Betrieb -

Digitale Sicherheit in der Gebäudereinigung: Notfallplan für den Cyberangriff

Datenklau, Phishing-Mails und Hacks in die IT-Infrastruktur sind längst nicht mehr ­­nur ein Thema für große Konzerne. Zumal Cyberangriffe inzwischen auch auto­matisiert und KI-gestützt ablaufen können. Doch was tun, wenn man plötzlich keinen ­Zugriff mehr auf die eigenen Daten hat? Ein Notfallplan für Gebäudedienstleister.

Heutzutage ist nicht mehr die Frage, ob man gehackt wird, sondern wann: Im Fall eines Cyberangriffs ist eine schnelle und vor allem die richtige Reaktion wichtig. - © koldunova/generiert mit KI – stock.adobe.com

Stellen Sie sich vor, Ihre Geldbörse ist verschwunden und mit ihr auch EC- und Kreditkarten. Vermutlich gestohlen. Was jetzt? Damit das Konto nicht leergeräumt wird, würden wir wohl alle erst einmal bei der Bank anrufen und die Karten sperren lassen. Danach würden wir zur Polizei gehen und den Verlust melden, damit dem vermuteten Diebstahl nachgegangen wird.

Notfallnummer bei einem Cyberangriff

Aber was tun, wenn man feststellt, dass man Opfer eines Datendiebstahls geworden ist beziehungsweise als Unternehmen gehackt wurde und keinen Zugriff mehr auf die eigenen Unternehmensdaten hat und die Daten der Kunden, die einem anvertraut wurden? Dann ist im Betrieb plötzlich alles auf Eis gelegt. Dennoch sind Reaktionen nötig – und diese unterscheiden sich erst einmal wenig von dem Diebstahl einer Geldbörse. Eine Notfallnummer gibt es nämlich nicht nur bei der Bank zum Sperren der Karten. Auch für Unternehmen, die Opfer einer ­Cyberattacke wurden, gibt es eine Notfallhotline, die vom Service Center des Bundesamts für Sicherheit in der Informationstechnik (BSI) in der Zeit von 8 bis 18 Uhr angeboten wird. Die Nummer lautet 0800-2741000 und sie ist Teil eines umfangreichen Notfallplans, den jeder Betrieb kostenlos in Anspruch nehmen kann.

Ein Cyberangriff ist eine Straftat und deshalb sollte man im Falle des Falles auch die Polizei einschalten. "Trotzdem sind die Daten meist erst einmal weg. Die Hacker fordern nicht selten ein Lösegeld für die Herausgabe", berichtet Stephan Blank vom Mittelstand-Digital Zentrum des Zentralverbands des Deutschen Handwerks (ZDH). Laut einer Befragung des IT-Sicherheitsanbieters Splunk aus den USA hat in Deutschland fast jedes siebte Unternehmen schon Summen bis zur Millionenhöhe an Lösegeld für Cyberangriffe bezahlt. Grundsätzlich sind die Betriebe im Vorteil, die zuvor regelmäßig Back-ups der Daten angelegt haben.

Einen Cyberangriff erkennen

Woran erkennt man, dass man gehackt wurde? Dafür gibt es verschiedene Anzeichen:

  • Wenn keine Schutzmaßnahmen existieren, erkennt es manch einer erst Wochen später und dann meist über Hinweise von Kunden und Geschäftspartnern. Sie machen darauf aufmerksam, dass im Namen des gehackten Unternehmens E-Mails mit Anhängen oder Links verschickt werden, um wiederum die Systeme der Adressaten mit Schadsoftware zu infizieren.
  • Wenn man Schutzmaßnahmen getroffen hat, greifen die Mechanismen der IT-Sicherheitsinfrastruktur wie Firewall, Antiviren-Software oder Sicherheits- und Anti-Ransomware-Technologien und man wird von diesen Systemen benachrichtigt.
  • Schlimmstenfalls legen Hacker die IT-Systeme komplett lahm und man bekommt nur noch schwarze Bildschirme angezeigt. Darauf ist dann nur noch ­eine Nachricht mit einer Lösegeldforderung zu sehen.
  • Bild 1 von 2
    © stock.adobe.com – Krakenimages.com
    Kundendaten einfach so übers Handy verschicken? Vorsicht: Wenn die IT-Infrastruktur nicht sicher ist, können die Daten schnell in falsche Hände gelangen.
  • Bild 2 von 2
    © koldunova/generiert mit KI – stock.adobe.com
    Heutzutage ist nicht mehr die Frage, ob man gehackt wird, sondern wann: Im Fall eines Cyberangriffs ist eine schnelle und vor allem die richtige Reaktion wichtig.

Stephan Blank gibt als Tipp: Um zu überprüfen, ob man gehackt wurde oder sensible Daten durch ein Datenleck in falsche Hände geraten sind, kann man Webseiten wie haveibeenpwned.com nutzen.

