Abseits aller epidemiologischen Fragestellungen hat die Corona-Krise der Digitalisierung in Deutschland erheblichen Vorschub geleistet. Damit einher geht allerdings auch eine spürbare Zunahme von Cyberattacken auf Unternehmen. Wie stellt sich das Gebäudereiniger-Handwerk dieser Entwicklung?
Ohne Homeoffice, Online-Zusammenarbeit, Videokonferenzen/Chats und die verstärkte Einführung digitaler Geschäftsprozesse wären die Auswirkungen der Pandemie für Wirtschaft und Gesellschaft gleichermaßen wohl noch schwerwiegender, als sie es ohnehin schon sind. Viele Menschen, aber auch viele Unternehmen insbesondere im Mittelstand, mussten ihre gewohnten Abläufe innerhalb kürzester Zeit umstellen beziehungsweise an neue Rahmenbedingungen anpassen.
Das Vorantreiben der Digitalisierung in Zeiten der Pandemie quer durch alle Branchen vergrößert allerdings die Angriffsflächen für Cyberkriminelle noch einmal deutlich. So ist die Zahl der registrierten Straftaten auf diesem Gebiet allein im vergangenen Jahr um 7,9 Prozent auf 108.000 gestiegen, wie aus dem aktuellen Lagebericht des Bundeskriminalamtes (BKA) zur IT-Sicherheit in Deutschland hervorgeht – im Vergleich zu 2015 mehr als eine Verdoppelung.
Allein diese Zahlen sind bereits alarmierend. Die Dunkelziffer dürfte allerdings noch um einiges höher sein: Wie ein 2020 veröffentlichter Forschungsbericht des Bundesministeriums für Wirtschaft und Energie (BMWi) ausführt, waren im Zeitraum 2018/2019 – also noch vor dem von der Pandemie ausgelösten Digitalisierungsboom! – bereits rund zwei Drittel der befragten Unternehmen von mindestens einem Cyberangriff betroffen. Lediglich 11,9 Prozent von ihnen erstatteten jedoch Anzeige!.
Den massiven Anstieg der Cybercrime-Fälle führt das BKA neben der stark voranschreitenden Digitalisierung aller Lebensbereiche unter anderem auf die zunehmende Professionalisierung der Täter zurück sowie auf die steigenden Fähigkeiten der Schadsoftware zur Verschleierung von Sicherheitsmechanismen. Hinzu kämen niedrige Eintrittsschranken in die Cyberkriminalität: Durch Cybercrime-as-a-Service (CaaS) würden kaum technische Kenntnisse zur Begehung einer Cyberstraftat benötigt.
Nils Bogdol: Jeder Euro in die Sicherheit ist gut investiert
Nils Bogdol Geschäftsführer, Ray Facility Management Group, Holdorf: "Unsere EDV beschäftigt sich seit vielen Jahren mit der IT-Sicherheit, da wir als bundesweit aufgestellter Dienstleister die Daten überregional zur Verfügung stellen müssen und dementsprechend schon vor 20 Jahren angefangen haben, Netzwerksysteme für unsere auf verschiedene Standorte verteilten Mitarbeiter zur Verfügung zu stellen.
Durch die bisher ergriffenen Securitymaßnahmen – unter anderem haben wir eine sehr teure Software zum Virenschutz im Einsatz – kam es bisher zu keinem Hackererfolg in unserem Unternehmen. Das mag aber auch daran liegen, dass wir sehr eingeschränkte Möglichkeiten dafür geben. Unsere Daten sind bei einem relativ großen europäischen Netzbetreiber outgesourct. Dieser fungiert als Host, der damit unsere Server und auch die Datensicherung in seiner Struktur verantwortet. Über regelmäßige Audits können wir sicherstellen, dass eine Wiedereinspielung der Daten, Tageskontrollen, Nachtsicherungen et cetera jederzeit zur Verfügung steht und stand.
Indem wir als Endgeräte mit iPads agieren und nur in sehr geringem Maße mit Laptops, die wiederum alle extra gesichert sind und keinen direkten Zugang zu unseren Hauptrechnern haben, versuchen wir Fremdeinwirkungen zu reduzieren. Auch arbeiten wir sehr viel mit Thin Clients im Unternehmen, sodass der Nutzer keine Möglichkeiten hat, Anwendungen und Software lokal einzuspielen.
Der Standardschutz eines modernen Unternehmens ist aus meiner Sicht die Reduzierung der Hardwarezugänge zu den eigentlichen Servern. Weitere wesentliche Punkte sind die Schulungen der Mitarbeiter, die Verwendung der stets aktuellsten Virensoftware und die Absicherung der Server gegen jeglichen Fremdzugriff – aber auch gegen mögliche Angriffe seitens der eigenen Mitarbeiter.
