Ein Hacker, der einen Computer hackt.

Unternehmen sich mehr vor Cyberangriffen schützen, rät das Bundesamt für Sicherheit in der Informationstechnik. - Bild: peshkov - stock.adobe.com

Heißt Homeoffice gleichzeitig auch mehr Maßnahmen gegen Cyberrisiken? Nein, bemängeln die Experten des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Denn obwohl sich die Zahl der Menschen im Homeoffice durch Corona mehr als verdoppelt hat, plant nicht einmal jedes zehnte Unternehmen weitere Sicherheitsmaßnahmen, um die mobilen Arbeitsplätze abzusichern. Das geht aus einer neuen repräsentativen Umfrage des BSI vor, die heute vorgestellt wurde.

Als Homeoffice wegen Corona vermehrt eingeführt wurde, ging es zunächst darum, dass das neue Arbeitsmodell überhaupt funktioniere, sagte BSI-Präsident Arne Schönbohm. Funktion war also erst einmal wichtiger als Sicherheit. Nun gehe es aber auch darum, ein Mindestmaß an IT-Sicherheit umzusetzen und zu realisieren. IT-Sicherheit sollte bei jedem ganz oben auf der Liste stehen, sagte auch Bitkom-Präsident Achim Berg. Dabei gehe es nicht um Einmallösungen, sondern um einen dauerhaften Prozess.

Schäden durch Cyberangriffe sind immens

Agnieszka Pawlowska, Referentin für Cyber-Sicherheit für die Wirtschaft im BSI sagte, vor allem KMU brauchen noch Hilfe bei der Datensicherheit. Denn obwohl Homeoffice eine maßgebliche Rolle im Arbeitsalltag einnehmen werde, werde zu wenig getan um technische und organisatorische Maßnahmen gegen mögliche Angriffsflächen zu unternehmen.

Dabei können die Schäden durch Cyberangriffe immens sein: Acht Prozent der befragten Unternehmen hatten seit Beginn der Corona-Pandemie mit einem solchen Angriff zu kämpfen. Bei etwa einem Viertel waren die Auswirkungen schwerwiegend oder sogar existenzbedrohend. „Je kleiner die Firma, desto schwerer die Folgen“, resümierte die Expertin.

Positiv sei, dass der Passwortschutz in fast 90 Prozent der Unternehmen umgesetzt werde, sagte Pawlowska bei der Vorstellung. Verbesserungsbedarf sieht sie dagegen bei Bereichen wie VPN und der Mehr-Faktor-Autorisierung, die einfach umgesetzt werden könne. „Doch genau diese einfachen Dinge setzen nur die Hälfte der Unternehmen um“, kritisierte sie. Vor allem in kleineren Unternehmen sei außerdem Sicherheitsmanagement der mobilen Endgeräte besonders wichtig, da dort die Mitarbeiter oft ihre private IT nutzen müssen.

Was neben Schulungen noch wichtig ist

Das private Geräte auch beruflich genutzt werden ist laut den Experten kein Problem. Aber: Der Arbeitgeber müsse dafür sorgen, dass die Zugriffs- und Kommunikationswege sicher sind, so Berg und Schönbohm.

Viele verstehen, wie wichtig das Bewusstsein für das Thema sei und dass die Mitarbeitenden selbst ein weiterer Sicherheitsfaktor seien, erklärte Pawlowska weiter. Wichtig seien dabei aber nicht nur Schulungen, die 81 Prozent der Befragten anbieten, sondern auch das Gelernte zu üben. „Was nützt das Wissen, wenn man im akuten Fall dann gar nicht weiß, was zu tun ist“, fragte sie. Nur 24 Prozent der Firmen üben regelmäßig die Abläufe im Falle es Notfalls.

Pawlowska appellierte außerdem: „So simpel es klingt: Richten Sie Updates ein und testen Sie wie sie funktionieren.“

Eine weitere Problemstelle: Das Budget. Rund die Hälfte der Unternehmen investiert maximal zehn Prozent des IT-Budgets in Cyber-Sicherheit. Das BSI empfiehlt mindestens 20 Prozent.

Tipps: Das sollte im Falle eines Cyberangriffs getan werden

Doch was sollte ein Unternehmen tun, wenn sie – mit oder ohne Sicherheitsmaßnahmen – einem Cyberangriff ausgesetzt sind. Das BSI hat zur Orientierung die „Top 12 Maßnahmen bei Cyberangriffen“ veröffentlicht.

Wichtige Maßnahmen sind unter anderem

  • Kommunikation mit allen Verantwortlichen
  • Überprüfung der Zugangsberechtigungen und Authentisierungsmethoden für betroffene Accounts
  • Backups stoppen und vor möglichen weiteren Einwirkungen schützen
  • Polizei oder relevante Behörden (Datenschutz, Meldepflichten, etc.) benachrichtigen

Schönbohm empfahl den Unternehmen und Mitarbeitenden – ob im Büro oder Homeoffice – außerdem die IT-Notfallkarte der Behörde herunterzuladen. Auf der Karte kann die IT-Notfallrufnummer des Unternehmens notiert werden und es sind die wichtigsten Fragen im Krisenfall notiert.

IT-Sicherheit ist für den BSI-Präsidenten dabei kein Thema, um das sich nur die IT-Abteilung kümmern sollte. Sein Appell an Führungskräfte: „Beschäftigen Sie sich damit als Entscheider“. Vor allem in Großunternehmen sollten die Chefs wissen, wie das Management von Cyber-Risiken funktioniere, so Schönbohm.

Kostenlose Registrierung

Newsletter
Bleiben Sie stets zu allen wichtigen Themen und Trends informiert.
Das Passwort muss mindestens acht Zeichen lang sein.

Ich habe die AGB, die Hinweise zum Widerrufsrecht und zum Datenschutz gelesen und akzeptiere diese.

*) Pflichtfeld

Sie sind bereits registriert?