(GFD 09/2023) Den Störfall bei der Produktion unter realen Bedingungen mit den Mitarbeiterinnen und Mitarbeitern durchspielen, die Umrüstung einer Maschine an ihrem digitalen Abbild vorab simulieren oder virtuelle Produkttests durchführen – all das sind Möglichkeiten, die das Metaverse für Unternehmen künftig bieten soll. Aus Sicht des Digitalverbands Bitkom ist dieses Industrial Metaverse ein zentraler Hebel, um wirtschaftlich in der Industrie führend zu bleiben, gesellschaftliche Probleme zu lösen und ökologisch und sozial nachhaltiger zu werden. Damit das gelingt, hat Bitkom einen Acht-Punkte-Plan für das Industrial Metaverse vorgestellt sowie einen Leitfaden veröffentlicht, der interessierten Unternehmen Anwendungsfelder des Industrial Metaverse, den ganz konkreten Nutzen für das eigene Unternehmen sowie die Potenziale für den Wirtschaftsstandort Deutschland näherbringen will. „Mit dem Industrial Metaverse kann an Deutschlands industrielle Stärken und Entwicklungen im Bereich Industrie 4.0 angeknüpft werden. Die Anwendungsfelder reichen jedoch über den Bereich der industriellen Produktion hinaus und betreffen beispielsweise auch Infrastrukturen, Energie- oder Verkehrssysteme“, sagt Dr. Sebastian Klöß, Metaverse-Experte beim Bitkom.

Damit Deutschland beim Industrial Metaverse bis 2030 führend wird, schlägt Bitkom in dem Acht-Punkte-Plan unter anderem eine eigene Industrial-Metaverse-Strategie der Bundesregierung vor, die zugleich in europäische und internationale Initiativen eingebunden ist. Zugleich müsse es Zurückhaltung bei neuen Regulierungsvorhaben geben, da sich das Industrial Metaverse in Deutschland ohnehin in stark regulierten Feldern entwickeln müsse, in denen etwa Arbeitsrecht und -schutz, Datenschutz oder auch das Zivil- und Handelsrecht bereits enge Grenzen setzen. Von besonderer Bedeutung sei zudem, eine Fragmentierung in isolierte, inkompatible Systeme zu vermeiden. Stattdessen sollte auf vorhandene internationale Technologien, Standards und Normen aufgebaut werden. Darüber hinaus wird empfohlen, das Metaverse und die damit zusammenhängenden Technologien wie Virtual und Augmented Reality in der Forschungsförderung stärker zu berücksichtigen und den Austausch mit Startups zu fördern. „Das Industrial Metaverse kann einen wichtigen Beitrag leisten, um dem Fachkräftemangel zu begegnen. Es werden räumliche Grenzen aufgehoben, so dass zum Beispiel auch Unternehmen in ländlichen Regionen auf einen riesigen Fachkräftepool zurückgreifen könnten“, so Klöß.

Im Leitfaden „Industrial Metaverse. Use Cases, Mehrwerte und Potenziale für den Wirtschaftsstandort Deutschland“ wird zunächst der Begriff „Industrial Metaverse“ und der Zusammenhang mit Industrie 4.0 oder Konzepten wie dem Digitalen Zwilling erläutert. Danach geht es um Beispiele für Anwendungsmöglichkeiten, etwa die virtuelle Planung ganzer Produktionsstätten, die Verfolgung von Produkten innerhalb der gesamten Lieferkette oder auch die zeit- und kostensparende und zugleich klimafreundliche Remote-Besichtigung von Immobilien. Daran schließen sich konkrete Use Cases an, bei denen das Industrial Metaverse bereits heute eine Rolle spielt, etwa beim Digitalen Zwilling des Schienennetzes der Deutschen Bahn, der Stadtplanungs-Plattform von Siemens oder den digitalen Werken des Autobauers BMW. Als Abschluss finden interessierte Unternehmen noch eine knappe Übersicht über technische Anforderungen und Standards, die es rund um das Industrial Metaverse zu beachten gilt. Autor: www.bitkom.org

(GFD 06/2023)Allein der deutschen Wirtschaft entstehen jährlich Schäden in Höhe von mehr als 200 Milliarden Euro durch Hackerangriffe. Dabei wären viele dieser Schäden durch entsprechende Sicherheitsmaßnahmen vermeidbar. Zu diesem Ergebnis kommt der Cyber Security Report, den Schwarz Digital jetzt erstmals vorlegt.

