Cyber-Sicherheit Schutz vor Datendieben, Betrügern und Abzockern

Angriffe auf Produktionsprozesse, Datendiebstahl und Cyber-Erpressung sind inzwischen zum Alltag in unserer digitalisierten Welt geworden. Täglich erreichen uns dementsprechende Pressemeldungen mit unterschiedlicher Brisanz. Das Eindringen ....

Zu Vorsicht vor Cyber-Kriminalität raten (von links) Dirk Webbeler (Blue Technologies), Manfred Hohenhorst (Anwalt), Karsten Ullrich (Provinzial), Robert Kleinschmidt und Herbert Eick (beide BVMW Warendorf).

in Unternehmensdatennetzwerke ist in der Regel verbunden mit Daten-Kidnapping und dem Versuch, das Wiederherstellen der Daten von Lösegeldzahlungen abhängig zu machen. Für den Bundesverband mittelständischer Wirtschaft (BVMW) im Kreis Warendorf bot diese permanent wachsende Bedrohung den Anlass, seine jüngste Unternehmerveranstaltung, die in den Räumlichkeiten der Firma Blue Technologies in Everswinkel stattfand, dem Thema „Cyber Sicherheit – Schutz vor Datendieben, Betrügern und Abzockern“ zu widmen.  Herbert Eick und Robert Kleinschmidt waren sehr erfreut über die hohe Resonanz. Gleich 60 BVMW-Verbandsmitglieder nicht nur aus dem Kreis Warendorf, sondern auch Unternehmerinnen und Unternehmer aus dem gesamten Münsterland, nahmen an der Informationsveranstaltung teil.

Gastgeber Dirk Webbeler, Geschäftsführer des gastgebenden IT-Unternehmens Blue Technologies Ltd. & Co. KG führte mit zahlreichen anonymisierten Beispielen aus seinem eigenen Kundenumfeld in das Thema ein. Wie gelingt es Cyber-Kriminellen, selbst in vermeintlich gut gesicherte Unternehmens-Datennetzwerke einzudringen? Eine beliebte Methode ist gerade in Zeiten des Fachkräftemangels das Einschleusen sogenannter Trojaner über digital eingereichte Bewerbungsunterlagen. Auch warnte Dirk Webbeler vor USB-Sticks in Form vermeintlicher Werbegeschenke, die mit einem Schadcode versehen sein können. Über „Schad-Software“ werden Unternehmensdaten verschlüsselt, mit der Folge, dass sie nicht mehr nutzbar sind. Betroffen können vertrauliche Kundendaten sein, nicht selten seien aber auch komplette Produktionsausfälle zu verzeichnen, die sich über Tage erstrecken und finanzielle Schäden in signifikanter Größenordnung auslösen können. Direkt im Anschluss erfolgt in der Regel die Erpressung. „Üblicherweise wird ein Lösegeld in der Währung Bitcoin, verlangt, um das System wieder zu entschlüsseln“, so Webbeler weiter. Die Bandbreite für das „Lösegeld“ reiche dabei von nur einem bis zu 50 Bitcoin. Einer hat derzeit einen Wert von 6972,8 Euro (Stand 22. Mai). 

Karsten Ullrich von der Westfälischen Provinzial Versicherung AG rät Unternehmen davon ab, Lösegeldzahlungen zu entrichten. Der Erpresser kennt die Eingangstür in das Datennetzwerk des betroffenen Unternehmens, die Schad-Software ist gegebenenfalls nur vorübergehend inaktiv, aber noch vorhanden. Die Gefahr der Wiederholungstat liegt auf der Hand. Was ist also zu tun? Abhilfe können in der Regel nur hoch spezialisierte IT-Dienstleister schaffen, meistens einhergehend mit einem hohen zeitlichen Aufwand. Anhand des Beispiels eines betroffenen Hotelbetriebs machte Karsten Ullrich deutlich, dass nicht nur ganze Buchungssysteme und damit der komplette Betrieb, sondern auch sensible Kundendaten betroffen sein können. Neben dem materiellen Schaden entsteht somit häufig auch ein Reputationsverlust, was ggf. sogar die Inanspruchnahme eines PR-Spezialisten erforderlich macht. Vorsichtsmaßnahmen machen auf jeden Fall Sinn. Gleichwohl sind Unternehmen gegen Cyberkriminelle Angriffe nicht gefeit. Karsten Ullrich stellte klar, dass eine Cyber-Versicherung die einzige Möglichkeit darstelle, sich zumindest gegen materielle weitgehend abzusichern.

Was muss ich als Unternehmer/in rechtlich bedenken, wenn ich Opfer eines Cyber-Angriffs geworden bin. Diese Frage beantwortet Manfred Hohenhorst zu, Fachanwalt für Arbeits- und Steuerrecht. Im Falle der Verletzung des Schutzes personenbezogener Daten hat der geschädigte Unternehmer als Verantwortlicher möglichst binnen 72 Stunden die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW als zuständige Aufsichtsbehörde sowie die betroffenen Personen zu informieren. Im Zusammenhang mit der aufkommenden Diskussion, wie praxisnah oder besser –fern eine solche Meldung gehandhabt werde, warnte der Ahlener Fachanwalt vor leichtfertigen Pflichtverletzungen. Die Verantwortung für die Einhaltung von Meldepflichten laut DSGVO sei im Übrigen auch nicht delegierbar, sondern verbleibe stets beim geschäftsführenden Unternehmer selbst. „Gekrönt“ wurde die interessante Vortragsveranstaltung von der Live-Aufführung einer Ransomware-Attacke durch Blue Technologies. Im Anschluss an die Vorträge folgte das obligatorische „Get Together“-Netzwerken mit zahlreichen Diskussionen in gemütlicher Atmosphäre.