[datensicherheit.de, 20.06.2025] Mit „CyberALARM“ des Berliner Unternehmens Gamebook Studio soll eine praxisnahe, interaktive Plattform für mehr Cybersicherheit im Mittelstand, im öffentlichen Sektor und in Bildungseinrichtungen geboten werden. „Die Plattform richtet sich insbesondere an kleine und mittlere Unternehmen – also genau die Zielgruppe, die durch die kommende NIS-2-Richtlinie der EU künftig besonders in die Pflicht genommen wird. Wer nicht vorbereitet ist, riskiert unter Umständen rechtliche Konsequenzen und wirtschaftliche Schäden.“ „CyberALARM“ soll einen verständlichen, realitätsnahen und wissenschaftlich fundierten Einstieg in die Thematik ermöglichen.

Abbildung: Gamebook Studio

„CyberALARM“: Insbesondere kleine und mittlere Unternehmen (KMU) als Zielgruppe

Digitale Lernumgebung, in der Nutzer in verschiedene Rollen schlüpfen können

„CyberALARM“ richtet sich demnach insbesondere an kleine und mittlere Unternehmen (KMU) – eben genau jene Zielgruppe, welche durch die kommende NIS-2-Richtlinie der EU künftig wohl besonders in die Pflicht genommen werden wird. „Wer nicht vorbereitet ist, riskiert unter Umständen rechtliche Konsequenzen und wirtschaftliche Schäden!“

Auf die Frage, wie Mitarbeiter lernen können, Cyberangriffe frühzeitig zu erkennen und im Ernstfall sicher zu handeln, soll nun „CyberALARM“ die Antwort bieten: Diese Plattform biete eine digitale Lernumgebung, in der Nutzer in verschiedene Rollen schlüpfen können: „Als Angestellte, Hacker, Führungskräfte oder Cyberermittler trainieren sie in realistischen Szenarien, Risiken frühzeitig zu erkennen, sichere Entscheidungen zu treffen und im Ernstfall wirksam zu handeln.“

Flexible Anpassungsfähigkeit der Plattform und Inhalte an aktuelle gesetzliche Vorgaben

Im Unterschied zu klassischen Video-Trainings setze der Anbieter Gamebook Studio auf interaktive Simulationen, welche wissenschaftlich erwiesen deutlich höhere Lerneffekte erzielten und langfristigen Wissenstransfer ermöglichten.

„Ein besonderes Augenmerk lag dabei von Beginn an auf der flexiblen Anpassungsfähigkeit der Plattform und Inhalte an aktuelle gesetzliche Vorgaben: Gamebook entwickelt die ,CyberALARM’ kontinuierlich weiter und bereitet Unternehmen schon jetzt gezielt auf die Anforderungen der kommenden NIS-2-Richtlinie der EU vor.“

„CyberALARM“-Plattform soll Bildungseinrichtungen kostenfrei zur Verfügung gestellt werden

Derzeit sei „CyberALARM“ in deutscher Sprache verfügbar – weitere europäische Sprachversionen seien indes in Vorbereitung. Darüber hinaus biete Gamebook Studio auf Wunsch auch maßgeschneiderte Trainingslösungen an und stelle die „CyberALARM“-Plattform Bildungseinrichtungen kostenfrei zur Verfügung – um Risiken frühzeitig zu erkennen und sich wirksam vor Cyberangriffen zu schützen, „bevor sie teuer werden“.

Die methodischen Grundlagen für das interaktive Trainingsformat von „CyberALARM“ habe Gamebook Studio im Rahmen des vom Bundesministerium für Wirtschaft und Klimaschutz geförderten Forschungsprojekts „ALARM“ in Zusammenarbeit mit der Technischen Hochschule Wildau entwickelt und validiert.

Digitale Weiterbildung soll nicht nur pures Wissen vermitteln, sondern gezielt Verhalten trainieren

„Zwischen 2020 und 2024 untersuchten die Projektbeteiligten verschiedene Ansätze zur Messung und Förderung von Sicherheitsbewusstsein in KMU – mit digitalen Simulationen, analogen Workshops und realitätsnahen Vor-Ort-Angriffen, die verschiedene Partner durchführten.“ Ulrike Küchler, Geschäftsführerin von Gamebook Studio, kommentiert: „Cybersicherheit wird zu einer zentralen Voraussetzung für die Resilienz von Unternehmen – und die EU macht deutlich, dass keine Organisation das Thema ignorieren kann!“

Mit „CyberALARM“ soll nun gezeigt werden, wie digitale Weiterbildung nicht nur Wissen vermittelt, sondern gezielt Verhalten trainieren kann: Die Nutzer sollen im interaktiven Training Entscheidungen in realitätsnahen Simulationen treffen – eben wie im Arbeitsalltag. Sie erlebten die Folgen ihres Handelns, könnten Risiken erkennen, Angriffe zulassen oder abwehren… So entstehe echte Handlungssicherheit – wirksam, motivierend und nachhaltig. „Unsere Technologie liefert aktuelle Inhalte und lässt sich auf zahlreiche weitere Lernfelder übertragen – von ,Compliance’ und ,Soft Skills’ bis hin zu völlig neuen Trainingsszenarien“, betont Küchler abschließend.

Weitere Informationen zum Thema:

CyberALARM
Schützen Sie sich vor Cyberangriffen! / Schulen Sie sich oder Ihr Team mit unserer wissenschaftlich erprobten Cybersicherheitsschulung: Bekämpfen Sie die 7 gefährlichsten Cybersicherheitsbedrohungen.

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 06.06.2024
Phishing-Benchmarking-Bericht von KnowBe4: Cyber-Sicherheitstrainings zeigen Wirkung / Starke Sicherheitskultur zusammen mit -technologie für die Bekämpfung von Cyber-Bedrohungen unerlässlich

datensicherheit.de, 10.02.2022
Datensicherheit erfordert umfassende Planung und regelmäßiges Training / Eric Waltert beschreibt Analogie zur Gesundheit und Fitness von Profisportlern

datensicherheit.de, 01.04.2021
SANS Foundations: Neue Trainings-Plattform für Security-Einsteiger / Berufseinsteiger und Quereinsteiger können sich über SANS Foundations ein erstes Grundlagenwissen und praktische Fähigkeiten verschaffen

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

[datensicherheit.de, 12.06.2025] Der „Cybercrime Risiko Index“ von heyData analysiert das Gefährdungspotenzial von 15 europäischen Ländern, Opfer von Cyberangriffen zu werden. Demnach ergeben sich aktuell „erschreckende Zahlen zur Bedrohungslage deutscher Verbraucher und Unternehmen“ – Deutschland zähle dabei zu den vier am stärksten gefährdeten Ländern. Vier von zehn Verbrauchern seien zum Ziel von Cyberangriffen geworden – unter anderem deshalb, „weil mehr als jeder dritte nachlässig mit persönlichen Daten umgeht“.

