Unwissenheit schützt nicht: Die fünf größten Mythen zur Cybersicherheit
Bereits seit einigen Jahren steht Deutschland bei Cyberkriminellen ganz weit oben auf der Liste. Die Ausweitung geopolitischer Konflikte in den digitalen Raum und eine zunehmend hybride Bedrohung verschärfen die Lage zusätzlich. Um dem wirksam etwas entgegenzusetzen, braucht es mehr Realismus und entschlossenes Handeln.
Mehr als 330.000 Cyberdelikte hat das Bundeskriminalamt (BKA) 2024 festgestellt, wobei mehr als 200.000 Fälle vom Ausland oder von einem unbekannten Ort verübt wurden. Neben finanziell motivierten Attacken ist Deutschland laut BKA zunehmend im Visier vom aggressiven, hybriden Angriffskampagnen, die Staat, Gesellschaft und Wirtschaft schwächen und destabilisieren wollen.
Der wirtschaftliche Schaden durch Cyberattacken belief sich im vergangenen Jahr auf 178,6 Milliarden Euro – rund 30 Milliarden Euro mehr als 2023 und die höchste in Deutschland jemals gemessene Schadenssumme. Bei einem erfolgreichen Angriff auf die kritische Infrastruktur – beispielsweise Energie- oder Wasserversorgung, Informationstechnik oder Finanz- und Versicherungswesen –, wären die Auswirkungen noch viel verheerender und könnten zu schwerwiegenden Störungen des wirtschaftlichen und gesellschaftlichen Lebens führen.
Gängige Mythen der Cybersicherheit
Wer bisher von Cyberangriffen verschont blieb, der neigt dazu, die Bedrohung für das eigene Unternehmen zu unterschätzen. Verstärkt wird dies durch hartnäckige Mythen oder Missverständnisse rund um Cybersicherheit:
Irrglaube Nr. 1: Kleine Unternehmen werden ignoriert
Tatsächlich sind auch kleine Unternehmen längst ein bevorzugtes Ziel für Cyberkriminelle, denn fast ein Drittel aller Angriffe treffen die.
Irrglaube Nr. 2: Die Gefahr lauert nur außerhalb des Unternehmens
Ein gefährlicher Irrtum, denn Mitarbeitende können bereits durch ein schwaches Passwort oder einen Klick auf eine gut getarnte Phishing-Mail zum Türöffner für Cyberattacken werden. Diese sogenannten internen Bedrohungen stellen ein ernstzunehmendes Risiko dar: In einer Befragung gaben 40 Prozent der Unternehmen an, in den vergangenen zwölf Monaten zumindest gelegentlich interne Bedrohungen registriert zu haben. 16 Prozent der Befragten verzeichneten solche Vorfälle sogar häufig. Und je größer die Organisation, desto häufiger treten interne Bedrohungen auf.
Irrglaube Nr. 3: Eine jährliche Schulung reicht
Zwar sind Schulungen ein gängiges Instrument, um Mitarbeitenden zu sensibilisieren. Das alleine reicht aber nicht aus, sondern es braucht kontinuierliche Trainings und Phishing-Übungen, um das Bewusstsein zu schärfen und das richtige Verhalten einzuüben.
Irrglaube Nr. 4: Passwörter allein genügen
Jeder, der privat Online-Banking nutzt, hat sich längst daran gewöhnt: Zusätzlich zum Passwort braucht es einen weiteren Faktor, um sich zu legitimieren. Das Ziel dahinter: Die Sicherheit im Zahlungsverkehr zu erhöhen. Auch im Unternehmenskontext ist eine Multi-Faktor-Authentifizierung unerlässlich, um besseren Schutz zu bieten.
Irrglaube Nr. 5: Für die Sicherheit der Cloud ist der Anbieter verantwortlich
Richtig ist, dass der Cloud-Anbieter für die Sicherheit der Infrastruktur verantwortlich ist. Das heißt, er schützt die physischen Rechenzentren, die Hardware und das Netzwerk (= Sicherheit der Cloud). Die User stehen aber ebenfalls in der Pflicht: Sie sind für alles verantwortlich, was sie auf der Infrastruktur des Anbieters machen. Das umfasst unter anderem die Konfiguration sowie Verschlüsselung, Zugriffskontrolle und den Schutz der Daten (= Sicherheit in der Cloud).
