Die Bedrohungslagen werden immer massiver. Nachdem es in den vergangenen Monaten bereits immer wieder zu IT-Angriffen auf Unternehmen gekommen ist, hat es nun innerhalb weniger Tage gleich zwei Organisationen erwischt. Beim Unternehmen Medatixx, das Software für deutsche Arztpraxen vertreibt, sind mittels Ransomware zentralen Systeme verschlüsselt worden. Medatixx hat Ärzte, die seine Computerprogramme nutzen, aufgerufen, ihre Passwörter zu ändern. Es geht insgesamt um mehr als 20.000 Praxen mit 40.000 Ärzten. Und in der Nacht vom 7. auf den 8. November wurde die Media-Markt-Saturn-Handelsgruppe von der Ransomware „Hive“ heimgesucht. Diese soll über 240 Millionen US-Dollar Lösegeld gefordert haben.

„Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden“, beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Unter Phishing wiederum versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Phishing steht am Anfang verschiedenartiger Delikte, die vom einfachen Datendiebstahl über illegale Kontoabbuchungen bis hin zu Angriffen auf kritische Infrastrukturen reicht. Das BSI berichtete in der Vergangenheit zum Beispiel auch über Phishing-Angriffe auf europäische und US-amerikanische Energieversorger, unter anderem Kernkraftwerksbetreiber.

Was sind die Auswirkungen für Unternehmen?

Die Auswirkungen für Unternehmen sind massiv, wie aktuelle Zahlen des Digitalverbands Bitkom zeigen. Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Damit haben kriminelle Attacken erneut für Rekordschäden gesorgt: Die Schadenssumme ist mehr als doppelt so hoch wie in den Jahren 2018/2019, als sie noch 103 Milliarden Euro pro Jahr betrug. Neun von zehn Unternehmen (88 Prozent) waren 2020/2021 von Angriffen betroffen. In den Jahren 2018/2019 wurden drei Viertel (75 Prozent) Opfer. Mittlerweile sind über 800 Millionen Varianten von Schadprogrammen im Umlauf, jeden Tag kommen rund 400.000 neue hinzu. Und das ist erst der Anfang. Die durch Cyber-Kriminalität verursachten Schäden werden für Unternehmen und ihre Versicherer immer teurer. Zu dem Schluss kommt eine Analyse der Allianz-Industrieversicherungstochter AGCS, die 1736 Cyber-Schadensmeldungen aus den Jahren 2015 bis 2020 ausgewertet hat. Der Gesamtschaden lag laut AGCS bei 660 Millionen Euro – Tendenz steigend.

Können Unternehmen Cyber Angriffe verhindern?

Kriminelle entwickeln immer neue Methoden, um sich im Netz zu bereichern oder um an sensible Daten zu gelangen. Effektiver Schutz ist schwierig, denn: Das größte Sicherheitsrisiko stellen oft die eigenen Mitarbeitenden dar. Ohne es zu bemerken, können sie auf die hinterhältigen Tricks der Online-Betrüger hereinfallen. Die Folge sind immense Schäden für die Unternehmen. Aus diesem Grund ist es wichtig, die Angestellten für die IT-Sicherheit zu sensibilisieren.

Unternehmen tun also gut daran, die Sensibilität bei den Mitarbeiter:innen zu erhöhen. Der Kernbegriff ist Awareness. Das BSI schreibt: „Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cyber-Sicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen. Security Awareness Maßnahmen sind dann erfolgreich, wenn sie die Zielgruppen befähigen und den einzelnen Menschen für mehr Cyber-Sicherheit motivieren. Es ist wichtig, Awareness auf Augenhöhe und praxisnah zu entwickeln.“

Awareness bedeutet also, dass Führungskräfte und Mitarbeiter:innen ausreichend sensibilisiert und ausgebildet sein müssen, um sich präventiv auf Gefahrenlagen vorzubereiten. Führungskräfte und Mitarbeiter:innen müssen diesen Risiken und Bedrohungen schnell erkennen und professionell darauf zu reagieren. Das gelingt nur über die konsequente und qualifizierte Fortbildung von Mitgliedern einer Organisation in der Cyber-Sicherheit.