Abbildung: heyData

Der „Cybercrime Risiko Index“ von heyData bewertet die Gefährdung von 15 europäischen Ländern in vier zentralen Bereichen (Verbraucher-Risiko, Unternehmens-Risiko, Verhaltensrisiko und finanzielle Schäden)

Erschreckende Zahlen zur Bedrohungslage in Deutschland und Europa veröffentlicht

Datenschutzexperten von heyData haben mit ihrem „Cybercrime Risiko Index“ eine Analyse veröffentlicht, „die erschreckende Zahlen zur Bedrohungslage in Deutschland und Europa“ darlegt. Mehr als 40 Prozent der deutschen Verbraucher seien zuletzt Ziel von Cyberangriffen gewesen.

• Dies mache Deutschland zu einem der am stärksten gefährdeten Länder. „Häufige Angriffsmuster sind Phishing, Datendiebstahl und Schadsoftware.“

Nicht nur die Aggressivität der Cyberkriminellen, sondern auch das Verhalten der Verbraucher trage maßgeblich zu ihrer eigenen Gefährdung bei. 34 Prozent der deutschen Verbraucher gingen nachweislich nachlässig mit ihren persönlichen Daten um, „indem sie sensible Informationen über unsichere Verbindungen preisgeben oder auf unsicheren Plattformen speichern“, wie aktuelle Eurostat-Umfragewerte belegten.

Foto: heyData

Miloš Djurdjević kommentiert Zunahme der Cyberangriffe: Verbraucher sollten ihre digitalen Sicherheitsroutinen dringend verbessern!

Verbraucher sollten sich der Gefahren im Digitalen Raum bewusster werdenvier zentralen Bereichen

„Der nachlässige Umgang mit persönlichen Daten in Kombination mit dem hohen Risiko, ins Visier von Kriminellen zu geraten, unterstreicht, dass Verbraucher ihre digitalen Sicherheitsroutinen dringend verbessern müssen“, betont Miloš Djurdjević, Mitgründer und „Managing Director“ von heyData.

• Es sei entscheidend, „dass Verbraucher stärker in die Verantwortung genommen werden und sich der Gefahren im Digitalen Raum bewusst werden, um sich besser zu schützen“.

Der finanzielle Schaden, den Verbraucher in Deutschland aufgrund von Cyberangriffen erleiden, liege bei jährlich etwa 82 Euro pro Einwohner – ein hoher Wert im europäischen Kontext. „Zum Vergleich: In Nachbarländern wie Polen (48€) und Frankreich (52€) sind die Schäden deutlich niedriger. Ähnliche Schadenssummen wie in Deutschland verzeichnen Schweden und Norwegen mit jeweils 82 Euro pro Einwohner. Deutlich höhere Schadenssummen gibt es jedoch in Spanien (394€), Österreich (335€) und besonders in Großbritannien, wo der Schaden mit 548 Euro pro Einwohner am höchsten ausfällt.“

Auch deutsche Unternehmen Opfer zunehmender Cyberangriffe

Auch Unternehmen seien zunehmend Ziel Cyberkrimineller: „Jedes vierte Unternehmen in Deutschland (25%) meldete zuletzt sicherheitsrelevante IT-Vorfälle.“

• Diese Zahl verdeutliche, wie dringend Unternehmen ihre Cybersicherheitsstrategien verbessern müssten, um dem wachsenden Risiko digitaler Bedrohungen entgegenzuwirken.

Besonders der deutsche Mittelstand sei gefährdet, da viele Unternehmen ihre IT-Infrastruktur noch nicht ausreichend gegen moderne Angriffsarten abgesichert hätten.

heyData-Empfehlungen für Verbraucher und Unternehmen zum Schutz vor Cyberangriffen

Um sich vor den Gefahren der digitalen Welt zu schützen, könnten Verbraucher einfache, aber wirkungsvolle Maßnahmen ergreifen:

• Verwendung stärkerer Passwörter und einer Zwei-Faktor-Authentifizierung (2FA)
• Regelmäßige Updates und Software-Patches zur Sicherstellung eines aktuellen Sicherheitsstandards
• Vorsicht beim Umgang mit E-Mails und Links, um Phishing-Angriffe zu vermeiden
• Überprüfung der Sicherheitsvorkehrungen und Bewusstsein für den eigenen digitalen Fußabdruck

Unternehmen sollten proaktive Maßnahmen ergreifen, um sich vor Cyberangriffen zu schützen:

• Entwicklung einer robusten IT-Sicherheitsstrategie und regelmäßige Risikomanagement-Analysen
• Schulung von Mitarbeitern zur Sensibilisierung für Cybersicherheitsrisiken und sichere Verhaltensweisen
• Regelmäßige Überprüfung aller Systeme, „Tools“ und Dienstleister auf aktuelle Sicherheits- und Datenschutzanforderungen

hesData-Forderungen an Politik und Unternehmen

Die Cybersicherheitsstandards müssten auf allen Ebenen verbessert werden, um eine umfassende Sicherheit im Digitalen Raum zu gewährleisten. Unternehmen seien gefordert, ihre IT-Infrastrukturen regelmäßig auf Schwachstellen zu überprüfen und Cybersicherheitslösungen wie Endpunktschutz und Verschlüsselungstechnologien zu implementieren.

• Ebenso sollten politische Entscheidungsträger die Zusammenarbeit zwischen öffentlichen Institutionen und privaten Unternehmen stärken, um regulatorische Rahmenbedingungen für Datenschutz und Cyberabwehr kontinuierlich zu verbessern. Insbesondere der Schutz von Verbraucherdaten müsse eine höhere Priorität erhalten, etwa durch strengere Datenschutzgesetze und verpflichtende Meldungen von Sicherheitsvorfällen.

„Die Digitalisierung bietet enorme Chancen, birgt aber auch erhebliche Risiken, insbesondere für Verbraucher. Es ist entscheidend, dass sie mit den richtigen Werkzeugen und klaren Sicherheitsrichtlinien ausgestattet werden, um ihre Daten zu schützen und sich sicher in der digitalen Welt zu bewegen“, gibt Djurdjević abschließend zu bedenken.