Sofortmaẞnahmen im Überblick

Die Initiative "Cybersicherheit im Handwerk" des Mittelstand-Digital Zentrums hat unter anderem eine Notfallkarte mit erstellt, die auf dem Notfallplan des BSI beruht und die jeder auf der Website cyber­sicherheit-handwerk.de nachlesen und abspeichern kann. Bei einem Cyber-Angriff sind erst einmal Sofortmaßnahmen zu treffen:

  • Internetverbindung und Verbindungen zu Netz­werken trennen,
  • betroffene Geräte ausschalten und auch ­Back-ups stoppen.

Dann sollte man strukturiert vorgehen und schritt­weise prüfen, was genau passiert ist, welche Stellen im Betrieb betroffen sind und auch entsprechenden Meldepflichten nachkommen. Sie betreffen sowohl diejenigen, deren Daten gestohlen wurden – Kunden, Geschäftspartner etc. – als auch den jeweiligen Landesdatenschutzbeauftragten. Bei der Aufklärung des Vorfalls helfen Experten, die ebenfalls im Notfallplan genannt sind.

Markus Zwingel: "Wer entscheidet, wann der Stecker gezogen wird?"

Markus Zwingel - © Fürst

Markus Zwingel, Geschäftsführer/Chief Digital Officer, Fürst-Gruppe, Nürnberg: "Ein falscher Mausklick – und schon befinden sich sensible Daten in den falschen Händen, wir als Unternehmen sind handlungsunfähig, können weder Rechnungen ausstellen noch Löhne auszahlen …

Unsere interne IT-Abteilung sorgt dafür, dass so etwas gar nicht erst passiert. Aus insgesamt zwölf Köpfen bestehend sorgt sie dafür, dass all unsere Mitarbeitenden die Risiken kennen und vor allem erkennen. Dafür schulen wir sie regel­mäßig digital und vor Ort. Seit 2018 haben wir außerdem einen IT-Sicherheitsbeauftragten, der mit allen Fragen rund um das Thema betraut ist. 

Im täglichen Doing setzen wir unter anderem auf Zwei-Faktor-Authentifizierung und Netzwerksegmentierung. Zudem nutzen wir eine vollautomatische, auf KI basierende Sicherheitssoftware, die unseren Mitarbeitenden individuell angepasste Test-Phishingmails schickt. Daran messen wir den Kenntnisstand unserer Mitarbeitenden und passen entsprechend die Schulungsmaßnahmen an. Außerdem gibt es die Möglichkeit, über unsere Sicherheitssoftware verdächtige E-Mails an die IT weiterzuleiten: So bleiben wir immer auf dem neuesten Stand, was die Betrugsversuche angeht.

Vor etwa fünf Jahren wurden wir Opfer eines Verschlüsselungstrojaners, den wir aber recht schnell erkannt haben und Maßnahmen einleiteten, sodass kein Schaden verursacht wurde. Das hat uns gezeigt, dass wir nicht schlecht aufgestellt sind, dass wir aber auch nicht nachlassen dürfen. Natürlich braucht man ein ausgereiftes Back-up-System, das in mehreren Stufen abgehärtet ist und auch regelmäßig überprüft wird.

Seit 2022 haben wir eine Cybersicherheitsversicherung. Die bekommt man nur, wenn man bereits hohe Standards an ­Cybersicherheit erfüllt. Zuletzt haben wir mit einem externen Sicherheitsdienstleister ein Konzept für ein IT-Notfallhandbuch erstellt, das unsere Schritte bei einem Cyberangriff regelt: Wer wird wann informiert? Wer übernimmt die Kommunikation? Wer entscheidet, wann der Stecker gezogen wird und wann wir die Polizei informieren? Dieser Ernstfall wird natürlich auch geprobt."

Die richtigen Schlüsse ziehen

Ein wichtiger Schritt liegt auch darin, die richtigen Schlüsse aus einem Cyberangriff zu ziehen – also die richtigen Präventionsmaßnahmen zu ergreifen, um einen erneuten Angriff zu verhindern. Und dazu gehören laut Stephan Blank ein paar mehr Schritte als nur Back-ups der Daten, die man als Sicherung zum Weiterarbeiten im Notfall benötigt.

Neben dem Notfallplan hat der IT-Experte mit seinen Kollegen einen kostenlosen Routenplaner entwickelt, der jedem Unternehmen als Leitfaden dienen kann, um die IT-Infrastruktur abzusichern. Denn vor dem eigentlichen Absichern sollte man wissen, wo überhaupt Sicherheitslücken entstehen können. Der Routenplaner führt dabei anhand von Fragen schrittweise zu einer Absicherung – einem sogenannten IT-Grundschutzprofil – die jeder selbst in die Wege leiten kann. "Im Handwerk haben wir nun einmal mehrheitlich kleine Betriebe", sagt Stephan Blank. Er beobachtet, dass trotz Skepsis, die hier und da in Sachen Digitalisierung noch immer vorhanden sei, immer mehr Unternehmen die Notwendigkeiten erkennen, Daten richtig abzusichern.