Fakt ist: Unser wirkliches Vermögen sind inzwischen die relevanten Daten. Wir haben sicherlich den Vorteil, dass wir für „Weltmächte“ nicht relevant sind. Nichtsdestotrotz gibt es aber ausreichend gefährdendes Potenzial, sodass jeder Euro, der in die Sicherheit gesteckt wird, einen hohen Mehrwert darstellt."
Der Eintrittsvektor für Attacken ist dabei nicht immer das Unternehmen selbst – oftmals nutzen Kriminelle die Lieferkette des Unternehmens oder die IT-Systeme eines Partners oder IT-Dienstleisters aus, um das eigentliche Ziel zu kompromittieren. So nutzten Anfang Juli Hacker eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya, um dessen Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld verlangt. Die Folgen waren bis nach Schweden zu spüren, wo die Supermarktkette Coop fast alle Läden schließen musste. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1.000 Unternehmen, bei denen Systeme verschlüsselt worden seien. Der groß angelegte Angriff mit Erpressungssoftware hat nicht zuletzt Unternehmen hierzulande getroffen: Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete sich ein betroffener IT-Dienstleister, dessen Kunden ebenfalls in Mitleidenschaft gezogen wurden.
Ransomware ganz oben auf der Liste
Zu den primären Bedrohungen für Unternehmen und öffentliche Einrichtungen zählte auch im Jahr 2020 einmal mehr Ransomware – eine Schadsoftware, die mittels Verschlüsselung von Nutzerdaten oder Datenbanken den Zugriff auf lokale oder über das Netzwerk aufrufbare Daten und Systeme verhindert. Wird man Opfer eines solchen Angriffs, erfolgt in der Regel eine Lösegeldforderung (Ransom) in digitaler Währung seitens der Täter, die erst nach Eingang der geforderten Lösegeldsumme die Verschlüsselung aufheben.
Von allen Modi Operandi im Phänomenbereich Cybercrime besitzt Ransomware dem BKA zufolge das höchste Schadenspotenzial. Eine entsprechende Infektion verursache üblicherweise einen Schaden im mindestens sechs- bis siebenstelligem Eurobereich. Darin nicht enthalten: Reputationsschäden und Folgeschäden durch den Abfluss sensibler Daten. Um an digitale Identitäten zu gelangen, setzten Cyberkriminelle auf altbekannte Methoden – etwa Spam-Mail-Kampagnen oder auch professionelle Phishing-Mails mit maliziösen, sprich boshaften, Office-Anhängen.
Karl Breer: Dort nachbessern, wo Lücken erkannt werden
Karl Breer Geschäftsführer, Breer Gebäudedienste, Heidelberg: "Mit Computerviren, sprich Cybercrime, ging es mir wie mit den Covid-19-Viren beziehungsweise der Corona-Pandemie: Zunächst las ich in Presseartikeln, dass es in China Probleme mit einer neuartigen Viruserkrankung gibt, aber das Thema war noch sehr weit vom eigenen Erleben entfernt. Doch wie ein Schneeball nimmt ein solches Thema dann Fahrt auf und kann sich zu einer Lawine entwickeln, die enorme Auswirkungen auf den einzelnen Menschen, auf Unternehmen bis hin zur Weltwirtschaft hat.
Nicht nur die Bundesregierung stuft mittlerweile Cybercrime als größte Bedrohung unserer Wirtschaft ein. Auch wir bekamen in den letzten Jahren immer wieder E-Mails, die im Anhang Viren enthielten. Aufgrund der Schulungen unserer IT-Abteilung waren unsere Mitarbeiter aber so gut informiert, dass niemand einen solchen Anhang öffnete. Hellhöriger wurden wir, als unser Assekuranzmakler bereits vor zwei Jahren eine Cybercrime-Versicherung vorschlug. Nach kurzer Recherche zu dem Thema schlossen wir eine solche Versicherung ab. Dies gab uns nicht nur eine gewisse Sicherheit, sondern hiermit waren auch eine Analyse unserer IT-Sicherheit und weitere Schulungsmaßnahmen verbunden.
Endgültig die Alarmglocken klingeln ließ dann eine Nachricht aus NRW: Obwohl gut aufgestellt, erwischte es einen Kollegen und legte seine komplette IT-Infrastruktur lahm. Dies führte uns vor Augen, dass selbst die besten Schulungs- und Sicherheitsmaßnahmen das Risiko nicht vollständig eliminieren können – insbesondere wenn sich viele Mitarbeiter der Verwaltung coronabedingt im Homeoffice befinden.
