Wenn ich mit Unternehmer*innen zusammenkommen, werde ich regelmäßig nach meinen Erfahrungen bezüglich IT-Security und Cyberangriffe auf Unternehmen gefragt.
Hier erhalten Sie Informationen zu diesem Thema, die so spannend sind, dass Sie Ihren Kaffee beiseitestellen und aufmerksam weiterlesen? Ich schreibe hier Klartext, von Unternehmer zu Unternehmer*in.
Jedem Angriff geht ein Motiv voran, meistens geht es darum, Geld zu erpressen: Es gibt viele Taugenichtse und faule Menschen, die ohne Arbeit an Geld kommen wollen – insbesondere an Ihr schwer verdientes Geld. Ganz nach dem Motto, warum sollte ich arbeiten, wenn es andere für mich tun?
Wie geraten Sie überhaupt in diese Gefahrenlage?
Um den Einsatz von IT kommt kein Unternehmen herum, aber: Für viele Entscheider*innen ist IT-Sicherheit ein lästiges Thema. Es herrscht die Meinung, dass die IT einfach nur funktionieren muss.
Gefühlt ist es so: IT Security kostet viel Geld und erfordert IT Security Spezialisten. Sie macht eine Menge Arbeit und die Abläufe komplexer.
Von Dienstleistern, die IT-Security Services anbieten, wird von Ihnen verlangt, dass Sie sich mit Begriffen wie: Cyber-Resilienz, Rechtliche Anforderungen, Managementverantwortlichkeiten, EU-Richtlinie, Awareness auskennen und auseinandersetzen.
Was ist eigentlich dran an dem Gerücht, dass es IT-Security Software gibt, die man einmal kauft, installiert und die diese lästigen und komplexen Aufgaben automatisch übernimmt? Merke, ein Gerücht entsteht dort, wo wichtige Fragen unbeantwortet bleiben. Unter uns gesagt, IT-Security Software und Versicherungen gibt es nur für diejenigen, die eh ihre Hausaufgaben gemacht haben.
OK, aber was wäre ein Spiel ohne den „Joker“: Oft höre ich: „Ich habe keine Ahnung von IT, deshalb macht das bei uns der IT-Mitarbeiter oder der IT-Dienstleister“, der einmal im Monat vorbeischaut. Diesen smarten Unternehmer-Kollegen empfehle ich diesen Blog:
https://www.cpn-gmbh.de/2022/10/27/ihr-privatvermogen-in-handen-ihrer-it/
Also mal ehrlich, was kann wirklich passieren?
Wenn Ihr Unternehmen Ziel eines Cyber Angriffs wird, sind Sie der Geschädigte: Sie haben enorme Geschäftsausfälle zu stemmen, müssen kurzfristig IT-Spezialisten hinzuziehen und meist einen teuren Fachanwalt engagieren. Ihnen drohen Schadensersatzansprüche Ihrer Lieferanten und Kunden, von der schlechten Presse gar nicht zu reden. Jetzt werden, noch dazu, empfindliche Strafen verhängt. Und hier wird es vom Gerechtigkeitssinn aus betrachtet ungerecht: Als Geschädigter dürfen Sie doch nicht auch noch zusätzlich betraft werden. Der Gesetzgeber sieht das ausfolgende Gründen anders:
Jetzt wird es leider „abschreckend“!
In Art. 83 DSGVO (Allgemeine Bedingungen für die Verhängung von Geldbußen)
1. Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Kurz, es muss also teuer werden.
Die Gesetzgebung will sicherstellen, dass dies kein zweites Mal passiert. Strafen werden so hoch angesetzt, dass sie auf Mitbewerber und andere Unternehmen wirklich abschreckend wirken.
Die Entscheider der Unternehmen sollen so dazu gezwungen werden, in IT-Sicherheit zu investieren.
Der Gesetzgeber fordert die Datenschutzbehörde also auf, schlagt hart zu, das muss teuer werden! Diese Geldbußen müssen abschrecken!
Für jede Vorschrift gibt es eine andere Vorschrift, die das wiederum entschärft. Man muss diese nur kennen:
Hier ist es: Art. 32 DSGVO (Sicherheit der Verarbeitung)
1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheit natürlicher Personen treffen der Verantwortlich (FYI: Das sind Sie persönlich) und der Auftragsverarbeiter geeignete technische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; …
Spätestens jetzt sollte man seinen Kollegen das Zeichen geben „Jetzt bitte nicht stören, denn es geht um sehr viel Geld.“
Zusammengefasst: sie müssen geeignete technische und organisatorische Maßnahmen eingeleitet haben. Was im Gesetzestext eher unkonkret bezeichnet ist, bedeutet: Sie müssen in IT-Sicherheit investieren!
Also, mal ganz langsam. Was kann denn im schlimmsten Fall passieren?