Es braucht ein anderes Mindset
Eine wirksame Informations- und IT-Sicherheit scheitert aber nicht nur an diesen Mythen, sondern auch an der Einstellung in Unternehmen. Es sind meist wirtschaftliche Gründe, warum Cybersicherheit zu wenig Beachtung erhält. Das fängt damit an, dass Projekte, die Umsatz bringen, sich in Budgetverhandlungen leichter durchsetzen als Präventionsmaßnahmen. Hinzu kommt, dass der Return on Investment von Informations- und IT-Sicherheit schwer zu berechnen ist. Ihr Ertrag ist – anders als bei Ausgaben für Marketing oder Produktion – kaum in Euro zu beziffern. Fakt ist aber auch: Gelingt ein Angriff, bedeutet dies nicht nur hohe Kosten für die IT-Wiederherstellung, sondern kann sich aufgrund von Imageverlust, Rechtskosten und Produktionsausfall zum finanziellen Desaster entwickeln.
Auch psychologische, kulturelle und organisatorische Faktoren spielen eine Rolle. So unterschätzen Entscheider:innen häufig das Risiko, selbst von einer Cyberattacke getroffen zu werden. Sicher ist jedoch, dass mit jedem Tag, an dem man nicht betroffen ist, das Risiko steigt, am nächsten Tag getroffen zu werden. Es ist längst keine Frage mehr, ob ein Unternehmen Opfer eines Angriffs wird, sondern nur noch wann. Zudem sind Sicherheitsbedrohungen technisch komplex und wirken abstrakt. Fehlt das Know-how der Unternehmensleitung, wird das Thema verdrängt. Obendrein wird Sicherheit noch zu oft als reines IT-Thema gesehen. Informations- und IT-Sicherheit muss jedoch als strategisches Ziel verankert sein und die gleiche Aufmerksamkeit wie beispielsweise Ertragsstärke haben. Salopp gesprochen gilt: Eine Unternehmensleitung, die nicht weiß, was auf der Firewall los ist, agiert wie Entscheider:innen, die sich nicht für ihre Salespipeline interessieren.
Ein weiteres Hemmnis ist, dass das Management häufig durch kurzfristiges Denken geprägt ist und an Quartalszahlen gemessen wird. Prävention bringt allerdings erst langfristig etwas. Es ist ein Fehler, Cybersicherheit als nachrangig einzustufen, nur weil sie keinen direkten Einfluss auf die Wertschöpfung hat.
Schärfere Sicherheitsmaßnahmen erfordern unter Umständen neue Prozesse, Passwortrichtlinien und Tools. Das erzeugt oft erstmal Widerstand. Doch wer Cyberresilienz zugunsten von Bequemlichkeit aufgibt, setzt die Zukunftsfähigkeit des Unternehmens aufs Spiel.
Und schließlich werden Cyber-Versicherungen als Ersatz für Prävention gesehen. Versicherungen sind eine sinnvolle Ergänzung, ersetzen aber keine Schutzmaßnahmen, da viele Schäden entweder gar nicht übernommen werden oder die Summen gedeckelt sind.
Cyberbedrohungen fordern Staat und Wirtschaft
Informations- und IT-Sicherheit ist im Bereich der Daseinsvorsorge, zu der auch die kritische Infrastruktur zählt, eine Kernverantwortung des Staates. Der Staat muss sich durch Regulierung und Kontrolle aktiv einbringen. Für die Umsetzung liegt die Verantwortung bei den Unternehmen selbst. Was nicht allen bekannt ist: EU, Bund und Länder bieten durch Förderprogramme Zuschüsse für die Umsetzungen von Maßnahmen.
Sie wollen wissen, wie gut Ihr Unternehmen gegen Cyberbedrohungen geschützt ist oder haben konkreten Handlungsbedarf? Gerne unterstützen wir Sie dabei. metafinanz verfügt über langjährige Erfahrung und Expertise in der Informations- und IT-Sicherheit.
Schreiben Sie uns. Wir sind gerne für Sie da.