Weitere Informationen zum Thema:

heyData, 2025
Cybercrime Risiko Ranking: Gefährdungspotenziale in Europa / Analyse zeigt Gefährdungspotenziale für Verbraucher und Unternehmen in 15 europäischen Ländern

datensicherheit.de, 07.06.2025
Bundeslagebild Cybercrime 2024: BKA meldet zahlreiche Ermittlungserfolge bei anhaltend hoher Bedrohungslage / BKA-Präsident Münch berichtete am 3. Juni 2025, dass jeden Tag der Polizei in Deutschland zwei bis drei schwere Ransomware-Angriffe angezeigt werden

datensicherheit.de, 14.05.2025
LexisNexis® Risk Solutions Cybercrime Report 2025: Ruhe vor dem Sturm / „First-Party-Fraud“ übertrifft Scams und wird zur häufigsten Form globaler Cybercrime-Angriffe – KI-gestützter Betrug wird voraussichtlich im Jahr 2025 zunehmen

datensicherheit.de, 04.03.2025
Cybercrime-Umfrage: Laut Bitkom 6 von 10 Internetnutzern betroffen / Eine deutliche Mehrheit der Deutschen wird jedes Jahr Opfer Cyber-Krimineller

[datensicherheit.de, 19.05.2025] Der Verbraucherzentrale Bundesverband (vzbv) moniert in seiner Stellungnahme vom 19. Mai 2025, dass die Europäische Kommission für einen Großteil von Unternehmen die Pflicht zur Datenschutzdokumentation aufzuweichen plant. Dies gehe aus einem bislang unveröffentlichten Entwurf zur Änderung der Datenschutzgrundverordnung (DSGVO) hervor. Der vzbv kritisiert diese Pläne: „Jede Aufweichung – so klein sie auch erscheinen mag – würde die Tür für weitere Aushöhlungen des Datenschutzes öffnen.“

Abbildung: verbraucherzentrale Bundesverband

vzbv-Kurzstellungnahme zu Vorschlägen der Europäischen Kommission für eine Vereinfachung der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten entsprechend Artikel 30 Absatz 5 der DSGVO zu führen

DSGVO stellt Europas digitale Wirtschaft auf ein verlässliches Fundament

Laut Michaela Schröder, vzbv-Geschäftsleiterin „Verbraucherpolitik“, sind Verbraucher täglich davon betroffen, dass ihre persönlichen Daten verarbeitet werden – auch von kleinen Unternehmen. Die warnt daher: „Wenn diese Unternehmen nicht mehr systematisch dokumentieren müssen, wie sie Daten verarbeiten, fehlt eine wichtige Grundlage, um mögliche Risiken für die Rechte der Betroffenen frühzeitig zu erkennen!“

Das Vorhaben der Europäischen Kommission könnte in der Folge zu weiterführenden Änderungsvorschlägen führen, was wiederum ein weltweit beachtetes Erfolgsmodell gefährden würde: Die DSGVO schaffe Vertrauen – und schütze nicht nur Verbraucher: „Vielmehr stellt sie Europas digitale Wirtschaft auf ein verlässliches Fundament.“

Geplante Lockerung der DSGVO-Dokumentationspflicht ein Irrweg

Die geplante Lockerung der DSGVO-Dokumentationspflicht sei der falsche Weg, daher fordert der vzbv gemeinsam mit zahlreichen europäischen Organisationen in einem Offenen Brief:

• Keine pauschalen Ausnahmen von der Dokumentationspflicht!
• Stattdessen: Gezielte Unterstützung von kleineren und mittelständischen Unternehmen bei der Erstellung datenschutzrechtlicher Dokumente mithilfe von praxistauglichen Tools – etwa Online-Generatoren für die Dokumentation risikoarmer Verarbeitungen!
• Die DSGVO stärken und eben nicht schwächen – als globales Vorbild für fairen, innovationsfreundlichen Datenschutz!

Europäische Kommission plant Änderung von Artikel 30 Absatz 5 DSGVO

Die Europäische Kommission plant demnach eine Änderung von Artikel 30 Absatz 5 der DSGVO. Der vzbv wurde von der Europäischen Kommission im Rahmen seiner Mitgliedschaft in der von ihr berufenen Expertengruppe zur Anwendung der DSGVO zum Entwurf konsultiert.

• Künftig würden Unternehmen kein Verzeichnis ihrer Verarbeitungstätigkeiten mehr führen müssen, wenn ihre Datenverarbeitungen voraussichtlich kein hohes Risiko für die Rechte der Betroffenen mit sich bringen – bislang spricht die DSGVO von einem wahrscheinlichen Risiko.
• Außerdem solle die Ausnahme nicht mehr wie bisher nur für KMU mit bis zu 250 Mitarbeitern gelten, sondern auch für „small mid-caps“ mit bis zu 500 Beschäftigten und nicht mehr als 100 Millionen Euro Jahresumsatz sowie einer Bilanzsumme von maximal 86 Millionen Euro.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 07.05.2025
DOKUMENTATION ALS PFEILER DER RISIKOBEWERTUNG UND DER RECHENSCHAFTSPFLICHT / Kurzstellungnahme des Verbraucherzentrale Bundesverbands (vzbv) zu den Vorschlägen der Europäischen Kommission für eine Vereinfachung der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten entsprechend Artikel 30 Absatz 5 der DSGVO zu führen.

EDRi European Digital Rights, 19.05.2025
Reopening the GDPR is a threat to rights, accountability, and the future of EU digital policy

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern

[datensicherheit.de, 02.05.2025] Wie sich kleine und mittlere Unternehmen (KMU) auf den „AI Act“ der Europäischen Union (EU) vorbereiten, soll Gegenstand eines kostenfreien Workshop der TH Wildau sein: In Online-Sessions und an einem Präsenztag auf dem Campus wird es Mitte Mai 2025 darum gehen, was künftig bei der Entwicklung und Anwendung Künstlicher Intelligenz (KI) zu beachten ist. „Es sind keine Vorkenntnisse notwendig.“ Die Teilnahme für Brandenburger KMU ist kostenfrei, erfordert jedoch eine vorherige Online-Anmeldung.

Neue Vorschriften und Anforderungen aus dem „AI ACT“

In der Woche vom 12. bis 16. Mai 2025 findet demnach ein „Blended-Learning-Workshop“ zum Thema „Der EU AI Act – Was kommt auf KMU zu?“ statt. Zielgruppe sind KMU-Verantwortliche, welche KI entwickeln oder anwenden – die zur Teilnahme erforderliche Anmeldung ist bis 7. Mai 2025 möglich.

„In flexiblen Online-Sessions (12. bis 15. Mai) und einem interaktiven Präsenztreffen am 16. Mai 2025 auf dem Campus der Technischen Hochschule Wildau (TH Wildau) wird auf die neuen Vorschriften und Anforderungen aus der KI-Verordnung der Europäischen Union, dem ,AI Act’, eingegangen.“

„EU AI Act“ trat zum 1. August 2024 in Kraft

In einer Arbeitswelt, in der KI zunehmend den Alltag durchdringt, trat zum 1. August 2024 der „EU AI Act“ in Kraft, um Sicherheit zu gewährleisten, Grundrechte zu schützen und gleichzeitig Innovation zu fördern. Für KMU-Verantwortliche ist es deshalb jetzt wichtig, die Auswirkungen der KI-Verordnung zu verstehen und Mitarbeiter zu sensibilisieren.

„Ziel des Workshops ist es, KMUs in Brandenburg praxisnahe Einblicke in die neue EU-Verordnung über Künstliche Intelligenz zu geben und sie bei der Umsetzung im Unternehmensalltag zu unterstützen.“ KMU, welche KI entwickeln oder anwenden, sollen einen umfassenden Überblick über die Anforderungen des „EU AI Act“ bekommen. Die Teilnehmer sollen darüber hinaus praxisnahe Informationen zur Risikoklassifizierung von KI-Systemen, zu Dokumentations- und Transparenzpflichten sowie zu Technischen und Organisatorischen Maßnahmen (TOM) zur Einhaltung der neuen Vorschriften erhalten.