Mathias A. Bühler: "Es geht nicht nur um­ finanzielle Schäden"

Mathias A. Bühler - © All Service

Mathias A. Bühler, Geschäftsführer, All Service Gebäudedienste, Frankfurt am Main: "Das Thema Cybersicherheit halte ich für einen unverzichtbaren Bestandteil unserer Geschäftsstrategie. In einer Zeit, in der Digitalisierung und moderne Technologien die Betriebsabläufe prägen ist der Schutz unserer Daten und Systeme von entscheidender Bedeutung. Die fortschreitende Digitalisierung bringt zweifellos enorme Vorteile mit sich, aber gleichzeitig eröffnet sie auch neue Angriffsflächen. Die Gefahr, Opfer eines Hackerangriffs zu werden, ist für jeden von uns real, und wir müssen als Unternehmen aktiv handeln, um uns bestmöglich zu schützen.

Unser Betrieb hat bereits erhebliche Anstrengungen unter­nommen, um die Sicherheit zu stärken. Dabei liegt die Verantwortung für die Umsetzung und Überwachung von Maßnahmen in den Händen unseres IT-Sicherheitsbeauftragten. Wir haben nicht nur Georedundanz mit Lösungen wie Firewalls, Antiviren oder mehrfache Back-up-Verfahren implementiert, sondern auch unser Personal für Gefahren und Best Practices im Bereich der Cybersicherheit geschult. Ein weiterer Schwerpunkt liegt auf der kontinuierlichen Aktualisierung und Überprüfung unserer Sicherheitsrichtlinien und -prozesse. Wir haben ausgearbeitete Notfallpläne, um im Falle eines Cyberangriffs schnell und effektiv reagieren zu können. Dabei geht es um den Schutz unserer Daten ebenso wie um die Sicherheit unserer Kunden und Partner.

Die größten Gefahren bei einem Cyberangriff sehe ich in der potenziellen Beeinträchtigung unserer operativen Prozesse sowie im Verlust sensibler Informationen. Dabei ist mir bewusst, dass ein erfolgreicher Angriff nicht nur finanzielle Schäden verursachen kann, sondern auch das Vertrauen unserer Kunden gefährdet. Daher setzen wir alles daran, präventive Maßnahmen zu ergreifen, um solche Risiken zu minimieren.

Insgesamt betrachte ich Cybersicherheit als eine gemeinsame Verantwortung, und so schaffen wir durch Schulungen und Sensibilisierung der Mitarbeitenden eine Unternehmenskultur, in der Sicherheit eine zentrale Rolle spielt. Nur so können wir sicherstellen, dass wir nicht nur heute, sondern auch in Zukunft erfolgreich agieren."

Schnell und richtig reagieren

Eine Umfrage des ZDH gemeinsam mit dem Digitalverband Bitkom zeigte schon vor zwei Jahren, dass ­67 % der Betriebe einen hohen Stellenwert bei der IT-Sicherheit sehen. Gleichzeitig gaben 61 % an, dass die IT-Sicherheit eine große Herausforderung sei. "Awareness ist da, denn viele sind schon für das Thema sensibilisiert", sagt Stephan Blank. Dennoch brauchen die Firmen Unterstützung, damit sie die ­Herausforderung angehen. So mahnt Stephan Blank auch: "Es ist nicht mehr die Frage, ob man gehackt wird, sondern wann." Dann sei aber eine schnelle und vor allem die richtige Reaktion wichtig und ein strukturiertes Vorgehen.

Rhett Weikamm: "Man muss jederzeit mit dem Schlimmsten rechnen"

Rhett Weikamm - © Weikamm

Rhett Weikamm, Geschäftsführer, Gebäudeservice Weikamm, Hamburg: "Schon seit über zehn Jahren ist die IT-Sicherheit ein großes Thema in unserer Unternehmensgruppe. Die Basis ist eine ­Hyper-V-Windows-Server-Umgebung, die maximale Sicherheit und Flexibilität bietet. Weiterhin haben wir unser Unternehmensnetzwerk mit einer redundanten Hardware-Firewall ausgestattet. An dieser Stelle wird der komplette Datenverkehr abgesichert und geregelt. Zusätzlich wird durch die Firewall der Zugriff der mobilen Endgeräte inklusive der Sitzungen für das mobile Arbeiten bereitgestellt und abgesichert.