Für die Studie wurden im Februar 2023 insgesamt 213 Organisationen der Wirtschaft und des öffentlichen Sektors aus Deutschland im Hinblick auf die Angriffsfläche für externe Cyberattacken hin untersucht. Dazu zählten gelistete Unternehmen in DAX, MDAX, SDAX, acht Handelsunternehmen, 35 Flughäfen und die zehn größten Städte Deutschlands nach Einwohnern. Die wichtigsten Erkenntnisse: Bei allen untersuchten Organisationen besteht dringender Nachholbedarf zum Schutz der aus dem Internet erreichbaren Anwendungen und Systeme. Beispielsweise sind die genutzten Verschlüsselungsmethoden häufig veraltet und können leicht aufgebrochen werden. Zudem wird in der IT-Sicherheit vernachlässigt, dass sich durch New Work und weltweit mobil arbeitende Mitarbeiter die Anforderungen an die Schutzansätze laufend verändern.

Der Report zeigt auf, dass Organisationen im Durchschnitt rund 11.000 Sicherheitslücken wie Fehlkonfigurationen und falsch verwaltete Benutzerkonten haben, die von Angreifern ausgenutzt werden können. Hacker brauchen in 82 Prozent der Fälle weniger als drei Schritte, um an sensible Systeme und Daten einer Organisation zu gelangen. Zudem ist eine Cloud von innen verwundbar: 71 Prozent der identifizierten Schwachstellen erlaubten es, zu den wichtigsten Systemen der Unternehmensnetzwerke zu gelangen oder wichtige Daten aus der Cloud abzugreifen.

"Cybersicherheit erfordert eine vorausschauende, langfristige Strategie, weil die Angriffe immer ausgefeilter und zielgerichteter werden. Ein Großteil der obersten Entscheider unterschätzt die Gefahr durch Cyberangriffe enorm", sagt Rolf Schumann, Vorstandsvorsitzender von Schwarz Digital. "Dabei ist diese Haltung nicht nur für das eigene Unternehmen gefährlich: Jede Art von Organisation ist heute eng mit anderen Organisationen vernetzt. Hacker können Schwachstellen bei einem Unternehmen nutzen, um beispielsweise Zugang zu einem Lieferanten zu erhalten. Daher sensibilisieren wir mit unserem Cyber Security Report flächendeckend für mehr Sicherheit. In diesem fassen wir die aktuelle Bedrohungslage übersichtlich zusammen und geben verständliche Handlungsempfehlungen für eine sicherere digitale Gesellschaft." Autor: gruppe.schwarz

(GFD 06/2023) TÜV-Verband legt Cybersecurity Studie vor: 11 Prozent im vergangenen Jahr von IT-Sicherheitsvorfällen betroffen. Krieg in der Ukraine und digitale Trends erhöhen die Risiken. Phishing und Erpressungssoftware häufigste Angriffsmethoden. Forderung nach gesetzlichen Vorgaben - Cyber Resilience Act zügig verabschieden.

Gut jedes zehnte Unternehmen in Deutschland war im vergangenen Jahr von einem IT-Sicherheitsvorfall betroffen (11 Prozent). Dabei handelt es sich um erfolgreiche Cyberangriffe oder andere sicherheitsrelevante Vorfälle wie Sabotageakte oder Hardware-Diebstahl. Das hat eine repräsentativen Ipsos-Umfrage im Auftrag des TÜV-Verbands unter 501 Unternehmen ab 10 Mitarbeitenden ergeben. In absoluten Zahlen entspricht das in dieser Unternehmensgrößenklasse rund 50.000 Vorfällen. "Sowohl die weltpolitischen Spannungen als auch technologische Trends wie die Verbreitung Künstlicher Intelligenz sind eine Gefahr für die Cybersicherheit der Unternehmen in Deutschland", sagte Dr. Johannes Bussmann, Präsident des TÜV-Verbands, bei Vorstellung der "TÜV Cybersecurity Studie" in Berlin. "Neben kriminellen Hackern verstärken staatliche Akteure ihre Aktivitäten, um an sensible Daten zu gelangen, Geld zu erpressen oder Unternehmen zu sabotieren." Die größte Gefahr geht aus Sicht der Befragten von der organisierten Cyberkriminalität aus: 57 Prozent fühlen sich von organisierten Hacker-Banden bedroht. Jeweils 27 Prozent sehen staatlich organisierte Wirtschaftsspionage oder politisch motivierte Akteure als große Gefahr. 22 Prozent fürchten so genannte Innentäter:innen, die über interne Kenntnisse eines Unternehmens verfügen und diese bei einem Angriff ausnutzen können. Angesichts der Bedrohungslage spricht sich eine Mehrheit für zusätzliche gesetzliche Vorgaben aus. 64 Prozent der Befragten stimmen der Aussage zu, dass jedes Unternehmen verpflichtet sein sollte, angemessene Maßnahmen für seine Cybersecurity zu ergreifen. Bussmann: "Aktuelle Gesetzesvorhaben in der EU wie der Cyber Resilience Act im Bereich Produktsicherheit oder der AI Act für Künstliche Intelligenz müssen jetzt zügig verabschiedet werden und schnell zur Anwendung kommen."