Konkretisierung der „EU AI Act“-Anforderungen für KMU-Arbeitsalltag

Organisiert wird die Veranstaltung in Kooperation mit dem Zukunftszentrum Brandenburg, der Forschungsgruppe „iC3@smartproduction“ an der TH Wildau sowie dem „Think Tank iRights.Lab Berlin“.

Folgende Inhalte und Fragestellungen werden konkret bearbeitet:

• Was bedeutet der ,EU AI Act’ konkret für KMU und ihren Arbeitsalltag?
• Welche Chancen und Risiken beinhaltet der ,EU AI Act’ für Innovation und Wachstum in KMU?
• Welche Pflichten müssen Sie zukünftig bei der Nutzung von ,ChatGPT’ & Co. beachten?
• Praxistransfer – Fallstudien und Praxisbeispiele mit entsprechenden Handlungsempfehlungen.
• Erleben Sie KI hautnah in der Praxis – live in der Wildauer „smartproduction“!

Das Organisationsteam bietet dazu ein sogenanntes Blended-Learning-Programm an. Teilnehmer können sich die Online-Sessions (sieben einzelne Videokurse / ca. drei Stunden) frei einteilen. Zusätzliche Fragen oder auch offene Themen werden dann beim Präsenztreffen am 16. Mai 2025 (9.30 bis 15.30 Uhr) an der TH Wildau vertieft.

Zur Anmeldung:

TH WILDAU
Workshop: Der EU AI Act – Was kommt auf KMU zu?

Weitere Informationen zum Thema:

Zukunftszentrum Brandenburg
Arbeit zusammen gestalten

datensicherheit.de, 05.02.2025
AI Act der EU verbietet bestimmte KI-Systeme und verpflichtet zur -Kompetenz / Die neue Regelung setzt das Verbot bestimmter KI-Systeme durch und legt Anforderungen an die -Kenntnisse der Beschäftigten fest

datensicherheit.de, 04.02.2025
AI Act: Seit dem 2. Februar 2025 weitere Regelungen der europäischen KI-Verordnung in Kraft / Eigentlich sollte der „AI Act“ für Rechtssicherheit in Europa sorgen – aktuell droht das genaue Gegenteil, so die Bitkom-Kritik

datensicherheit.de, 03.02.2025
AI Act: eco-Kommentar zum Inkrafttreten – nationale Gesetzgebung muss Vision und Praxis vereinen! / Ab dem 2. Februar 2025 verbietet der „AI Act“ Manipulation durch KI, „Social Scoring“ und biometrische Fernidentifikation in Echtzeit

[datensicherheit.de, 27.03.2025] Laut der aktuellen Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, Statista und „brand eins“ halten 43 Prozent der Angestellten in Deutschland ihr Unternehmen für kein attraktives Angriffsziel. Indes: Cyber-Kriminalität kann jedes Unternehmen treffen – vom kleinen Handwerksbetrieb bis zum internationalen Konzern. Diese Umfrage zeigt demnach außerdem, dass das Bewusstsein der Mitarbeiter für Cyber-Risiken mit der Unternehmensgröße steigt – „insbesondere in KMU wird die Gefahr aber unterschätzt“.

Foto: G DATA CyberDefense

Andreas Lüning rät Unternehmen, auf eine über die Technik hinausgehende, die Menschen umfassende Cyber-Sicherheitsstrategie zu setzen

Mehr als die Hälfte der KMU-Belegschaften schätzen ihren Betrieb als uninteressantes Ziel für Cyber-Kriminelle ein

Für Cyber-Kriminelle zählt offenbar nicht, wie groß oder bekannt eine Firma ist, sondern wie leicht sie in deren IT-Systeme eindringen können. Im Kontrast dazu steht laut G Data die weitverbreitete Einschätzung, „kein interessantes Ziel für Angreifer“ zu sein, – diese Meinung werde von zwei von fünf deutschen Arbeitnehmern vertreten.

Besonders ausgeprägt sei diese gefährliche Fehleinschätzung in Unternehmen mit 100 bis 249 Mitarbeitern: „Mehr als die Hälfte der Belegschaft von KMU schätzen ihre Firma als uninteressantes Ziel für Cyber-Kriminelle ein“, so eine Erkenntnis aus der aktuellen Studie „Cybersicherheit in Zahlen“.

„Angreifer wählen ihre Ziele nicht nach Branche oder Größe, sondern nach Schwachstellen aus“, kommentiert Andreas Lüning, Gründer und Vorstand bei der G DATA CyberDefense AG. Dazu zählten verwundbare Strukturen, mangelhaft gesicherte Systeme und unaufmerksame Mitarbeiter. Er rät: „In jedem Unternehmen ist eine Sicherheitsstrategie sinnvoll, die nicht nur auf Technik setzt, sondern auch das Risikobewusstsein des gesamten Teams stärkt!“

Cyber-Gefahrenbewusstsein der Angestellten nimmt mit der Unternehmensgröße zu

Je größer das Unternehmen ist, desto eher werde es von den Mitarbeitern als Ziel für Cyber-Angriffe wahrgenommen. „In Firmen mit 250 bis 999 Beschäftigten hält gut die Hälfte der Befragten ihren Arbeitgeber für ein potenzielles Angriffsziel.“ In großen Unternehmen mit mehr als 1.000 Mitarbeitern sei das Bewusstsein für das Angriffsrisiko bei fast 70 Prozent der Beschäftigten vorhanden.

Dies sei darauf zurückzuführen, dass Konzerne häufig über regulierte Prozesse oder verpflichtende Sicherheitsmaßnahmen verfügten. „Dennoch ist auch hier noch Luft nach oben: Im Umkehrschluss bedeutet es nämlich, dass fast jeder dritte Beschäftigte in großen Firmen die Cyber-Bedrohung falsch einschätzt.“

Eine wirksame IT-Sicherheitsstrategie berücksichtige nicht nur technische Schutzmaßnahmen, sondern beziehe auch die Mitarbeiter mit ein. Informationssicherheit sei eine Teamaufgabe – alle Beschäftigten, vom Auszubildenden bis zur Geschäftsführung, sollten potenzielle Gefahren kennen und wissen, wie sie verantwortungsvoll handeln.

Weitere Informationen zum Thema:

G Data Cyber Defense
Cybersicherheit in Zahlen – das IT-Magazin / Wir machen Komplexes verständlich. Auf 104 Magazinseiten.