Wir haben auch früh begonnen, unsere Beschäftigten regelmäßig bezüglich der IT-Sicherheit fortzubilden. Jedem Mitarbeiter muss klar sein, dass jeder unüberlegte Klick der letzte sein kann und die Nutzer immer das schwächste Glied in der Sicherheitskette sind.

Ein weiterer Baustein für die IT-Sicherheit war der Abschluss einer umfassenden Cyberversicherung. Bestandteil der Eindeckung durch unseren Versicherungsmakler war eine Risiko­abschätzung durch Fachleute des Versicherungsunternehmens, wodurch unsere IT-Sicherheit nochmals überprüft und verbessert worden ist.

Angeregt durch die Risikobewertung des Versicherungsunternehmens haben wir uns dann im Jahr 2022 dazu entschieden, einen Testangriff durch ein IT-Forensik-Unternehmen durchführen lassen. Hierdurch sind tatsächlich Schwachstellen zutage getreten – und zwar an Stellen, an denen sie keiner vermutet hätte.

Ich bin der Meinung, dass IT-Sicherheit ein stetiger Prozess ist, bei dem alle Fachleute für die IT (Hardware, Software, Schulung, Versicherungsmakler, Versicherer, Forensiker, Mitarbeiter et cetera.) gut zusammenarbeiten müssen. Und dennoch muss man jederzeit mit dem Schlimmsten rechnen und für den Fall der Fälle einen Notfallplan in der Schublade haben. Die Konsequenzen eines Cyberangriffs sind immer weitreichend und bringen das Unternehmen immer als Ganzes in Gefahr."

Unterstützung dabei und auch bei der Umsetzung der richtigen Präventionsmaßnahmen bietet die Initiative "Cybersicherheit im Handwerk" auf dem Portal cybersicherheit-handwerk.de. Dort gibt es sowohl Tools, die man kostenlos nutzen kann, als auch Kontakte zu Beratungsstellen und Informationen zu Förderprogrammen des Bundes und der Länder. Stephan Blank rät, das Thema nicht hinauszuschieben, bis die Notfallnummer dann doch zum Einsatz kommen muss. Stattdessen sollte man die Digitalisierung im Betrieb von Anfang an sicher gestalten. "Den Routenplaner kann man so nutzen, dass man die Maßnahmen, die darin vorgeschlagen werden, schrittweise abarbeitet", sagt der Experte. Für den Unternehmer sei es wichtig, einen Überblick zu bekommen und Schwachstellen zu erkennen beziehungsweise zu beseitigen.

Die Schwachstellen erkennen

Im typischen Handwerksbetrieb seien das oftmals die Smartphones der Mitarbeiter, nennt er als Beispiel. Das mobile Arbeiten sei gang und gäbe, und da würden oftmals auch Kundendaten und Betriebs­interna einfach per WhatsApp weitergegeben. Davon rät Stephan Blank direkt ab. "WhatsApp und andere Instant-Messenger sind nicht die sichersten Kommunikationskanäle, wenn es darum geht, sen­sible Informationen und Dokumente sicher mit Kunden, Lieferanten und Kollegen zu teilen. Vor allem, wenn man das Endgerät sowohl für dienstliche als auch für private Zwecke nutzt. Ich empfehle, dann lieber die WhatsApp-Business-­Alternative oder Threema Work zu nutzen", nennt er als Praxistipp.

Die wichtigste Sicherheitslücke, um die sich jeder Unternehmer aber aus seiner Sicht noch kümmern sollte, sind die Mitarbeiter. "Im Betrieb sollte man klare Regeln zum Umgang mit Daten finden und diese auch regelmäßig kommunizieren", erklärt Stephan Blank. Wie man dabei vorgeht, ist unter anderem auch Teil des Routenplaners.

Die Website cybersicherheit-handwerk.de wird ständig erweitert und Stephan Blank kündigt an, dass dort bald eine Zusammenfassung der wichtigsten Sicherheits­regeln und Sicherheitsmaßnahmen in Kurzform erscheinen wird – die "goldenen Regeln der IT-Sicherheit" –, die man schnell und einfach kommunizieren kann. Unter anderem gehören dazu:

  • eine sichere Firewall im Betrieb, bei der regelmäßig das Passwort aktualisiert wird,
  • insgesamt ein automatisches und Zeitfaktor gestütztes Passwort-Management,
  • eine regelmäßige Aktualisierung der Software des Routers,
  • regelmäßige Back-ups zu erstellen und
  • die Mitarbeiter regelmäßig zu schulen.

Auf cybersicherheit-handwerk.de gibt es weitere Tipps, Beratungsangebote und Hinweise zu Förderprogrammen.

Jana Tashina Wörrle, Deutsche Handwerks Zeitung | heike.holland@holzmann-medien.de

keyboard_arrow_left Zurück zur Startseite