Im Jahr 2021 haben 18 Prozent der deutschen Unternehmen Schäden durch Cyberangriffe erlitten. Dennoch wird das Thema in der internen Kommunikation oft stiefmütterlich behandelt. Oliver Lackmann vom IT-Dienstleister Welacom ist Experte für Cyber Security Awareness und verrät uns im Interview, wie Unternehmen ihre Mitarbeiter:innen für mehr Datensicherheit sensibilisieren können.
Oliver, welche Bedeutung hat IT-Sicherheit für mittelständische Unternehmen und warum sollten Unternehmen sich damit beschäftigen?
IT-Sicherheit muss einen sehr hohen Stellenwert für mittelständische Unternehmen einnehmen, denn oftmals sind die Daten, die ein Unternehmen besitzt, der größte Wert. Um die Frage der Wichtigkeit für sich selbst zu beantworten, sollte sich eine Unternehmerin oder ein Unternehmer fragen, wie viel Geld es sie oder ihn kostet, wenn aufgrund von verschlüsselten Daten, das Unternehmen nicht arbeitsfähig ist.
Auf der Basis klärt sich dann sehr schnell der Stellenwert, den die Absicherung dieser Daten einnehmen sollte.
Welche Angriffe auf die IT-Systeme beobachtet ihr? Gibt es Trends?
Uns fällt vor allem auf, dass die Angriffe immer plumper werden. Vor allem das Thema Phishing spielt hier eine entscheidende Rolle, da man es hierbei auf den Endbenutzer abgesehen hat. Gelangt so eine E-Mail dann in das Postfach eines unerfahrenen Nutzers, der sich zuvor nicht mit solcherlei Risiken befasst hat, kann das schnell dramatische Auswirkungen haben.
Ein Trend, der im Zuge der fortschreitenden Nutzung Künstlicher Intelligenz vermehrt auf uns zukommen wird, sind Angriffsszenarien wie Deepfakes oder Voice Cloning.
Welche Risiken können durch mobile Geräte, die von Mitarbeiterinnen und Mitarbeitern für geschäftliche Zwecke genutzt werden, entstehen und wie können diese Risiken minimiert werden?
Ein Risiko besteht darin, dass ein Gerät, auf dem sich Kundendaten befinden, gestohlen wird und somit Kundendaten in fremde Hände gelangen. Eine Möglichkeit, sich gegen diese Problematik zu schützen, ist der Einsatz von sogenannten Mobile Device Management Lösungen. Mit ihnen lassen sich die Firmenhandys, -laptops oder -tablets zentral verwalten und beispielsweise von einem geklauten Gerät die Daten löschen.
Wie können mittelständische Unternehmen sich gegenüber Bedrohungen wie Malware, Phishing und anderen Cyberangriffen schützen?
Als mittelständisches Unternehmen ist es wichtig, dass man die IT-Sicherheit nicht als einmaliges Projekt begreift, sondern als kontinuierlichen Prozess, der regelmäßig geprüft und optimiert werden muss. Da die Entwicklung im IT-Bereich sehr schnell voranschreitet, ist es auch für die IT-Sicherheits-Strategie unerlässlich, sich diesen Änderungen immer wieder anzupassen.
Wir empfehlen hier eine IT-Strategie mit verschiedenen Maßnahmen, die sich wie folgt definieren lassen:
Wie können mittelständische Unternehmen reagieren, wenn sie Opfer eines Cyberangriffs werden?
Für den Fall eines Cyberangriffs sollten Unternehmen klar definiertes Notfall-Protokoll haben, welches dann ausgelöst wird. Hierin sollte einerseits eine Reihenfolge der zu erledigenden Schritte definiert sein. Außerdem sollten die entsprechenden Verantwortlichkeiten von Mitarbeiterinnen und Mitarbeitern sowie Dienstleistern beschrieben sein.
Diesem Protokoll muss dann entsprechend Folge geleistet werden – am besten in Verbindung mit entsprechenden Zeitstempeln, wann welcher Schritt ausgelöst werden muss.
Grundsätzlich lautet die Empfehlung: Eine enge Zusammenarbeit zwischen IT-Verantwortlichem, IT-Dienstleister und Datenschutz-Beauftragtem ist hier zielführend.
Wer sollte von Cyberangriffen in Kenntnis gesetzt werden? Gibt es auch Mitteilungspflichten?
Sobald es darum geht, dass durch einen Cyberangriff Kundendaten in fremde Hand geraten sind, muss man das an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden melden. Darüber hinaus müssen in der Folge auch die betroffenen Kundinnen und Kunden und ggf. der Versicherer der Cyber-Security-Police informiert werden.
Wie können mittelständische Unternehmen sicherstellen, dass ihre Mitarbeiterinnen und Mitarbeiter sich der Bedeutung von IT-Sicherheit bewusst sind und sich an Sicherheitspraktiken halten?
Eine Kombination aus verschiedenen Maßnahmen sollte aus unserer Sicht genutzt werden, um die Mitarbeiterinnen und Mitarbeiter bestmöglich für das Thema IT-Sicherheit zu sensibilisieren. Einerseits ist die stetige Aufklärung ein entscheidender Faktor, um seine Belegschaft auf dem Laufenden zu halten. Hier kann bspw. mittels einer Mitarbeiter-App, internem Newsletter oder kurzen Webinar-Inhalten regelmäßig auf unterschiedliche digitale Gefahren hingewiesen werden.
Mittels eines Security-Awareness-Trainings ist es zudem möglich, ein regelmäßiges Training zu implementieren, mit dem man auf die Gefahren der Phishing-Mails hinweist. Hier werden verschiedenen Phishing-Mails in unregelmäßigen Abständen an die User geschickt – falls man auf einen Link klickt, verbirgt sich dahinter eine kurze Lerneinheit zum Thema Phishing inkl. der Erklärung worauf es zu achten gilt, wenn man eine E-Mail mit Link/Anhang erhält.
Vielen Dank für das Interview, Oliver.
Zur Person
Oliver Lackmann ist Geschäftsführer der Welacom GmbH & Co. KG. Das IT-Unternehmen aus Ahaus implementiert moderne Kommunikationslösungen und kümmert sich um die Instandhaltung und Pflege der IT-Infrastruktur seiner Kunden. Dazu zählt sowohl die Telefonie als auch IT-Netzwerke, die Installation und Konfiguration von Server- und Client-Systemen sowie Cloud-Lösungen.
Weitere Beiträge
zum AutorJulius Brockmann
Julius Brockmann ist PR-Berater in den Teams Gesundheit & Pflege sowie Konsumgüter & Dienstleistungen bei Sputnik. Vor seiner Zeit in der PR-Branche studierte er Medien und Politik an der Friedrich-Alexander-Universität Erlangen-Nürnberg. Seit Anfang seines Studiums arbeitet er als freier Mitarbeiter für regionale Tageszeitungen sowie Special-Interest-Titel. Privat betreibt er den Blog www.ruhrwohl.de zu den Themen Food, Interior und Reise.