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

datensicherheit.de, 10.03.2022
Schutz statt Nachlässigkeit: 5 einfache Tipps zur Stärkung der KMU-Cybersecurity / Bewusstsein, wie wichtig auch der KMU-Schutz vor Cyber-Attacken ist, noch lange nicht geschärft

[datensicherheit.de, 23.03.2025] Der Verein Deutschland sicher im Netz e.V. (DsiN) spricht sich in einem neuen Positionspapier anlässlich der aktuellen Koalitionsverhandlungen klar für eine nachhaltige Förderung digitaler Bildung und Sicherheit aus. Als zivilgesellschaftlicher Akteur setzt sich DsiN demnach seit seiner Gründung 2006 unter der Schirmherrschaft des Bundesministeriums des Innern und für Heimat für die Vermittlung digitaler Kompetenzen und den Schutz der Verbraucher sowie kleiner und mittlerer Unternehmen (KMU) im Netz ein.

DsiN-Engagement für gezielte Vermittlung produktneutraler digitale Kompetenzen

DsiN und seine beide Geschäftsführer, Isabelle Rosière und Joachim Schulte, geben folgende übergeordnete Empfehlung: „Die Digital- und Cyber-Sicherheitsstrategie der Bundesregierung sollte die nachhaltige Förderung zivilgesellschaftlicher Akteure wie Deutschland sicher im Netz e.V. vorsehen, bei denen gezielt und produktneutral digitale Kompetenzen vermittelt werden und somit der digitale Verbraucherschutz gestärkt wird!“ Nachfolgend werden im Einzelnen DsiN-Empfehlung aufgeführt:

1. DsiN-Empfehlung: Systematische Vermittlung digitaler Kompetenzen

Die gezielte Förderung digitaler Kompetenzen sollte ein fester Bestandteil der Cyber- und Sicherheitsstrategie der Bundesregierung werden.

2. DsiN-Empfehlung: Stärkung bewährter und vertrauenswürdiger Akteure

Projekte wie der „DsiN-Digitalführerschein“, der „Digitale Engel“ und der „Digital-Kompass“ böten niedrigschwellige und praxisnahe Angebote zur Stärkung digitaler Sicherheit und Teilhabe. Diese Ansätze sollten gezielt gefördert und weiterentwickelt werden.

3. DsiN-Empfehlung: Unterstützung von Engagierten in Politik und Ehrenamt

Angebote wie „Politiker:innen sicher im Netz“, die „Digitale Nachbarschaft“, sowie „digital verein(t)“ böten wichtige Schulungen für den sicheren Umgang mit digitalen Werkzeugen und den Schutz vor Desinformation. Dies seien zentrale Bausteine für die gesellschaftliche Resilienz.

4. DsiN-Empfehlung: Cyber-Sicherheit für Verbraucher und KMU

Gerade kleine und mittlere Unternehmen sowie Verbraucher benötigten gezielte Unterstützung bei der Bewältigung digitaler Herausforderungen. „Unser neuer ,FiTNIS2-Navigator’ bietet hier einen wichtigen Ansatz zur Sensibilisierung und zur Einhaltung der NIS-2-Richtlinie.“

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz, 21.03.2025
Positionspapier: Digitale Kompetenzen als Voraussetzung für Cybersicherheit und Teilhabe / Digitalen Verbraucherschutz stärken

Deutschland sicher im Netz e.V. & Universität Paderborn
Hier entsteht der FitNIS2-Navigator

datensicherheit.de, 01.02.2023
Neuer DsiN-Ratgeber für einfachen und sicheren Login

[datensicherheit.de, 21.02.2025] Kleine und mittlere Unternehmen (KMU) sind offenbar noch immer zu oft durch ungeschützte Systeme, mangelndes Risikobewusstsein und fehlende IT-Expertise geprägt – so werden sie für Cyber-Kriminelle geradezu ein „gefundenes Fressen“. Denn Schwachstellen bleiben demnach zu lange unbemerkt, Sicherheitslücken werden nicht geschlossen und viele Verantwortliche unterschätzen noch immer die Gefahr durch Hacker-Angriffe. Anouck Teiller, „Chief Strategy Officer“ bei HarfangLab, stellt in ihrer aktuellen Stellungnahme fünf Maßnahmen vor, mit denen Mittelständler ihre Cyber-Sicherheit stärken könnten: Sie erörtert die Frage, wie sich KMU effektiv schützen, ihre sensiblen Daten absichern und verhindern können, dass ein Cyber-Angriff zur existenziellen Bedrohung wird:

Foto: HarfangLab

Anouck Teiller: Cyber-Sicherheit ist ein kontinuierlicher Prozess!

Mittelständische Unternehmen rücken zunehmend ins Visier Cyber-Krimineller

Teiller warnt eindringlich: „Cyber-Angriffe nehmen weiterhin zu und rücken zunehmend auch mittelständische Unternehmen ins Visier von Hackern. Und doch sind viele Betriebe immer noch unzureichend geschützt – oft, weil sie die digitale Bedrohungslage unterschätzen.“

Die Digitalisierung biete indes viele Chancen, erhöhe aber zugleich die Anfälligkeit von Unternehmen für Cyber-Angriffe. „Zuletzt gaben in einer Bitkom-Umfrage 81 Prozent der befragten deutschen Unternehmen an, im Vorjahr Opfer von Datendiebstahl, Industriespionage oder Sabotage geworden zu sein – darunter auch zahlreiche kleine und mittlere Unternehmen (KMU).“

Die Mehrheit der betroffenen Unternehmen sei sich zwar über das drohende Ausmaß eines Cyber-Angriffes bewusst, trotzdem fehle es vielen an ausreichender Vorbereitung. Dabei hätten die gezielten Cyber-Angriffe besonders für KMU meist verheerende und existenzgefährdende Folgen. „Wer jedoch frühzeitig in wirksame Schutzmaßnahmen investiert, kann das Risiko erheblich reduzieren und seine digitale Sicherheit stärken“, so Teiller.

1. Cyber-Sicherheitsmaßnahme – IT-Inventur: „Wissen, was geschützt werden muss“

„Ohne eine klare Übersicht über die eigene IT-Infrastruktur bleibt Sicherheit Stückwerk!“ Unternehmen sollten daher regelmäßig ihre Systeme, Zugriffsrechte und Netzwerkschnittstellen analysieren.

Besonders sensible Daten – etwa Kundeninformationen oder Finanzdaten – müssten mit höchsten Standards gesichert werden. Ein geordnetes IT-Management reduziere Schwachstellen und ermögliche gezielte Schutzmaßnahmen.

2. Cyber-Sicherheitsmaßnahme – Simulationen durchführen: „Übung macht den Meister“

Ein Cyber-Angriff sei keine Frage des „Ob“, sondern des „Wann“. Deshalb sollten Unternehmen Notfallpläne in realitätsnahen Szenarien testen. „Denn wer den Ernstfall durchspielt, kann schneller und gezielter reagieren – und damit den Schaden bestmöglich minimieren.“ Dazu gehörten Penetrationstests, „die in der IT-Infrastruktur gezielt nach Schwachstellen suchen, sowie kontinuierliche Schwachstellen-Scans“.