Auch der BIV machte Cybercrime aufgrund der Vorkommnisse in NRW zum Schwerpunktthema und „mein“ Ausschuss Technik & Betriebswirtschaft beschäftigte sich unter Hinzuziehung von Spezialisten intensiv mit dieser Problematik. Zwei Leitfäden für Gebäudedienstleister zu den Themen IT-Sicherheit und Datenverlust sind das bisherige Ergebnis. Ich kann nur jedem Unternehmen ans Herz legen, diese Leitfäden intensiv anzuschauen und dort nachzubessern, wo Lücken in der IT-Sicherheit erkannt werden."
Zu wenig Investitionen in IT-Sicherheit
Ebenso wie das BKA sorgt sich auch das BSI um die Cybersicherheit der deutschen Wirtschaft. Neben dem Faktor Mensch seien vor allem unsichere IT-Systeme ein beliebtes Einfallstor. Unzureichend gesicherte oder falsch konfigurierte Datenbanken, kritische Schwachstellen in Remote-Zugängen oder fehlende Sicherheitsprogramme und Schutzmaßnahmen für gewerbliche oder private IT-Infrastrukturen würden es Angreifern ermöglichen, in ein Zielsystem einzudringen und es zu kompromittieren.
Eine unlängst durchgeführte, repräsentative Umfrage des BSI unter 1.000 Unternehmen und Betrieben in Deutschland hat in diesem Zusammenhang allerdings ergeben, dass über 50 Prozent der Unternehmen weniger als zehn Prozent der IT-Ausgaben in Cybersicherheit investieren – zu wenig, wie das BSI meint. Die Empfehlung der Bundesbehörde lautet jedenfalls, bis 20 Prozent des IT-Budgets für Sicherheit einzuplanen. Eine weitere Erkenntnis der Umfrage: Je kleiner die Firma, desto schwerwiegender die Folgen. Für Kleinst- und Kleinunternehmen mit weniger als 50 Mitarbeitende sei eine von vier Cyberattacken existenzbedrohend.
Arne Schönbohm, Präsident des BSI, merkt in diesem Zusammenhang an: "Zwar treibt der Digitalisierungsturbo Corona IT-Projekte in den Unternehmen voran; IT-Sicherheit ist jedoch noch zu wenig in Budgets, Abläufen und den Köpfen der Unternehmen angekommen. Obwohl kostengünstig, werden einfache Sicherheitsmaßnahmen wie Mobil Device Management, Notfallübungen oder der Grundsatz ,IT-Sicherheit ist Chefsache‘ nicht genügend umgesetzt."
Christian Engels: Offener Dialog schafft Vertrauen
Christian Engels Assistent der Geschäftsleitung, Schulten Gebäudedienste, Remscheid: "Meiner Erfahrung nach ist die Sensibilisierung des Teils der Belegschaft, welcher mit IT-Systemen in Berührung kommt, ein sehr wichtiger Bestandteil im Kampf gegen die Cyberkriminalität. Gerade in unserer Branche ist es keine Seltenheit, dass die Kollegin oder der Kollege, welche(r) die Rechnung noch vor 20 Jahren geschrieben hat, dies auch heute noch tut. Nur sind die Anforderungen fast uneinholbar gestiegen: Wurde die Rechnung damals noch ohne Risiko halb digital auf einem Windows-95-Computer geschrieben, ausgedruckt und anschließend per Post verschickt, spricht man heute in der Kaffeeküche von Homeoffice, cloudbasierten Programmen und dem Internet of Things – kurz IoT.
Dass alleine der digitale Versand der Rechnung per E-Mail für den Versender – und noch viel mehr für den Empfänger! – einen digitalen Anschlag auf die so wertvolle IT-Landschaft darstellen kann, passt häufig nicht in den Erwartungshorizont der Anwender. Wir schulen unsere Mitarbeiterinnen und Mitarbeiter daher grundsätzlich jedes Jahr zum allgemeinen Umgang mit IT-Systemen, den Anforderungen an den Datenschutz sowie die rechtzeitige Erkennung von möglichen Bedrohungen. Hinzu kommen im Jahr mehrere situationsbedingte Schulungen – etwa, wenn wieder ein bestimmter Virus in den IT-Landschaften unserer Welt wütet.