Zur aktuellen IT-Sicherheitslage in Deutschland sagt Dr. Gerhard Schabhüser, Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI): "Nach wie vor stellen Cyber-Angriffe mit Ransomware die größte Bedrohung für Unternehmen und Organisationen dar. Immer wieder kommt es zu erfolgreichen Angriffen, teilweise mit schwerwiegenden und langfristigen Folgen für die Betroffenen. Da sich Cyber-Kriminelle konsequent professionalisieren und gleichzeitig die Angriffsfläche unserer digitalen Systeme immer größer wird, ist Cyber-Sicherheit eine Daueraufgabe mit höchster Priorität. Unternehmen und Organisationen dürfen zu keiner Zeit nachlassen im Bemühen, ihre IT-Netzwerke zu schützen. Dabei stellen wir als BSI fest: Gerade in kleineren Unternehmen hat Cyber-Sicherheit noch nicht den Stellenwert, den sie einnehmen sollte. Dabei stehen die passenden Maßnahmen bereits zur Verfügung. Sie müssen nur umgesetzt werden."

Laut den Ergebnissen der Umfrage hat der Krieg in der Ukraine das Risiko von Cyberangriffen in der deutschen Wirtschaft stark erhöht. Dieser Ansicht sind 58 Prozent der Unternehmen in Deutschland. Und 16 Prozent verzeichnen seit Ausbruch des Krieges mehr Cyberangriffe bzw. Angriffsversuche auf ihr Unternehmen. Am stärksten betroffen sind große Unternehmen ab 250 Mitarbeitenden mit 28 Prozent. Es folgen mittlere Unternehmen mit 20 Prozent (50-249 Mitarbeitende) und kleine mit 11 Prozent (10-49 Mitarbeitende). Die mit Abstand häufigste Angriffsmethode ist Phishing: E-Mails, mit denen Passwörter abgegriffen werden oder Schad-Software verbreitet wird. Bei 62 Prozent der betroffenen Unternehmen war ein Phishing-Angriff erfolgreich. "Phishing bekommt mit generativen KI-Anwendungen wie ChatGPT eine neue Dimension", sagte Bussmann. "Wegen Fehlern oder holpriger Formulierungen leicht erkennbare Phishing-Mails wird es bald nicht mehr geben." An zweiter Stelle stehen Ransomware-Angriffe, bei denen die IT-Systeme gehackt, Daten verschlüsselt und die Unternehmen dann erpresst werden (29 Prozent). "Ransomware ist eine sehr erfolgreiche Methode. Häufig zahlen Unternehmen, um schnell wieder arbeitsfähig zu sein", sagte Bussmann. Eine weitere beliebte Masche ist die Manipulation von Mitarbeitenden, das so genannte Social Engineering (26 Prozent). Ein typisches Beispiel sind Fake-Anrufe des IT-Supports, um an sensible Daten zu gelangen. Und 22 Prozent der betroffenen Unternehmen berichten von einem Passwort-Angriff, bei dem Zugangsdaten gehackt wurden.

Finanzielle Schäden und Systemausfälle: Gravierende Folgen von Cyberangriffen

Die Folgen der Angriffe sind massiv. 42 Prozent der Unternehmen erlitten finanzielle Einbußen, Dienste für Mitarbeitende (38 Prozent) oder Kunden (29 Prozent) waren nicht erreichbar, die Produktion ist ausgefallen (13 Prozent) oder sensible Daten wurden gestohlen (13 Prozent). "Jahr für Jahr verursachen Cyberangriffe in der deutschen Wirtschaft Kosten in mehrstelliger Milliardenhöhe", sagte Bussmann. Die Unternehmen steuern mit zusätzlichen Investitionen dagegen. Gut jedes zweite Unternehmen hat seine Ausgaben für Cybersecurity in den vergangenen zwei Jahren leicht oder sogar deutlich erhöht (52 Prozent). Die Investitionen gehen an erster Stelle in moderne Hard- und Software: 78 Prozent haben veraltete Geräte außer Betrieb genommen, 71 Prozent sichere Hardware angeschafft und 55 Prozent neue Cybersecurity-Software eingeführt. 63 Prozent haben die IT-Sicherheit vernetzter Maschinen und Anlagen verbessert. "Hier gibt es noch viel Nachholbedarf, weil viele Maschinen und Anlagen ursprünglich aus der analogen Welt kommen", sagte Bussmann. "Die Vernetzung im so genannten Internet of Things ist aber längst in vollem Gange."