Besonders kritisch: „Viele Cyber-Angriffe entstehen durch Phishing und menschliche Fehler, was sie zu einem großen Risikofaktor für KMUs macht.“ Nicht nur die IT-Teams sollten sich also vorbereiten, sondern auch Mitarbeiter müssten aktiv geschult und getestet werden. „Phishing-Simulationen und interaktive Sicherheits-Trainings helfen, gefährliche E-Mails zu erkennen und richtig zu reagieren.“

3. Cyber-Sicherheitsmaßnahme – Alternative Strategien einbeziehen: „Externe Unterstützung und Automatisierung nutzen“

„KMUs stehen vor einer doppelten Herausforderung: Während Cyber-Angriffe immer ausgefeilter werden, fehlt es oft an qualifizierten Cyber-Spezialisten, um angemessen darauf zu reagieren.“ Doch die IT-Sicherheit könne nicht darauf warten, bis offene Stellen besetzt sind.

Unternehmen müssten alternative Strategien nutzen, um ihre IT-Abwehr trotz Personalmangels zu stärken. Dazu gehörten automatisierte Sicherheitslösungen, der Einsatz externer Experten oder „Managed Security Service Provider“ (MSSPs) sowie gezielte Schulungen für bestehende Teams. „KMUs sollten ihre Cyber-Strategie so aufstellen, dass sie auch mit begrenzten personellen Ressourcen widerstandsfähig bleiben!“

4. Cyber-Sicherheitsmaßnahme – Über den Tellerrand hinaus: „Lieferkette als Sicherheitsrisiko“

„Cyber-Angriffe treffen nicht nur das eigene Unternehmen – auch unsichere Partner und Lieferanten können zur Schwachstelle werden“, unterstricht Teiller. Ransomware-Angriffe oder Datenlecks bei Zulieferern könnten auch KMUs infizieren und zu erheblichen Schäden führen.

Unternehmen sollten daher Mindestanforderungen an die IT-Sicherheit ihrer Partner stellen, beispielsweise Multi-Faktor-Authentifizierung (MFA), regelmäßige Audits oder Sicherheitszertifizierungen. Eine einfache Sicherheits-Checkliste könne helfen, Risiken frühzeitig zu erkennen und Schwachstellen zu minimieren. „Denn Cyber-Sicherheit ist eine Gemeinschaftsaufgabe – der Schutz der eigenen IT reicht nicht aus, wenn Zulieferer zur Schwachstelle werden!“

5. Cyber-Sicherheitsmaßnahme – Cyber-Versicherung: „Der Rettungsanker in der Krise“

Ein Cyber-Angriff könne immense Kosten verursachen. Ob Betriebsunterbrechung, Datenverlust oder Erpressung durch Ransomware – eine Cyber-Versicherung können helfen, finanzielle Schäden abzufedern.

Viele Policen böten zudem Unterstützung durch IT-Forensiker, Rechtsberatung und Krisenkommunikation. Unternehmen sollten prüfen, welche Risiken für sie besonders relevant sind, und sich entsprechend absichern.

Proaktiver Ansatz zum Schutz vor Cyber-Angriffen empfohlen

Ein proaktiver Ansatz mit IT-Inventur, regelmäßige Tests und die Expertise von beispielsweise MSSPs könne Unternehmen wirksam vor Cyber-Angriffen schützen. Cyber-Versicherungen, Schulungen und Simulationen stärkten außerdem die Abwehrfähigkeit.

Zudem sollten Schwachstellen frühzeitig erkannt und behoben werden. Teiller gibt abschließend zu bedenken: „Cyber-Sicherheit ist ein kontinuierlicher Prozess – nur wer sich rechtzeitig vorbereitet, kann im Ernstfall schnell und effektiv handeln.“

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 19.03.2024
Datensicherheit: Wie auch KMU die Digitale Transformation meistern können / Lothar Geuenich erörtert KMU-Strategien zur erfolgreichen und sicheren Digitalisierung und Vernetzung

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

datensicherheit.de, 21.04.2021
Mitarbeiter im deutschen Mittelstand: G DATA sieht Belastungsprobe für IT-Sicherheit / Umfrage von G DATA zeigt Probleme auf und stellt Nutzen von Security Awareness dar

[datensicherheit.de, 14.10.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., weist in einer Meldung auf eine Partner-Präsenzveranstaltung in Berlin hin: Im Fraunhofer FOKUS findet der Informationstag „ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU«“ am 16. Oktober 2024 von 8.00 bis 18.00 Uhr statt.

Abbildung: Fraunhofer-Institut für Offene Kommunikationssysteme

Einladung zum „ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU« am 16. Oktober 2024

„ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU«“

Mittwoch, 16. Oktober 2024 von 9.00 bis 18.00 Uhr
Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS
Kaiserin-Augusta-Allee 31 in 10589 Berlin
Teilnahme für KMU-Vertreter kostenlos, Online-Anmeldung (s.u.) erforderlich.

Für kleine und mittlere Unternehmen (KMU) werde es zunehmend wichtiger, das Thema IT-Sicherheit weiter aufzufassen und auch für die Bereiche der Operation Technology (OT) zu berücksichtigen. Mit „Live Hackings“ und Fachvorträgen sollen demnach Einblicke in Compliance-Regeln und weitere wichtige Aspekte für KMU gegeben werden, welche besonders im Zusammenhang mit der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) relevant sind.

Mitarbeiter-Sensibilisierung muss auch für OT berücksichtigt werden

Vor dem Hintergrund der EU-Richtlinie NIS-2 wird es offensichtlich gerade für KMU aus dem produzierenden Gewerbe und mit KRITIS-Charakter zunehmend wichtiger, das Thema der Mitarbeiter-Sensibilisierung auch für die Bereiche der Operation Technology (OT) zu berücksichtigen und im Auge zu behalten. Dies sei eine wahrlich komplexe Herausforderung, weil dafür zahlreiche Aspekte der Industriellen Sicherheit (IT-Security, OT-Security, Sicherheit der Lieferkette und physische Sicherheit) betrachtet und verstanden werden müssten. Hierzu gebe es bisher vergleichsweise wenig Informationen und Angebote.

Um dies zu ändern und „Awareness“ zu schaffen, sei unter anderem das Projekt „ELITE 2.0“ ins Leben gerufen worden. Im Rahmen dieses Vorhabens sollen durch die Fraunhofer-Institute IAO und FOKUS „niederschwellige Erlebnisinstrumente“ erreichtet und bereitgestellt werden, mit deren Hilfe KMU an das komplexe Thema OT-Security herangeführt werden könnten.

