinie zur Cybersicherheit, die 2023 in Europa in Kraft getreten ist. Sie erweitert den Rechtsrahmen angesichts zunehmender Digitalisierung und den Entwicklungen der Bedrohungslandschaft. Die neuen Vorschriften betreffen in unterschiedlicher Form neben staatlichen Stellen und Unternehmen von strategischer Bedeutung - etwa in den Bereichen Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastruktur, Gesundheitsversorgung, digitale Infrastruktur - auch solche Betriebe mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von mehr als 10 Millionen Euro. 

Vor diesem Hintergrund ist es für Unternehmen von fundamentaler Bedeutung, im Vorfeld umfassend zu überprüfen, in welchen Anwendungsbereich sie überhaupt fallen. Denn davon hängt ab, welche Vorschriften letztendlich im einzelnen gelten werden. Und auch, wenn Deutschland wie auch Spanien NIS2 erst im Jahr 2025 umgesetzt haben werden - die Bundesrepublik könnte im März 2025 soweit sein - sollten Betriebe so früh wie möglich eine Betroffenheitsanalyse vornehmen, zumal die Umsetzung der EU-Vorgaben nicht an die IT-Abteilung delegiert werden darf, sondern in die Verantwortung der Geschäftsführung fällt. Das betrifft Risikoanalysen und erhöhte Sicherheitsmaßnahmen genauso wie die Pflicht zur Meldung schwerer Vorfälle. Die Umsetzung dieser Vorgaben hat nach Einschätzungen in der Branche einen enormen Beratungsbedarf zur Umsetzung zur Folge und ist in dieser Hinsicht mit der Umsetzung der Datenschutz-Grundverordnung (DSGVO) von 2018 vergleichbar. 

Unterschätzte "Underground-Economy"

Zur Einschätzung der Bedrohungslage muss man auch wissen: Die Kriminalstatistik spiegelt angesichts einer geschätzten Dunkelziffer von mehr als 90 Prozent nur einen kleinen Teil des verursachten Schadens wider, auch die offizielle Aufklärungsquote von knapp einem Drittel bleibt hinter der Realität zurück. Und: Neben finanzstarken Unternehmen und Institutionen mit hoher Öffentlichkeitswirksamkeit sind gerade auch leicht verwundbare kleine und mittelständische Firmen betroffen.

Das bei vielen vorherrschende Bild von den Tätern wird dabei der bestehenden „Underground Economy“, die ihre kriminellen Dienstleistungen längst in einem industriellen Maßstab anbietet, nicht gerecht. Wie die Realwirtschaft setzen auch Cyberkriminelle zunehmend auf Arbeitsteilung, einen wachsenden Dienstleistungscharakter und eine enge Vernetzung über Länder- und Branchengrenzen hinweg. Von zentraler Bedeutung ist etwa das Geschäftsmodell „Cybercrime-as-a-Service“, bei dem eine weitere Professionalisierung und Spezialisierung zu beobachten ist. Ein Beispiel dafür sind Initial Access Broker, die anderen Kriminellen den Zugang zu IT-Systemen verschaffen.

Gerade Angriffe mit Ransomware sind weit verbreitet. Das Ziel der Cyberkriminellen ist es dabei, die Systeme von Unternehmen zu verschlüsseln oder zu sperren, um Lösegeld zu fordern. Für das Jahr 2023 hat das Bundeskriminalamt allein in diesem Bereich Anzeigen von mehr als 800 Unternehmen und Institutionen registriert – Dunkelziffer unbekannt. Da sich Cyberkriminelle oftmals im Ausland aufhalten und von einigen Ländern geduldet oder sogar geschützt werden, bleiben sie für die Strafverfolgung ohnehin oftmals unerreichbar.

KI im Dienst der Hacker

Gleichzeitig registriert das Bundesamt für Sicherheit in der Informationstechnik (BSI) immer mehr Schwachstellen in Software-Programmen, die oft das Einfallstor für Cyberkriminelle sind. Mit deren Zahl steigt auch ihre potenzielle Schadwirkung: Immer mehr Lücken – etwa jede sechste – werden laut dem Bericht zur Lage der IT-Sicherheit in Deutschland 2023 als kritisch eingestuft. Hinzu kommt das Potenzial der Künstlichen Intelligenz, das für kriminelle Zwecke missbraucht werden kann. Die Technologie macht Phishing-Mails glaubwürdiger oder generiert auch selbst den nötigen Schadcode – und das wesentlich schneller und zum Teil wesentlich besser als menschliche Cyberkriminelle. Darüber hinaus kann auch die von Unternehmen eingesetzte KI selbst zur Schwachstelle werden, wenn sie gehackt und missbräuchlich eingesetzt wird – eine ganz neue Herausforderung für Unternehmen und Behörden.

Dabei geht es längst nicht nur um Netzwerksicherheit, Firewall und Anti-Malware-Software. Entwickelt und implementiert werden müssen auch Sicherheitsrichtlinien und Zugangskontrollen, Simulationen und Schwachstellen-Scans, Backups und Cloud-Sicherheit, Notfallpläne und kontinuierliches Monitoring.

Info-Veranstaltung: Programm und Anmeldung