Abwehrkräfte stärken

Andrey Popov/Adobe Stock ©

---

Cyberangriffe stellen die Wirtschaft vor enorme Herausforderungen. Wie sich Unternehmen gegen die wachsenden Risiken wappnen können.

Von Josef Stelzer, IHK-Magazin 01-02/2025

Durch Cybercrime entstehen Unternehmen in Deutschland gigantische Schäden. Allein von Mitte 2023 bis Mitte 2024 waren es nach Berechnungen des Digitalverbands Bitkom e.V. in Berlin knapp 179 Milliarden Euro – rund 30 Milliarden Euro mehr als im Jahr zuvor. Das Spektrum der Angriffe reicht von Ransomware, die Dateien verschlüsselt und damit unbrauchbar macht, über Phishing – also dem Abgreifen und Missbrauch von vertraulichen Daten und Informationen – bis zu Distributed-Denial-of-Service-Attacken (DDoS), die mit massenhaften Anfragen zum Beispiel Webserver überlasten.

Gefährdet sind Unternehmen quer durch alle Branchen, unabhängig von der Größe: Im Herbst 2024 waren sowohl kleinere Unternehmen wie das Haus des Stiftens in München als auch größere wie die Hoerbiger GmbH aus Schongau von Verschlüsselungen per Ransomware betroffen. Auch Einrichtungen wie der Bundesnachrichtendienst oder das Datenportal des Bundes waren Ziel von DDoS-Attacken.

Bewährte Technologien zu wenig genutzt

Wie können sich die Unternehmen vor Angriffen wappnen und mit welchen neuen Bedrohungen ist zu rechnen? „Es gibt bereits heute eine Vielzahl an Technologien und Maßnahmen, die wirksam gegen viele Cyberangriffe schützen“, sagt Claudia Eckert (65), geschäftsführende Leiterin des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC in Garching und Professorin für IT-Sicherheit an der TU München (TUM). „Oftmals werden diese State-of-the-Art-Technologien wie E-Mail-Verschlüsselung oder 2-Faktor-Authentifizierung, aber auch nachhaltig wirksame Schulungsmaßnahmen nicht eingesetzt.“

Dabei spitze sich die Bedrohungslage im Cyberraum weiter zu, warnt sie. Zumal mit den immer komplexeren Softwarelieferketten mehr Angriffsflächen entstehen. Solche Lieferketten umfassen Prozesse, Partnerfirmen und Technologien rund um Entwicklung, Bereitstellung sowie Wartung von Softwareprodukten.

Manipulationssichere KI-Systeme

Die Fraunhofer-Experten nehmen solche Gefahrenquellen ins Visier. „Zu den aktuellen Schwerpunkten gehören teilautomatisiert einsetzbare Lösungen, um Schwachstellen in Hard- und Software zu erkennen und diese gezielt zu beheben“, erklärt die Informatikerin.

Andere AISEC-Forschungsfelder beschäftigen sich mit Lösungen für eine zuverlässige, vertrauenswürdige Elektronik, die in Alltagsgegenständen wie Smartphones oder in industriellen Fertigungsverfahren zum Einsatz kommt, sowie auf möglichst manipulationssicheren KI-Systemen. „Die Gefahren durch KI-generierte Angriffe, die automatisch nahezu von jedermann erzeugt werden können, steigen wegen des einfachen Zugangs zu generativer KI rasant“, warnt Eckert.

So entwickelt der Bereich „Post-Quanten-Kryptografie“ neuartige Verschlüsselungstechniken. Denn in Zukunft können extrem leistungsfähige Quantencomputer die derzeit verwendeten Verschlüsselungsmethoden womöglich knacken. Dies würde Datendiebstähle und Manipulationen gravierend erleichtern, die angegriffenen Unternehmen wären massiv bedroht.

Cybersicheres  Arbeiten

Ein zentraler Baustein für die Cybersicherheit ist die Sensibilisierung der Beschäftigten. „Ziel ist es, das Bewusstsein für cybersichere Arbeitsweisen fest in unserer Unternehmenskultur zu verankern“, sagt Judith Wunschik, Chief Cybersecurity Officer der Siemens Energy Global GmbH & Co. KG in München. Zur Produktpalette des Unternehmens gehören unter anderem Gas- und Dampfturbinen, Generatoren, Transformatoren sowie Lösungen für erneuerbare Energien.

Die Programme zur Cybersicherheit umfassen bei Siemens Energy etwa Phishing-Simulationen, Audits, Penetrationstests sowie webbasierte Trainingsprogramme, die für alle Mitarbeitenden verpflichtend sind. Zudem gelten in puncto Cybersicherheit verbindliche Regeln an den Arbeitsplätzen sowie beim mobilen Arbeiten. Das betrifft zum Beispiel die berufliche und private Nutzung von IT-Geräten, die Verwendung sicherer Plattformen sowie den Datenaustausch – intern ebenso wie mit Zulieferern oder Kunden. Alle Abteilungen sind eingebunden.

Neue Bedrohungen stets im Blick    

„Der Schlüssel zu mehr Resilienz lautet: üben, üben, üben“, ist die promovierte Physikerin Wunschik überzeugt. Genauso wichtig sei es, die dynamischen Veränderungen der Bedrohungslagen sowie alle relevanten Regulierungen im Blick zu behalten, insbesondere die 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit NIS-2 sowie den Cyber Resilience Act.

Beim Aufbau einer Cyberabwehr kann der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn hilfreich sein. Die mehr als 100 Grundschutzbausteine beschreiben technische, personelle und organisatorische Aspekte wie zum Beispiel Notfallpläne für IT-Sicherheitsvorfälle etwa bei Hackerangriffen. Viele Betriebe weisen hier Schwachstellen auf.

IT-Schutz checken

So ergab die IHK-Digitalisierungsumfrage 2023, dass lediglich 42 Prozent der Unternehmen einen Notfallplan aufgestellt haben. Gerade an kleine und mittlere Unternehmen wendet sich der CyberRisikoCheck nach DIN SPEC 27076. Damit können sie ihren aktuellen IT-Schutz jederzeit überprüfen, mit externer oder ohne externe Unterstützung.

IHK-Info: Cybersicherheit

• Mehr Infos zum Thema samt Hinweisen auf interessante Veranstaltungen und Webinare liefert die IHK-Website zur Informationssicherheit
• Kleine und mittlere Unternehmen können mit dem standardisierten CyberRisikoCheck prüfen, wie gut sie gegen Cyberattacken geschützt sind.

IHK-Veranstaltung: Cybersecurity Day 2025

Auf dem Programm des Cybersecurity Day 2025 am 29. Januar 2025 von IHK und Bayerischen Staatsministerien des Inneren, der Finanzen und der Justiz stehen Vorträge und Workshops zu vielfältigen Themen.

Zudem berichtet ein von einem Sicherheitsvorfall betroffenes Unternehmen. Auch die Ergebnisse der Digitalisierungsumfrage 2024 werden vorgestellt.