Weitere Informationen zum Thema und Anmeldung:

Fraunhofer FOKUS
ELITE 2.0 Wanderzirkus: »OT-Awareness für KMU« Veranstaltung am 16. Oktober 2024

[datensicherheit.de, 18.07.2024] Cyber-Angriffe haben in den letzten Jahren offensichtlich drastisch zugenommen. Diese können Betriebe jeglicher Größe treffen – egal, ob Großunternehmen oder kleine und mittelständische Unternehmen (KMU). Aus dieser Erkenntnis erwächst umso dringlicher die Notwendigkeit gezielt zu handeln und die eigenen Cyber-Sicherheitsmaßnahmen so anzupassen, dass sie auch künftig Cyber-Angriffen standhalten können. Nils Gerhardt, „CTO“ von Utimaco, gibt in seiner aktuellen Stellungnahme vier Tipps, wie sich insbesondere KMU mit innovativen Angeboten schützen können, auch wenn sie eben nicht über IT-Security-Experten in den eigenen Reihen verfügen.

Foto: Utimaco

Nils Gerhardt gibt Tipps, wie sich KMU mit innovativen Angeboten schützen können – auch ohne über IT-Security-Experten im Hause zu verfügen

Utimaco-CTO rät Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen

„Cyber-Angriffe betreffen nur Großunternehmen, Soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken.“ Doch gerade dort fehlten oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten.

Allein in den Jahren 2018 bis 2020 seien laut einer Auswertung der KfW knapp 30 Prozent der deutschen Mittelständler Opfer von Cyber-Kriminalität geworden. Gerhardt betont: „Es handelt sich also um eine konkrete Bedrohung, die zu enormer Geschäftsschädigung führen kann. Gleichzeitig sehen EU-weite Verordnungen wie NIS-2 und DORA vor, dass Manager in bestimmten Branchen auch persönlich für IT-Sicherheitsverstöße haftbar gemacht werden können, was die Dringlichkeit dieses Themas natürlich noch erhöht.“ Es sei daher höchste Zeit für Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen.

1. Utimaco-Tipp: Auf die Cloud setzen!

Gerhardt führt hierzu aus: „Lange Zeit gab es Vorbehalte gegen Datenhaltung in der ,Cloud’. Unternehmen fühlten sich nicht sicher dabei, Daten aus der Hand zu geben. Das eigene Rechenzentrum, der eigene Server schienen die sicherere und kontrollierbarere Infrastruktur zu sein. Doch der Schein trügt. Ein kleineres Unternehmen, das eigene Infrastrukturen betreibt, kann niemals die Ressourcen zur Cyber-Abwehr aufbieten wie ein großer ,Cloud’-Provider.“

Ein solches werde auch kaum eine 24-Stundenbereitschaft abstellen können, um jederzeit Patches einspielen zu können, damit Systeme stets aktuell sind. Die Situation lasse sich mit Bargeld unter der Matratze vergleichen: „Dass dieses dort wesentlich unsicherer verwahrt ist, als in einem Banksafe, der vielfach gesichert und rund um die Uhr bewacht ist, leuchtet schnell ein. Warum nicht auch beim Thema ,Cloud’ umdenken?“

Um Datensicherheit und Datenschutz gleichzeitig zu gewährleisten, gebe es allerdings auch dort einiges zu beachten: Die Großen der ,Cloud’-Branche verfügten natürlich über enorme Ressourcen im Sicherheitsbereich. Allerdings handele es sich bei ihnen um US-amerikanische Unternehmen mit anderen Datenschutzvorgaben als ihre europäischen Kunden. „Nutzer aus der EU sollten also sicherstellen und vertraglich vereinbaren, dass die ,Hyperscaler’ ihre Daten ausschließlich in Rechenzentren innerhalb der Union hosten!“ Inzwischen böten sie sogar auch eine eigene Datenverschlüsselung an. Doch ein gewisser Grad der Abhängigkeit bleibe. Gerhardts Empfehlung: „Unternehmen, die sich doppelt absichern wollen und sich nicht ausschließlich auf den ,Cloud’-Provider verlassen möchten, können ihre Daten selbst verschlüsseln, bevor diese in eine ,Cloud’ gelangen.“

2. Utimaco-Tipp: Kryptographie nutzen!

„Kryptographie und Datenverschlüsselung“ klinge hochkomplex und das sei es auch. Gerhardt betont: „Doch das sollte KMU nicht verunsichern!“ Inzwischen existierten auch auf diesem Gebiet leistungsfähige „As-a-Service“-Lösungen zertifizierter europäischer Partner.

Beispielsweise könnten Unternehmen so eine Datei- und Ordnerverschlüsselung umsetzen, die unabhängig vom Speicherort funktioniere und vollständig vom Anbieter gemanagt werde.

„Unternehmen, die bereits eigene kryptographische Dienste betreiben, dafür aber kein eigenes Hardware-Sicherheitsmodul ,On-Prem’ bereitstellen wollen oder können, können auf Angebote wie ,HSM-as-a-Service’ zurückgreifen.“ Dabei werde das Modul in einer hochsicheren Umgebung des Anbieters betrieben, stehe aber unter der alleinigen Fernkontrolle des Nutzers.

3. Utimaco-Tipp: Phishing-Fallen ausweichen!

Phishing, also das Abgreifen von Zugangsdaten mit gefälschten digitalen Inhalten, bilde den häufigsten Angriffsvektor. „Die Inhalte der Betrüger werden dabei immer ausgefeilter und sind wesentlich schwerer zu erkennen als noch vor wenigen Jahren“, erläutert Gerhardt. Besonders gefährlich werde es, „wenn Phishing noch mit ,Social Engineering’ kombiniert wird, wobei gezielt einzelne Personen ins Visier genommen und unter Druck gesetzt werden“. Angreifer recherchierten hierzu im Vorfeld ausgiebig und verschafften sich möglichst detaillierte Informationen zur Firma und zum Opfer. „Meist geben sie akute Notfälle vor, was Mitarbeiter immer wieder wider besseren Wissens zu gefährlichen Aktionen verleitet.“

Gerhardt rät: „Neben Aufklärung und Schulung von Mitarbeitern sollten also immer auch technische Lösungen implementiert werden, die im Ernstfall greifen.“ Setzen Unternehmen konsequent auf Multifaktor-Authentifizierung (MFA), würden erbeutete Zugangsdaten allein einem Angreifer nicht viel nützen. Eine Anmeldung müsste über einen weiteren Faktor, in der Regel das Mobiltelefon des Mitarbeiters, bestätigt werden.

Gegen gefälschte digitale Inhalte könnten Unternehmen vorgehen, indem sie Dokumente oder E-Mails elektronisch signierten. Dadurch könne sichergestellt werden, „dass diese authentisch und unverändert sind, sowie wirklich vom angegebenen Absender stammen“. Elektronische Signaturen könnten von Integratoren sehr leicht in bestehende Prozesse eingebunden werden, so dass dadurch kaum zusätzliche Komplexität entstehe.

