Cybersecurity – sehr viel Luft nach oben!

„IT – das war schon immer meins“, erzählt Florian Forster, Teilhaber und Co-Geschäftsführer der Blu Systems GmbH, die ihren Sitz in Oberhaching bei München hat. Das Unternehmen mit rund 55 Mitarbeitern bietet Software-Systeme und IT-Services für mittelständische Betriebe an, mit dem besonderen Schwerpunkt der IT-Security – ein wahrer Brennpunkt in der digitalisierten Wirtschaftswelt.

Forsters Werdegang ist beachtlich: Denn mit 48 Jahren auf eine 33-jährige Berufserfahrung in Sachen IT zurückzublicken, schafft nicht jeder.  Florian Forster verdiente sich sein erstes Geld mit 15 Jahren, indem er einen Online-Handel für Motorrollerteile programmierte. Mit 17 setzte er ein erstes Büronetzwerk auf, danach ging es in eine einschlägige Ausbildung und ab dann in das Berufsleben. Reichhaltige Erfahrungen sammelte Forster als IT-Administrator im Mittelstand, in der Industrie und als globaler IT-Verantwortlicher bei der weltweit tätigen ILF Consulting Engineers. 2013 stieg Florian Forster schließlich in die Blu Systems ein.

IT-Security – nicht nur ein Thema für die IT-Abteilung

„Blu Systems kümmert sich um die Themen, die den Mittelstand bewegen“, schildert Forster den strategischen Ansatz seines Unternehmens. Dabei geht es zwar auch um IT-Hardware, aber mehr noch um die Prozesse und die Integration der Systeme in die Firmenkultur. Ausgehend von der Hilfe bei der Implementierung der Datenschutzgrundverordnung der EU kristallisierte sich für die Blu Systems ein besonderes Spannungsfeld heraus – die schwächelnde IT-Sicherheit in den Unternehmen.

Nicht selten sind die Unternehmen zwar technisch auf der Höhe, oft wurde auch einiges Geld in die IT-Security investiert, doch wurde die Integration in die Firmenkultur und die Abläufe vernachlässigt, berichtet Forster aus zahlreichen Einblicken in die Unternehmenswelt. Mit dem Effekt, dass man nicht ausreichend darauf vorbereitet ist, wie zu reagieren ist, wenn die Firma angegriffen wird. IT-Sicherheit wird nach wie vor in die oft schmal besetzten IT-Abteilungen wegdelegiert, die nicht selten auch fachlich überfordert sind – während gleichzeitig im Gesamtbetrieb kaum Bewusstsein für die im Netz lauernden Gefahren herrscht.

Haupteinfallstor: Der „menschliche Faktor“

Denn sonst wäre es kaum möglich, dass trotz diverser Firewalls über 80% aller erfolgreicher Cyberattacken über die Mitarbeiter erfolgen. Die Hacker nutzen den „menschlichen Faktor“ aus, weil Passwörter zu einfach sind oder das Phishing-Mail nicht erkannt wird. Letztere werden übrigens durch Anwendung von KI immer ausgefeilter und individueller.

Längst passieren die großen „Hacks“ nicht mehr nur großen Unternehmen. Drei Viertel aller Angriffe richten sich gegen kleine und mittlere Betriebe. Florian Forster: „Bei den Angreifern hat eine Industrialisierung stattgefunden. Diese agieren wie professionelle Unternehmen. Die Hacker haben auch erkennt, dass es effektiver ist, viele kleine unsichere Firmen abzugrasen als spektakuläre Angriffe zu inszenieren“.

Phishing, Business-E-Mail-Kompromittierung, CEO-Betrug, Social Engineering (Aufbau und Ausnutzung von persönlichen Beziehungen) und Angriffe auf die Lieferkette sind die häufigsten Angriffsformen. Die finanziellen Schäden sind enorm. Laut einer Untersuchung der KPMG kostet Cyberkriminalität die Hälfte der betroffenen Firmen bis zu 100.000 €, die Schäden betragen aber oft auch Millionen. Dazu kommen der Reputationsverlust, die Kosten der Aufarbeitung der Attacken und die Folgen des Betriebsausfalls.  „Wenn ein kleiner Betrieb 14 Tage stillsteht, kann das die Existenz kosten“, warnt Forster.

Die Cyberkriminalität nimmt noch dazu rapide zu: Wurden in Österreich 2019 noch 28.434 Fälle angezeigt, waren es 2023 bereits 65.864 Angriffe. Wobei die Dunkelziffer enorm ist, da viele Attacken aus Furcht vor dem Reputationsverlust nicht angezeigt werden.

EU verschärft Gesetzeslage

„Leider entspricht das Bewusstsein in den Unternehmen noch nicht der Bedrohungslage“, bedauert Florian Forster: „Die meisten Betriebe kommen zu uns, nachdem etwas passiert ist. Der Mittelstand müsste dringend beginnen, das Thema erst zu nehmen“. Nicht zuletzt schon aus Eigeninteresse, da es letztlich zu einer Haftung der Leitungsorgane kommen könnte, wenn die Organisationspflichten zur Errichtung und Unterhaltung eines effektiven IT-Compliance-Systems nicht eingehalten wurden.

Dem Thema IT-Sicherheit könnte nun allerdings das EU-Recht auf die Sprünge helfen: So soll die NIS-2-Richtlinie der EU die Cyberresilienz von Betrieben in der kritischen Infrastruktur stärken. Weitere Gesetzesmaterien für den Finanzsektor stehen vor der Umsetzung. Möglicherweise kommen verstärkte Berichtpflichten auch noch auf den Mittelstand in anderen Wirtschaftssektoren zu.

„Eigentlich schade“, meint Forster, „dass es dazu eigene Gesetze braucht. In jedem mittleren Betrieb gibt es Feuermeldeanlagen und Feuerlöscher. Doch in der IT riskieren zu viele noch einen Flächenbrand bei heiklen Daten und blieben lieber ungeschützt!“. In einer hochkarätig besetzten Podiumsdiskussion am 21. Oktober will Florian Foster daher auch in Salzburg das Bewusstsein für die Gefahren der wachsenden Cyberkriminalität schärfen.