Immer mehr kleine und mittelständische Unternehmen (KMU) sind das Ziel von Cyberattacken. Warum das so ist, und wie sich Pilzbetriebe davor schützen können, war Thema auf der 77. Jahrestagung des BDC e. V. Ende September in Leipzig. Johanna Baldus von der Transferstelle Cybersicherheit im Mittelstand in Berlin klärte über die Gefahren auf. Zudem gab die Projektmanagerin Öffentlichkeitsarbeit in der Transferstelle den anwesenden Produzenten wichtige Tipps zur Prävention und zum Umgang im Falle eines Angriffes an die Hand.
Über das Thema Cyberkriminalität zu sprechen, kommt einer Gratwanderung gleich. Gerne werden die Gefahren verdrängt, das Thema im Unternehmen immer weiter in die Zukunft verschoben. Verdrängung ist jedoch keine gute Strategie. Immer mehr KMU werden Opfer von Cyberattacken, berichtete Baldus in Leipzig, auch in der Landwirtschaft. Die Digitalisierung in den Betrieben nehme zu, grundlegende Schutzmaßnahmen fehlten jedoch häufig (noch). Dadurch wachse die Gefahr von Cyberangriffen.
Bundesweit beträgt der Schaden durch Cyberangriffe pro Jahr über 200 Milliarden Euro, berichtete die Projektmanagerin. Die durchschnittliche Schadensgröße liege bei 99.000 Euro. „Wir beobachten, dass immer mehr KMUs aufgrund von Cyberattacken Insolvenz anmelden müssen“, sagte Baldus. Warum? Nach Auskunft der Expertin ist es einfacher für Hacker, bei KMUs aktiv zu werden. Kriminelle kommen zum Beispiel einfacher an Kommunikations-, Kunden- oder Finanzdaten und könnten mit diesen Daten Lösegeld erpressen. Die Verschlüsselung der Daten durch Schadsoftware – sogenannte Ransomware (ransom = Lösegeld) – mit Lösegeld-Erpressung sei aktuell auch laut des Bundesamtes für Sicherheit in der Informationstechnik (BSI) die größte Bedrohung für Unternehmen.
Phishing, Deep Fakes und KI
Es gibt viele Wege, in die IT eines Unternehmens einzudringen und Schaden anzurichten. 94 Prozent der Schadsoftware werde über E-Mails übertragen, erläuterte Baldus. Beim Phishing werden betrügerische Nachrichten geschickt, die Zugangsdaten erbeuten sollen oder Schadsoftware installieren. Die KI bringt ebenfalls neue Risiken mit sich. So haben es Kriminelle leichter, Zielunternehmen oder Einfallstore zu recherchieren. Ein neues Risiko stellt hier beispielsweise das sogenannte Spearphishing dar. Dabei werden einzelne Personen zielgerichtet kontaktiert und davon überzeugt, auf eine Datei oder einen Link zu klicken. Generative KI liefert für diesen Zweck bessere Texte, bessere Übersetzungen und bessere Grammatik. Deep Fakes von Personen oder Stimmen über Bilder und Videos seien auf den ersten Blick oft nicht als Fakes zu erkennen.
Laut Baldus bringt die künstliche Intelligenz neben den neuen Risiken jedoch auch Chancen. Etwa die effiziente Auswertung großer Datenmengen, die Analyse und Erkennung von Mustern sowie die Erkennung und Einordnung von Spam und Malware in Postfächern.
Zunehmende Digitalisierung bietet Angriffsfläche – auch in Pilzbetrieben
Das Thema Cybersicherheit ist auch für Pilzbetriebe relevant. Die zunehmende Digitalisierung der Arbeits- und Produktionsprozesse biete Cyberkriminellen Angriffsflächen – etwa digitale Komponenten in der Steuerung, der Automatisierung und bei der Überwachung der Prozesse. Ähnliches gelte für die Verarbeitung und die Logistik. Viele landwirtschaftliche Betriebe machen sich Sorgen bezüglich der Cybersicherheit, wissen aber nicht, wo sie anfangen sollen.