4. Utimaco-Tipp: Verifizierung und Zertifizierung statt blindem Vertrauen!

Der Zugang zum Betriebsgelände sei in der Regel reglementiert und der Pförtner überwache am Eingang, wer hineinkommt. Dazu prüfe er die Identitäten von ihm unbekannten Personen und verifiziere im Zweifelsfall, ob diese tatsächlich eine Zugangsberechtigung haben. „Ähnlich verhielt sich dies lange Zeit auch mit den IT-Umgebungen von Unternehmen. Mittels Firewall konnten die Systeme ziemlich gut gegen die Außenwelt abgeschottet werden. Seit dem massiven Wachstum der Drahtlosnetzwerke – von WLAN bis 5G – und in Zeiten von IoT ergeben sich allerdings ganz neue Herausforderungen.“

Auch Mitarbeiter im sogenannten Home-Office benötigten Zugriff auf Daten und Dienste des Unternehmens. „Werden in der Industrie ,Smart Factories’ aufgebaut, kommen dort unzählige weiter vernetzte Geräte und Maschinen hinzu. Um Agile Prozesse zu gewährleisten, müssen mitunter auch Kunden, Lieferanten oder Partner mit ihren Geräten auf Unternehmensnetzwerke zugreifen.“

Die Überwachung und Verwaltung der Geräte im eigenen Netzwerk sei also heute oberste Pflicht. „Während traditionelles ,Identity and Access Management’ auf ,Accounts’ und rollenbasierte Zugriffmodelle setzt, stellen sich beim Thema IoT ganz neue Fragen. Hinter einem vernetzen Gerät steht kein Mensch mit einem persönlichen ,Account’, der sich bei Bedarf mit Multi-Faktor-Authentifizierung verifizieren kann. Dennoch ist es von immenser Bedeutung, den Zugriff von IoT-Devices reglementieren zu können.“ Dafür benötigten diese allerdings erst einmal eine eindeutige, fälschungssichere Identität. Dafür könne wiederum Kryptograpgie genutzt werden – „indem ein sicherer Schlüssel als Erkennungsmerkmal in die Geräte eingebracht wird“. Sogar solche komplexen Techniken seien mittlerweile als Service zu beziehen.

Weitere Informationen zum Thema:

KfW, KfW Research, 23.02.2023
KfW-Mittelstandspanel: Cyberkriminalität betrifft insbesondere die Vorreiter der Digitalisierung

[datensicherheit.de, 05.06.2024] Nach aktuellen Erkenntnissen von DIGITAL.SICHER.NRW, dem Kompetenzzentrum für Cyber-Sicherheit in der Wirtschaft in Nordrhein-Westfalen (NRW) nehmen die meisten Unternehmen in NRW das Thema Cyber-Sicherheit laut eigenen Angaben ernst. Über die letzten Jahre gesehen habe die Bedeutung des Themas bei ebendiesen sogar noch weiter zugenommen. Indes fühlten sich viele Angestellte besonders in kleinen und mittleren Unternehmen (KMU) häufig nicht dafür zuständig, Sicherheitsmaßnahmen zum Schutz zu ergreifen. Die Erkenntnisse beruhen laut DIGITAL.SICHER.NRW auf neu ausgewerteten Zahlen aus der Befragung von „Cybersicherheit in Zahlen – Lernen. Wissen. Handeln.“ des IT-Sicherheitsunternehmens G DATA CyberDefense. Im Rahmen einer großflächig angelegten und repräsentativen Studie zum Thema IT-Sicherheit seien über 5.000 Arbeitnehmer aus ganz Deutschland befragt worden – untersucht worden seien Erfahrungen, Einstellungen und das Verhalten zur Cyber-Sicherheit in Deutschland. Bei der Neuauswertung dieser Zahlen habe ein besonderer Fokus auf NRW gelegen.

Abbildung: CYBERSEC-NRW gGmbH

CYBERSICHERHEIT IN NRW 2024: Studie zur IT-Sicherheit in Unternehmen

Konkrete Umsetzung von Cyber-Sicherheitsmaßnahmen gehört nicht automatisch zum Arbeitsalltag der Mitarbeiter

KMU fühlten sich im Schnitt weniger zuständig, konkrete Cyber-Sicherheitsmaßnahmen im Berufsalltag zu ergreifen als größere Unternehmen: „Nicht einmal die Hälfte ihrer Angestellten geben an, sichere Passwörter zu verwenden und zwei Drittel prüfen eingehende E-Mails nicht auf Phishing – dabei werden Unternehmen im Digitalen Raum am häufigsten auf diese Art angegriffen.“ Bei großen Unternehmen sehe es zwar besser aus, trotzdem nutzten nur etwas über ein Viertel einen VPN-Zugang und ein Drittel einen zweiten Faktor bei Authentifizierungen. „Das deutet darauf hin, dass die konkrete Umsetzung von Cyber-Sicherheitsmaßnahmen nicht automatisch zum Arbeitsalltag der Mitarbeitenden dazugehört.“

Dies könnte daran liegen, dass Mitarbeiter das Risiko, im Unternehmen von Cyber-Kriminalität betroffen zu sein eher, als gering einschätzten. Im Vergleich zu anderen Bundesländern sinke diese Risikoeinschätzung in NRW über die Jahre sogar noch deutlicher. Durch die Sicherheitsmaßnahmen in ihrem Betrieb fühlten sich Angestellte (sehr) gut geschützt und der Großteil stufe das Verantwortungsbewusstsein der eigenen Geschäftsführung beim Thema IT-Sicherheit als hoch ein.

Die Verantwortung für Cyber-Sicherheit liegt bei der Chefetage

„Digitale Sicherheit muss im Unternehmen von Anfang an mitgedacht und als fortlaufender Prozess betrachtet und gelebt werden“, stellt Sebastian Barchnicki, Sprecher der Geschäftsführung von DIGITAL.SICHER.NRW., in seinem Kommentar klar. Er lässt keinen Zweifel: „Die Verantwortung hierfür liegt bei der Chefetage!“ Erst dann könne sich das Thema „in der DNA des Unternehmens“ verankern, um dieses gegen Cyber-Kriminalität und die daraus entstehenden wirtschaftlichen Schäden bestmöglich zu schützen.

Andreas Lüning, Vorstand und Mitgründer der G DATA CyberDefense AG, führt ergänzend aus: „Die jüngsten Cyber-Angriffe in NRW verdeutlichen, dass jedes Unternehmen, unabhängig von Größe und Branche, ein potenzielles Ziel ist.“ Trotzdem zeige sich in Gesprächen eine Passivität gegenüber Cyber-Sicherheit, mit dem Glauben, technische Lösungen allein seien ausreichend. Abschließend rät Lüning dringend: „Doch Schulungen und Investitionen in Mitarbeiter sind essenziell, wie eine deutschlandweite Umfrage belegt. Es ist an der Zeit zu handeln, wie die Zahlen zeigen.“

Weitere Informationen zum Thema:

DIGITAL SICHER NRW Kompetenzzentrum für Cybersicherheit in der Wirtschaft
CYBERSICHERHEIT IN NRW 2024 / Studie zur IT-Sicherheit in Unternehmen

DIGITAL SICHER NRW
Ihr Kompetenzzentrum für Cybersicherheit in der Wirtschaft