Cyberangriffe im Visier: Gefahren, Schutzmaßnahmen und rechtliche Vorgaben rund um IT-Sicherheit

Fachveranstaltung beleuchtet Gefahren, Schutzmaßnahmen und rechtliche Vorgaben rund um IT-Sicherheit

Cyberangriffe, Datenverluste und Sicherheitslücken in IT-Systemen sind längst kein Problem mehr, das nur globale Konzerne betrifft. Auch kleine und mittelständische Unternehmen in der Region stehen zunehmend im Fadenkreuz digitaler Krimineller. Mit dem Ziel, praxisnahe Einblicke, konkrete Schutzmaßnahmen und rechtliche Orientierung zu bieten und widerstandsfähiger gegen Cyberbedrohungen zu werden, fand die Informationsveranstaltung „Cybersicherheit im Fokus: Schutz und Prävention vor digitalen Bedrohungen“ im NINO-Hochbau in Nordhorn statt. Rund 50 Vertreterinnen und Vertreter aus der regionalen Wirtschaft folgten der Einladung der Wirtschaftsvereinigung Grafschaft Bentheim in Kooperation mit der Wirtschaftsförderung des Landkreises Grafschaft Bentheim.

Wachsende Bedrohung – auch für kleine Unternehmen

„Rund 15 Prozent der deutschen Unternehmen waren im vergangenen Jahr Opfer eines Cybervorfalls. Besonders betroffen sind kleine und mittlere Unternehmen, da sie oft über begrenzte IT-Ressourcen verfügen und dadurch leichter angreifbar sind“, betonte Gitta Mäulen, Geschäftsführerin der Wirtschaftsvereinigung, in ihrer Einführung. Studien zufolge würde sich der wirtschaftliche Schaden durch Cyberkriminalität in Deutschland mittlerweile auf über 179 Milliarden Euro jährlich belaufen – Tendenz steigend. Cyberkriminelle nutzten heute automatisierte und KI-gestützte Methoden, um Schwachstellen in IT-Systemen, Lieferketten oder im Verhalten der Mitarbeitenden auszunutzen.

Angriffsmethoden und aktuelle Entwicklungen

Den wissenschaftlichen Auftakt übernahm Prof. Dr. Patrick Felke, Professor für IT-Sicherheit an der Hochschule Emden / Leer. Er verdeutlichte, dass beinahe täglich sicherheitskritische Schwachstellen bekannt werden. „Die Frage ist nicht ob, sondern wann ein Unternehmen angegriffen wird“, machte der IT-Experte deutlich.

Klassische Angreifer seien Geheimdienste, die auf Spionage, Sabotage und Überwachung abzielten, aber auch kriminelle Organisationen für Wirtschaftsspionage und sogenannte White-Hat-Hacker, die auf Schwachstellen hinweisen. Mit Cyberangriffen lasse sich enormes Geld verdienen – sei es durch Phishing und den Diebstahl von Zugangsdaten, den Missbrauch von Kreditkarteninformationen oder den Einsatz von Schadsoftware.

Felke erläuterte die Unterschiede zwischen passiven Angriffen, bei denen Daten lediglich ausgelesen würden – etwa durch das Mitlesen von E-Mails – und aktiven Angriffen, bei denen Systeme manipuliert oder lahmgelegt würden, beispielsweise durch das Zusenden einer Schadsoftware oder das Unterbrechen der Systemerreichbarkeit. Ein Blick in die Vergangenheit zeige zudem, dass vor der Jahrtausendwende etwa 30 Prozent der Angriffe auf Firmen von außen und etwa 70 Prozent der Angriffe von innen heraus erfolgten – mittlerweile sei dieses Verhältnis nahezu umgekehrt.

Besonders brisant sei das Thema Social Engineering: Angreifer würden dabei versuchen, Menschen durch geschickte Täuschung dazu zu bringen, sensible Informationen preiszugeben oder Schadsoftware zu installieren. „Hierbei spielen Vertrauen, Autorität und Dringlichkeit eine Rolle – etwa, wenn sich Angreifer als Vorgesetzte oder Administratoren ausgeben“, warnte Professor Felke.

Einblicke aus der Unternehmenspraxis

Wie solche Gefahren in der Realität aussehen und welche Strategien sowie Schutzmaßnahmen zur Vorbeugung sinnvoll sind, schilderte Sebastian Hewing, IT-Leiter der ENO telecom GmbH aus Nordhorn.