• Ihre Daten werden verschlüsselt
• Sie können keine Rechnungen mehr schreiben
• Die Telefonanlage geht nicht mehr, Ihre Firma ist nicht erreichbar
• Schranken und elektronische Türen öffnen sich nicht mehr
• Computergesteuerte Produktionsanlagen stehen still
• Und so weiter…
Kurz gesagt, Ihre gesamte Geschäftstätigkeit kommt zum Erliegen
Die meisten Angreifer haben personenbezogene Daten im Visier. Unternehmen speichern immer mehr dieser sensiblen Daten und tauschen diese über Unternehmensgrenzen hinweg aus. Das macht es den Angreifern noch leichter, diese zu erbeuten.
Bei jeder Cyberattacke sind in der Regel bereits vor der Entdeckung und Eindämmung die Daten abgeflossen. Zu spät erkannte Cyberattacken verursachen somit ein Mehrfaches an Kosten und Schäden.
Die Täter drohen Ihnen, diese zu veröffentlichen. Sie sind somit erpressbar, besonders wenn es um personenbezogene oder geheime Daten geht.
Sie ahnen sicherlich bereits, da wo es Verlierer gibt, gibt es auch (Schadensersatz)-Gewinner. Die Personen nämlich, deren sensible Daten ins Internet gelangt sind.
Einigen Gerichten reicht es schon aus, dass Ihr Kunde, Ihr Mitarbeitender oder Lieferant etc. ein ungutes Gefühl dabeihat, dass seine Daten im Dark Web gelangt sind. Es wird eine Entschädigung in Höhe von € 500,- zugesprochen. Klingt überschaubar, meinen Sie? Allein der Anwalt kostet Sie das Zigfache.
Bei einer Datenbank mit Kundenadressen geht es schnell um die personenbezogenen Daten von 5000 oder mehr Datensätzen. Jetzt kommt die Anwalts-Maschinerie auf den Plan und reicht Sammelklagen ein.
Das kennen Sie sicherlich aus der Automobilindustrie, siehe Abgasaffäre etc. Diese erwirken im Musterprozess einen Schadensersatz und dieser wird für alle geschädigte Personen angewandt.
Aus 500 Euro Schadenersatz werden jetzt 2,5 Mio Euro.
Der IT-Security-Tsunami beginnt jetzt erst warm zu laufen. Trotz der hektischen Situation von ratlosem Mitarbeiter, ausgefallenen Telefonen und Rechnern, muss der Hackerangriff gemeldet werden. Sie haben die Verpflichtung, das innerhalb von 72 Stunden zu tun, wobei es keine Rolle spielt, ob ein Wochenende dazwischen ist oder nicht. (Unternehmen nach NIS-2 innerhalb 24 Stunden)
Das heißt für Sie: Sie müssen in dieser kurzen Zeit
• den Sachverhalt feststellen
• das Unternehmen retten
• vielleicht sogar mit den Erpressern korrespondieren
• und fristgerecht die Meldung abgeben.
Das ist definitiv für Sie eine schlaflose Zeit. Wenn man das nicht geübt hat oder keinen geeigneten Partner an seiner Seite hat, geht das schief.
Ups, wo muss man das denn melden?
Das geht ausnahmsweise mal einfach: im Portal auf der Website der Datenschutzbehörde füllt man online ein Formular aus und ist seiner Meldeverpflichtung nachgekommen.
Bitte beachten Sie: Ihre Systeme, mit denen Sie sonst arbeiten, sind ausgefallen und es herrscht Chaos. Was Ihnen bleibt ist eine Dark IT. Spätestens jetzt, wünscht man sich, man hätte sich vorbereitet…
Achtung: …Behörde und leicht in einem Satz?
Vorsicht: Die Informationen, die Sie wahrheitsgemäß angeben müssen, sind diese, die auch Ihre Geldbuße definiert! (Kläger = Richter)
Nach Abgabe des ersten Formulars ist es leider nicht vorbei, jetzt wird es ernst. Sie werden aufgefordert, ausführlich Stellung zu nehmen.
Jetzt lassen Sie die Hosen runter:
• technischen Maßnahmen
• Backup-Plan
• Awareness Schulung
• Schutz der Daten
• Kategorisierung der Daten
• Wie wurden Sie auf die Angreifer aufmerksam?
• Welche IT-System sind betroffen (Einsatzzweck, Software-Versionen, Betriebssystem, Dienste, etc.)
• und viele weitere Fragen
Sie können auch sicher sein, dass es eine Frist gibt, bis wann diese Informationen geliefert werden müssen, und ich kann Ihnen versichern, dass es keine 14 Tage sind.
Wie Sie bereits ahnen, hat das alles nichts mehr mit nur Kopfschmerzen zu tun.
Wichtig ist, informieren Sie sich vorzeitig! Schauen Sie im Internet nach, fragen Sie IT-Security-Spezialisten oder laden Sie mich einfach zu einem Kaffee ein. Wir besprechen das in einer lockeren Runde von Unternehmer zu Unternehmer, ohne IT-Chinesisch, versprochen.
Ihr
Edda Bakir
Mein Besuch ist für Sie kostenlos und Sie geben den Kaffee aus.