Online-Kurse als Bestandteil guter Security Awareness 

Eine verschärfte Sicherheitslage weltweit, die zunehmende technische Vernetzung und damit für Unternehmen verbundene Abhängigkeiten erfordern besondere Fach-, Führungs- und Handlungskompetenzen. Die Wirtschaft braucht multifunktionale Sicherheitsmitarbeitende und -verantwortliche, die vielfältige Schutzfunktionen wahrnehmen. Das hängt auch mit kontinuierlicher Fortbildung zusammen. Unternehmen sollten sich daher nicht scheuen, existierende Angebote auch wirklich anzunehmen.

Ziel der Security-Awareness-Training ist, die durch Mitarbeiter:innen verursachten Gefahren für die IT-Sicherheit zu minimieren. Daher umfasst das Security-Awareness-Training umfasst verschiedene Schulungsmaßnahmen, um Mitarbeiter:innen einer Organisation für Themen rund um die Sicherheit der IT-Systeme zu sensibilisieren.

Aber was macht gute Awareness aus? Zu einer erfolgreich und breit angelegte Awareness-Kampagne gehören unter anderem regelmäßige Online-Schulungen zur Cyber- und Informationssicherheit. Denn gute Awareness kann nur dann hergestellt werden, wenn die Kampagnen wieder und wieder durchgeführt werden. Hilfreich für erfolgreiche Security Awareness ist ein Wechsel des Blickwinkels. Security Awareness-Schulungen arbeiten darauf hin, den Mensch als Abwehrschirm gegen Cyber-Angriffe zu sensibilisieren und zu zeigen, wie wichtig Mitarbeiter:innen in der Abwehr von Cyber-Attacken sind. IT-Sicherheit ist laut BSI so gut, wie der Mensch, der die Systeme bedient!

Wie zeigen Online-Schulungen echte Wirkung?

Wichtig ist, die Mitarbeiter:innen mit den richtigen Themen und professionellem und attraktivem Storytelling anzusprechen. Das erleichtert die Zugänge für Mitarbeiter:innen über alle Hierarchieebenen hinweg und stellt sicher, dass die Inhalte wirklich verstanden und verankert werden. Im Fokus stehen hochwertige audiovisuelle Aufbereitung und eine praxisnahe, interaktive Unterhaltung mit didaktischem Anspruch. Education im Jahr 2021 ist immer auch Entertainment! Auf diese Weise zeigen Online-Schulungen echte Wirkung durch eine gute und unterhaltsame Aufbereitung der Themen. So kann nicht nur komplexes Wissen vermittelt, sondern auch jeder Lerntyp in einem Unternehmen angesprochen werden. E-Learnings helfen als Einstieg in die Vertiefung der Thematik und können Mitarbeiter:innen dazu anregen, die Bedeutung von Security-Awareness-Trainings wirklich zu erkennen und für die Praxis zu adaptieren.

Ausblick: Werden Cyber Angriffe voraussichtlich zunehmen?

Expertinnen sind sich einig, dass Cyber-Kriminalität und entsprechende Angriffe definitiv zunehmen werden. Die Tätergruppen werden größer, professioneller und skrupelloser. Diesen Entwicklungen müssen wir begegnen. Den Kopf in den Sand zu stecken und darauf zu setzen, dass die Attacken schon vorbeigehen werden, ist keine nachhaltige Strategie. Es können erhebliche Vermögenswerte durch einen nicht ausreichenden Wirtschaftsschutz bedroht sein. Daher gilt, dass Führungskräfte und Mitarbeiter:innen ausreichend sensibilisiert und ausgebildet sein müssen, um sich präventiv auf Gefahrenlagen vorzubereiten, diese schnell zu erkennen und professionell darauf zu reagieren. Daher sind Awareness-Schulungen unabdingbar, um umfassende Sicherheit herzustellen und sich für die Zukunft abzusichern.


Mit der Security Awareness Library der Deutschen Telekom Security und mybreev Ihr Unternehmen im Kampf gegen Cyber-Kriminalität stärken.