Beispielsweise sei es bei einem Phishing-Angriff auf Microsoft 365, mit täuschend echt aussehenden Login-Mails im Microsoft-Design, nur durch die bestehende Multi-Faktor-Authentifizierung gelungen, einen größeren Schaden zu verhindern. Ein weiteres Mal geriet die Buchhaltung ins Visier: Eine gefälschte E-Mail gab sich als dringende Zahlungsanweisung des Geschäftsführers aus und forderte eine Überweisung auf ein ausländisches Konto. „Nach diesem Angriff wurde der Zahlungsfreigabeprozess überarbeitet und das Vier-Augen-Prinzip für alle kritischen Zahlungen eingeführt“, erklärte er.

Aus diesen Vorfällen habe man weitere Konsequenzen gezogen: regelmäßige Schulungen, Phishing-Simulationen, klar definierte Notfallprozesse sowie technische Schutzmaßnahmen wie Patches, Mail-Security und Monitoring mit Alarmierung. Sein Fazit: „Cybersicherhit ist ein Prozess, kein Projekt. Vorbereitung ist wichtiger als Reaktion – und frühzeitiges Handeln spart Aufwand und Kosten“.

Rechtliche Rahmenbedingungen im Blick

Einen weiteren Schwerpunkt der Veranstaltung bildeten die rechtlichen Vorgaben. Der Experte für Datenschutz und IT-Sicherheit, Maurice Oettel von Bergjan & Oettel GbR aus Bad Bentheim erläuterte die EU-Richtlinie NIS-2 sowie den Cyber Resilience Act, die in den kommenden Jahren für viele Unternehmen bindend werden.

Die NIS-2-Richtlinie lege die Anforderungen für die Sicherheit von Netzwerken und Informationssystemen fest und betreffe insbesondere Unternehmen mit mehr als 50 Mitarbeitenden aus verschiedenen Bereichen wie u. a. Verkehr, Energie, Gesundheitswesen, Verwaltung, Finanzwesen, Post- und Kurierdienste und der Warenherstellung. Sie verpflichte dazu, angemessene technische und organisatorische Maßnahmen zu ergreifen, um Störungen von IT-Sicherheitszielen zu vermeiden und Sicherheitsvorfälle zu verhindern. Daneben sollten Sicherheitsvorfälle gemeldet und Nachweise über die Einhaltung geführt werden. Bei Nichteinhaltung drohten empfindliche Bußgelder. „Das NIS-2 Umsetzungsgesetz durchläuft derzeit noch das Gesetzgebungsverfahren des Bundes und wird voraussichtlich Ende 2025 bzw. Anfang 2026 in Kraft treten“, erklärte Oettel.

Der Cyber Resilience Act wiederum ziele auf die Sicherheit von Produkten mit digitalen Elementen. Hersteller, Importeure und Händler müssten die Produkte künftig gemäß eines vorgegebenen Maßnahmenkatalogs gestalten, entwickeln und produzieren sowie Risiken bewerten. Ziel sei es, Risiken zu minimieren, Sicherheitsvorfälle zu reduzieren und deren Auswirkungen abzumildern. Zudem müsse eine Konformitätsbewertung vorgenommen werden. „Beide Regelwerke sind ein deutlicher Hinweis, dass Informationssicherheit für die betroffenen Firmen keine freiwillige Zusatzaufgabe mehr ist, sondern zur unternehmerischen Pflicht gehört“, betonte der Experte.

Fördermöglichkeiten für Unternehmen

Zum Abschluss stellte Ralf Hilmes, Leiter der Wirtschaftsförderung des Landkreises Grafschaft Bentheim, finanzielle Unterstützungsmöglichkeiten für kleine und mittlere gewerbliche Unternehmen, gewerblich orientierte Freiberufler sowie für Existenzgründer vor. Gefördert würden unter anderem technische und organisatorische Maßnahmen zum Schutz von IT-Systemen, mit Zuschüssen von bis zu 1.000 Euro. „Der Landkreis fördert beispielsweise die Kosten für den sogenannten Cyber Risiko Check, der das IT-Sicherheitsniveau im Unternehmen und konkrete Maßnahmen zur Umsetzung aufzeigt“, erklärte er.

Das Resümee der Veranstaltung: Cybersicherheit ist längst ein entscheidender Faktor für die Zukunftsfähigkeit auch kleiner und mittlerer Unternehmen. Und: Schutz ist möglich – wenn Technik, Organisation und Bewusstsein zusammenspielen.