Cybersicherheit anpacken – jetzt!
Es gibt einiges zu tun, um in Puncto Cybersicherheit gut aufgestellt zu sein. Wichtig ist laut Baldus, im eigenen Unternehmen ein Bewusstsein für das Thema zu schaffen und es positiv zu besetzen. Denn nur, wenn offen damit umgegangen werde, könne auch bei Angriffen schnell reagiert werden. Unternehmer sollten ihren Mitarbeitenden die Angst vor Repressalien nehmen und ihnen Mut machen, bei Verdacht – auch aufgrund des eigenen Verhaltens – darüber zu sprechen, und zwar so schnell wie möglich. Denn im Falle eines Angriffs ist schnelles Handeln angesagt. Baldus gab den Pilzproduzenten dafür zehn Tipps an die Hand.
Tipp 1: Bewusstsein in der Geschäftsführung schaffen
Die Gesamtverantwortung für das Thema Cybersicherheit liegt in der Geschäftsführung. Es sollte als strategische Priorität festgelegt und in alle Abteilungen des Betriebs hineingetragen werden. Im Idealfall ist eine für die Cybersicherheit zuständige Person benannt, oder ein Dienstleister dafür beauftragt. Darüber hinaus müssten Budgets und Ressourcen sowie zeitliche Kapazitäten für Sicherheitssysteme bereitgestellt werden. Und natürlich solle die Geschäftsführung Vorbild sein.
Tipp 2: Das Team schulen
Nach Auskunft der Expertin ist ein sensibilisiertes Team der beste Schutz vor Phishing-Angriffen. Regelmäßige, kurze Schulungen helfen dabei, dass Mitarbeitende verdächtige E-Mails und gefälschte Webseiten erkennen. Hilfreich ist auch, Phishing-Angriffe zu simulieren und zu analysieren. Verantwortung und Konsequenzen sind klar zu kommunizieren.
Tipp 3: Das richtige Backup-Konzept umsetzen
Auch bezüglich Backups ist es wichtig, Verantwortlichkeiten und ein funktionierendes Konzept festzulegen. Datenverluste sind mit sehr hohen Kosten verbunden. Daten sollten daher immer korrekt gesichert werden. Nur dann sind sie auch im Ernstfall noch verfügbar und der Geschäftsbetrieb kann fortgeführt werden. Das bedeutet konkret: Von wichtigen Daten sollten nach Auskunft der Expertin immer drei Kopien vorhanden sein, davon zwei auf verschiedenen Speichermedien und eine extern, zum Beispiel auf einer Cloud (3-2-1-Regel). Und: Backups sollten regelmäßig getestet werden!
Tipp 4: Regelmäßig Updates durchführen
Die Software im Betrieb ist immer auf dem aktuellen Stand zu halten. Updates sind daher Pflicht, so Baldus. Die Updates sollten sofort nach dem Erscheinen – am besten von der dafür zuständigen Person – installiert werden oder das Update automatisch erfolgen. Hard- und Software, die vom Hersteller nicht mehr aktualisiert wird, ist zu ersetzen.
Tipp 5: Beschränkungen setzen & Makros deaktivieren
Den Zugriff auf Daten, Ordner und Anwendungen sollten nur Mitarbeiter haben, die diese auch brauchen. Das Gleiche gilt für Administratorenrechte sowie für den Zutritt zu Räumlichkeiten. Makros in Office-Produkten sind standardmäßig zu deaktivieren und es sollte festgelegt werden, wann sie aktiviert werden dürfen.
Tipp 6: Mobiles Arbeiten sicher gestalten
Wer im Homeoffice oder von unterwegs aus arbeitet, sollte eine verschlüsselte Verbindung nutzen (VPN), um seine Geräte zu schützen. Beim Verlassen des Arbeitsplatzes ist der Bildschirm zu sperren. Und natürlich gelten auch außerhalb des Büros dieselben Regeln bezüglich Passwörtern, Updates und Backups.