Unsere Mitarbeiterinnen und Mitarbeiter fühlen sich somit auch sicherer und können die möglicherweise entstehende gefährliche Situation viel besser einschätzen. Durch den offenen und regelmäßigen Dialog nimmt auch die Hemmschwelle bedeutend ab, bei Unsicherheiten nachzufragen. Nicht zuletzt schaffen wir damit eine vertraute Umgebung, damit eben nicht aus Scham ein falscher Klick verschwiegen wird, welcher dann fatale Folgen mit sich bringt – denn man könnte ja eine blöde Frage stellen oder an Ansehen verlieren, weil man sich auf dem Gebiet nicht so gut auskennt.
Am Ende gilt: Eine gut sensibilisierte Belegschaft ist oft mehr wert als die beste Firewall!"
BIV nimmt sich des Themas an
Wie eingangs erwähnt: Cybercrime kann jedes Unternehmen treffen und macht auch vor dem Gebäudereiniger-Handwerk nicht halt. "Die Frage ist nicht, ob eine Cyberattacke kommt, sondern wann", bringt es Bundesinnungsmeister Thomas Dietrich auf den Punkt. Drei Argumente sind es, die den BIV deshalb dazu bewogen haben, im Frühjahr dieses Jahres die eigens eingerichtete Arbeitsgemeinschaft "IT-Sicherheit_Cybercrime" ins Leben zu rufen:
- Zum Ersten sind es die seit Jahren drastisch steigenden Angriffszahlen, gerade auf kleine und mittlere Unternehmen. Hier rechnen Digitalverbrecher eher mit weniger gut gesicherten Systemen und vergleichsweise leichtem Datenzugang.
- Zum Zweiten ist es die Corona-Pandemie beziehungsweise der Faktor Digitalisierung. So kann zum Beispiel die massive Zunahme von Homeoffice zum Einfallstor für Online-Kriminelle werden. Hier stehe gerade das personalintensive Gebäudereiniger-Handwerk vor großen Herausforderungen.
- Zum Dritten ist es ein interner Bericht eines BIV-Mitglieds aus Nordrhein-Westfalen, das Anfang 2021 Opfer einer schwerwiegenden Cyberattacke wurde. Ein gezielter Systemangriff hatte alle Systeme und Daten verschlüsselt – und das, obwohl das Unternehmen weit überdurchschnittlich gesichert war. (Anm. d. Red.: In Episode 6 des BIV- Podcasts "Glanzstück" erzählt der Unternehmer anschaulich von den dramatischen Ereignissen sowie den Folgen und Konsequenzen der Cyberattacke).
In der neuen AG "IT-Sicherheit_Cybercrime" beraten und diskutieren seit diesem Frühjahr regelmäßig rund 20 Experten des Ausschusses für Technik und Betriebswirtschaft sowie IT-Fachleute von Gebäudereiniger-Unternehmen aus der ganzen Republik. Inzwischen hat die Arbeitsgemeinschaft zwei erste Handlungsempfehlungen erarbeitet und den BIV-Mitgliedern zur Verfügung gestellt.
Konkrete Handlungsempfehlungen
Zum einen geht es darin um das Thema Prävention: Wo liegen technisch die größten Angriffsflächen in Unternehmen? Welche Hard- und Softwarelösungen bieten Schutz? Wie sind Beschäftigte zu schulen? Schließlich sind alle Mitarbeiterinnen und Mitarbeiter, die mit Daten in Berührung kommen, zu sensibilisieren. So sind beispielsweise alle E-Mail-Anhänge kritisch zu prüfen. Schon kleine Auffälligkeiten bei Absendern oder Anreden können erste Warnhinweise sein.
Die zweite Handlungsempfehlung beantwortet die wichtigsten Fragen im Falle eines akuten und bereits erfolgten Cyberangriffs: Wie sehen Sofortmaßnahmen aus? Wer ist zu informieren? Welche Möglichkeiten gibt es, im Schadensfall die Auswirkungen für das Unternehmen so gering wie möglich zu halten? Was ist im Fall eines Datenverlusts durch Angriffe auf die betriebliche IT-Infrastruktur zu tun?
Beide Leitfäden stellen die wichtigsten Stellschrauben zusammen, mit denen ein Betrieb die Grundlage für einen größtmöglichen Schutz bilden kann. "Jedes Unternehmen sollte die Gefahren durch Cyberkriminalität kennen und sich personell und technisch vorbereiten. Hier machen wir als BIV für alle Mitgliedsunternehmen praktikable Angebote", betont Thomas Dietrich. Allerdings sei das Thema derart komplex, facettenreich und anspruchsvoll, dass die dringende Empfehlung des BIV lautet, für die konkrete Umsetzung und Betreuung des Netzwerks Experten hinzuzuziehen beziehungsweise ein IT-Systemhaus mit der umfassenden Absicherung zu beauftragen.
Günter Herkommer | guenter.herkommer@holzmann-medien.de