Cyberangriffe

Cyberangriffe auf Unternehmen können Existenzen bedrohen

Anfang 2023 hat es Rheinmetall getroffen, im Oktober den kommunalen Dienstleister Südwestfalen IT und erst kürzlich die Targobank: Sie alle sind Opfer von Cyberangriffen geworden. Ihre Anzahl steigt und sie bedrohen nicht nur Großkonzerne, sondern auch kleine und mittlere Unternehmen (KMU) im existenzbedrohlichen Umfang. Viele von ihnen werden angesichts dieser Entwicklung durch eine neue EU-Richtlinie in die Pflicht genommen. Geschäftsführern drohen Konsequenzen bei Schäden infolge von Cyberangriffen – auch unabhängig von der neuen Gesetzeslage.

Mit der Novelle der Netzwerk- und Informationssicherheitsrichtlinie (NIS2) setzt die Europäische Union (EU) neue Mindeststandards im Bereich der Cybersicherheit. Von ihr erfasst werden viele Unternehmen und Behörden ab 50 Beschäftigten und einem Jahresumsatz ab zehn Millionen Euro. In einem Fachbeitrag der Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers (pwc) heißt es, dass laut einer Schätzung „neben den bisher geltenden kritischen Infrastrukturen (KRITIS) künftig rund 29.000 zusätzliche Unternehmen von den Regelungen erfasst werden.“ So kommen beispielsweise zum Energie-, Transport- oder Finanzsektor nun u. a. die Bereiche Maschinen- oder Fahrzeugbau sowie Unternehmen in der Produktion, Verarbeitung und Vertrieb von Lebensmitteln hinzu.

NIS2-Novelle: Es drohen Bußgelder von 100.000 bis 20 Millionen Euro

Der Bundesverband mittelständische Wirtschaft (BVMW) empfiehlt Unternehmern eine frühzeitige Prüfung, ob sie von den neuen rechtlichen Bedingungen erfasst werden und welche Maßnahmen zur Cybersicherheit durchzuführen sind. „Bei der Umsetzung ist darauf zu achten, sämtliche Umsetzungsschritte detailliert zu dokumentieren. So wird sichergestellt, dass alle ergriffenen Maßnahmen auch gegenüber offiziellen Stellen nachweisbar sind“, so der BVMW. Denn nach dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), der deutschen Umsetzung der NIS2-Novelle, drohen bei Verstößen von Unternehmen gegen die Cybersicherheitspflichten Bußgelder von 100.000 bis 20 Millionen Euro. Geschäftsführer tragen dabei eine besondere Verantwortung, denn sie sind durch das Gesetz verpflichtet „Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.“

IT-Sicherheit: Das Risiko für Cyberangriffe in kleinen und mittleren Unternehmen ist sehr hoch

Unternehmen, die nicht durch das neue Gesetz erfasst werden, sind jedoch nicht weniger gefährdet. Im Gegenteil: Laut einer Studie, die der haufe-Verlag aufgreift, meldeten über die Hälfe der befragten kleinen und mittleren Unternehmen einen Cybersicherheitsvorfall. Damit rangiert Deutschland weltweit auf Platz 2, nur knapp hinter Frankreich. Gleichzeitig gaben nur die Hälfte der Unternehmen an, über ihre eigene Cybersicherheit besorgt zu sein – der geringste Wert weltweit. Ebenso sieht es bei der Überprüfung der eigenen IT-Sicherheit aus.

Diese Ergebnisse sind Grund zur Beunruhigung, denn wer Opfer von Phishing-Angriffen ist oder dessen Systeme von einem Verschlüsselungstrojaner befallen sind, dem drohen Produktions- und Einnahmeausfälle bis hin zur Firmenpleite. „206 Milliarden Euro Schaden entstehen der deutschen Wirtschaft jährlich durch Diebstahl von IT-Ausrüstung und Daten sowie digitale und analoge Industriespionage und Sabotage“, laut Bitkom. Somit liegt der Schaden laut tagesschau nach 2021 und 2022 zum dritten Mal in Folge über der Marke von 200 Milliarden Euro.

Cyberangriff: In welchen Fällen ein Geschäftsführer haften könnte

Wie pwc zur NIS2-Novelle ausführt, können Geschäftsleitungen, in deren Unternehmen es zu einem „Cyberangriff mit betriebseinschränkenden Auswirkungen“ und einer „Verletzung der Überwachungspflichten“ kam, etwa für Lösegeldzahlungen oder Bußgelder gemäß der Datenschutz-Grundverordnung (DSG-VO) in Haftung genommen werden. Dabei hebt pwc hervor, dass ein „Verzicht der Einrichtung auf Ersatzansprüche gegen die Geschäftsleitung oder ein Vergleich der Einrichtung über diese Ansprüche (…) unwirksam“ ist.

KMU sind gegen Cyberangriffe nicht ausreichend vorbereitet

Während Großunternehmen über Ressourcen verfügen, um solche Krisen zu überstehen, wissen KMU „oftmals nicht, an wen sie sich wenden können, um fachlich versierte Hilfe zu erhalten“, wie in einem Lagebericht des Bundesinnenministeriums zur IT-Sicherheit zu lesen ist. Dieser verrät auch, dass kleine und mittlere Unternehmen „weder eine ausreichende Kenntnis über die allgemeine Cyberbedrohungslage noch über das eigene Risikoprofil“ verfügen. Die Konsequenz daraus ist: In diesen Fällen von Cyberangriffen sind Haftungsfragen und Bußgelder für kleine und mittlere Unternehmen gar kein Thema, denn für sie beginnt dann nicht selten der Kampf um die eigene Existenz.

Auch aus diesem Grund empfehlen wir allen unseren Kunden das Modul "Cloud-Sandboxing" unserer Cyber-Security Lösungen. Hiermit wird, durch die Ausführung verdächtiger Elemente in einer isolierten Testumgebung, selbst Zero Day und Ransomware sicher erkannt und entfernt bevor diese Schaden anrichten kann.

Darüber hinaus empfehlen wir als Blaschke IT bereits jetzt die eigene IT- und Cybersicherheit kritisch auf den Prüfstand zu stellen. Hierzu bieten wir Unternehmen jeder Grösse und Standort unabhängig ein Sicherheitsaudit an. Sprechen Sie uns gerne an!