Tipp 7: Passwortsicherheit durchsetzen
Bei den Passwörtern gilt: Komplexität schützt. Daher sind lange und komplexe Passwörter zu nutzen und diese regelmäßig zu ändern. Für jedes Konto ist ein einzigartiges Passwort zu erstellen. Der Einsatz eines Passwortmanager ist zu empfehlen, und – wann immer möglich – rät die Fachfrau zur Nutzung der 2-Faktor-Authentifizierung.
Tipp 8: Schutzsoftware nutzen
Alle IT-Geräte müssen mit einem Virenschutzprogramm ausgestattet sein, empfiehlt Baldus. Diese erkennen Malware, warnen bei verdächtigem Verhalten, setzen in Quarantäne. Eine Firewall ist erforderlich, um das Firmennetzwerk zu schützen. Sie überwacht den Datenverkehr auf Basis vordefinierter Regeln. Generell gilt: Software darf nur aus vertrauenswürdigen Quellen bezogen werden.
Tipp 9: Notfallplan aufstellen
Immens wichtig (und schwierig) ist es, im Ernstfall Ruhe zu bewahren und strukturiert vorzugehen. Hilfreich ist, sich auf folgendes Ziel zu fokussieren: Schäden minimieren, Betrieb wiederherstellen. Baldus wies darauf hin, dass eine verantwortliche Person benannt werden muss, die das Vorgehen bei IT-Notfällen kennt. Im Idealfall hat man eine Schritt-für-Schritt-Anleitung ausgedruckt in der Schublade. Achtung: Bei einem Angriff sind Meldepflichten zu beachten (z. B. die Datenschutz-Grundverordnung DSGVO). Hilfreich ist auch die Checkliste „IT-Notfallplan“, die alle elementaren Punkte benennt, die nach einem Angriff zu tun sind.
Tipp 10: Gesetzliche Richtlinien & Meldepflichten kennen
Im Falle einer Cyberattacke greifen einige gesetzliche Anforderungen, darunter die DSGVO und die Cyber-Sicherheitsrichtlinie der EU (NIS2-Richtlinie). Es sind Meldepflichten einzuhalten: für personenbezogene Daten 72 Stunden, für die Betreiber kritischer Infrastrukturen (KRITIS) 24 Stunden. Notwendig ist auch eine Anzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) des jeweiligen Landeskriminalamts.
Transferstelle Cybersicherheit hilft weiter
Die Transferstelle Cybersicherheit unterstützt kleine und mittlere Unternehmen, Start-Ups und Handwerksbetriebe in Puncto Cybersicherheit und bietet auf ihrer Internetseite wertvolle Informationen. Am besten gleich einen Check machen, Termin buchen und einen Notfallplan erstellen.
Die Transferstelle ist die zentrale Anlaufstelle eines bundesweiten Netzwerks und einer Wissensplattform. Sie wurde im Juli 2023 ins Leben gerufen und soll noch bis 2027 bei der Vorbeugung, beim Aufspüren und Reagieren auf Cyberangriffe unterstützen – kostenfrei und praxisnah. Sie wird vom Bundesministerium für Wirtschaft und Energie (BMWE) gefördert. Johanna Baldus steht als Ansprechpartnerin zur Verfügung.
Weitere Informationen:
Internetseite der Transferstelle für Cybersicherheit im Mittelstand (https://transferstelle-cybersicherheit.de)
Checkliste „IT-Notfallplan“ auf der Internetseite der Transferstelle Cybersicherheit (https://transferstelle-cybersicherheit.de/material/hackerangriff-und-jetzt-ihr-notfallplan/).
Johanna Baldus, Projektmanagerin Öffentlichkeitsarbeit in der Transferstelle, E-Mail: johanna.baldus@transferstelle-cybersicherheit.de
