Kolumne Innovation | Stellen Sie sich vor, jemand wechselt heimlich Ihr Haustürschloss aus und verlangt für den neuen Schlüssel eine immense Geldsumme in Bitcoins – das passiert im Netz mittlerweile nahezu täglich. Die Wirtschaft, wir Privatleute, auch ganze Staaten befinden sich im Dauerbeschuss durch Hackerangriffe. Die Gefahr wird massiv unterschätzt, und Unternehmen sind meist schlecht vorbereitet.
Philipp Depiereux
11. November 2021
Cyberkriminalität: Unterschätzte Gefahr im Netz
Wie falsch die eigenen Mitarbeitenden die Gefahr von Hackerangriffen mitunter einschätzen, verdeutlichte mir kürzlich die Geschichte eines befreundeten CEOs. Er wollte sein Team testen, um ein Gefühl dafür zu bekommen, wie anfällig sein Unternehmen ist. Er schickte 100 Phishing-Mails per Zufallsprinzip an 100 Mitarbeiterinnen und Mitarbeiter. Das schockierende Ergebnis spricht für sich: 60 Personen haben geöffnet und etwa 30 Personen sogar ihre Daten eingegeben. Meistens reicht ein Teammitglied, das dann das Tor zur Hacker-Welt öffnet. Aber 60 Prozent bei den Klicks und 30 Prozent bei der Dateneingabe haben mich dann schon schockiert.
Aber nicht nur unvorsichtige Mitarbeitende stellen ein Gefahrenpotenzial dar – manchmal ist es die Firmenstruktur selbst. Ich kenne beispielsweise eine Holding, die mehr als 50 Subunternehmen hat. Dazu gehören verschiedene Websites und Systeme, auf denen zum Teil bis zu 15 Jahre keine Updates mehr gelaufen sind. Und es kam, wie es kommen musste: Bei einem kleinen Tochterunternehmen ist ein Hacker eingedrungen und hat ein altes Portal, das eigentlich gar nicht mehr online sein sollte, gehackt und die Kundendaten gestohlen. Die Holding wurde dann erpresst, eine Lösegeldforderung zu zahlen, sonst würden die Daten veröffentlicht. Ein riesiger Reputationsschaden könnte folgen. Neben diesem gibt es aber ein weiteres Problem: Der Vorfall ist meldepflichtig und muss bei den Behörden angezeigt werden. Diese prüfen dann, ob das Unternehmen gesetzeskonform gehandelt hat: Waren die Daten sicher verwahrt? Hat ein Datenschutzbeauftragter sich um das Tochterunternehmen gekümmert? Wurden regelmäßig Updates gefahren? Sollte herauskommen, dass das Unternehmen nicht entsprechend gehandelt hat, droht ein Bußgeld in Höhe von vier Prozent vom Jahresumsatz der Holding (!) oder maximal 20 Millionen Euro.
Fazit
Der Mensch steht bei der Digitalisierung im Mittelpunkt. Die Mitarbeitenden müssen sich stets richtig verhalten, aber auch die Firmenstrukturen müssen gut überwacht und Online-Aktivitäten zentral dokumentiert werden. Daher mein Appell: Ein relevanter Teil des Investitionsbudgets in Ihren Unternehmen sollte in IT und die interne Sicherheit fließen. Mitarbeiter:innen müssen geschult werden. Es muss ein Notfallplan her: Was tun, wenn wir angegriffen werden oder wurden? Was tun, wenn wir erpresst werden und unsere Computer und Maschinen nicht mehr bedient werden können? Wen schalten wir ein? Wo liegt das letzte Back-up? Vor allen Dingen müssen CEOs und Manager:innen aber lernen, über das "Thema Cybersicherheit offen zu sprechen. Denn nur so können wir uns gegenseitig für das "Thema sensibilisieren, voneinander lernen und uns gemeinsam schützen.
Über den Autor:
Philipp Depiereux ist Founder und CEO des Non-ProfitFormats ChangeRider und hat das Buch „Werdet Weltmutführer“ geschrieben. Zuvor hat er – nach diversen Stationen im Mittelstand – den Digitalpionier etventure gegründet und an EY verkauft. Er ist verheiratet, hat vier Kinder und lebt in München.