Darüber hinaus investieren die Unternehmen in ihr eigenes Know-how: 72 Prozent lassen sich von externen Expert:innen beraten und 51 Prozent schulen ihre Mitarbeitenden. "Noch nicht so weit verbreitet, aber sehr wirksam sind Praxisübungen und Zertifizierungen", sagte Bussmann. Fast jedes dritte Unternehmen nutzt so genannte Penetrationstests, bei denen "gute Hacker" Schwachstellen in den IT-Systemen aufspüren (32 Prozent). Knapp ein Viertel führt Notfallübungen durch, um besser auf den Ernstfall vorbereitet zu sein (24 Prozent). Ebenfalls ein Viertel hat sicherheitsrelevante Zertifizierungen eingeführt (26 Prozent). Deren Grundlage sind Normen und Standards wie zum Beispiel ISO 27001 oder der IT-Grundschutz des BSI. "Normen und Standards geben Unternehmen Orientierung, wenn sie ganzheitlich vorgehen und ihren Schutz auf ein höheres Level heben wollen", sagte Bussmann. "Nach außen zeigt eine Zertifizierung, dass ein Unternehmen oder ein einzelnes Produkt hohe IT-Sicherheitsstandards erfüllt. Damit schafft es Vertrauen bei Geschäftspartnern und Verbraucher:innen." Fast jedes vierte Unternehmen hält bestimmte Normen und Standards bereits vollständig ein (23 Prozent) und fast die Hälfte orientiert sich zumindest daran (46 Prozent).

Vier von fünf Unternehmen stimmen der Aussage zu, dass IT-Sicherheit Grundlage für einen reibungslosen Geschäftsbetrieb ist (80 Prozent). 76 Prozent der Befragten geben an, dass eine hohe Sicherheit für sie ein Wettbewerbsvorteil ist und 69 Prozent, dass Kunden und Partner ein hohes Cybersecurity-Niveau einfordern. "Die Studie zeigt, dass die meisten Unternehmen die Bedeutung der IT-Sicherheit erkannt haben", sagte Bussmann. "Cybersecurity ist heute business-relevant." Nachholbedarf haben die kleineren Unternehmen. Bei den Unternehmen mit 10 bis 49 Mitarbeitenden spielt Cybersecurity nur bei der Hälfte eine große Rolle. Und gut ein Viertel der Kleinen hat das Thema gar nicht auf dem Schirm oder hält es für nicht relevant (28 Prozent). Dagegen spielt Cybersecurity für 80 Prozent der großen und für 76 Prozent der mittleren Unternehmen eine wichtige Rolle.

Gesetzlichen Rahmen in der EU zügig verbessern

Die Unternehmen rufen aber auch den Gesetzgeber zum Handeln auf. Gut jeder zweite Befragte fordert, dass die gesetzlichen Vorgaben für die Unternehmen erhöht werden müssen (52 Prozent). "Entscheidender Hebel für mehr Cybersecurity sind die Vorgaben für die Produktsicherheit in der EU", sagte Bussmann. Mit dem Cyber Resilience Act soll digitale Sicherheit endlich integraler Bestandteil aller vernetzten Produkte werden. Je nach Risiko, das von ihnen ausgeht, müssen sie bestimmte Sicherheitsvorgaben erfüllen. Aus Sicht des TÜV-Verbands sollten alle sicherheitskritischen Produkte mit hohem Risiko verpflichtend von unabhängigen Stellen geprüft werden, bevor sie auf den Markt kommen. "Angesichts steigender politischer und technologischer Risiken sollte der Cyber Resilience Act seine Wirkung für die Cybersicherheit möglichst schnell entfalten können", sagte Bussmann. Das gelte auch für die KI-Verordnung (AI Act), die sich gerade in der Abstimmung befindet. Nicht zuletzt sollten vor allem kleine und mittelständische Unternehmen bei ihren Maßnahmen für mehr Cybersicherheit unterstützt werden. Bussmann: "Angesichts des Fachkräftemangels müssen wir in das Know-how der KMU investieren, damit sie sich ausreichend vor Cyberangriffen schützen können." Autor: www.tuev-verband.de

(GFD 04/2023) Wer Unternehmensrouter aussortiert oder weiterverkauft, sollte alle gespeicherten Daten unbedingt und normgerecht löschen. Diese einfache Regel befolgen anscheinend viele KMU nicht, fanden die Experten von ESET heraus. In einer Untersuchung von 16 gebraucht gekauften Routern stellten sie fest, dass auf mehr als der Hälfte der Geräte noch sensible Informationen abrufbar waren. Erschreckenderweise haben auch Entsorgungsdienstleister hier mangelhafte Arbeit geleistet und Hardware bzw. deren Inhalte nicht vernichtet, sondern weiterverkauft. Das Whitepaper zur Analyse haben die ESET Forscher auf dem Security-Blog WeLiveSecurity veröffentlicht: https://ots.de/O2oULg

"Die möglichen Auswirkungen unserer Ergebnisse sind äußerst besorgniserregend und sollten ein Weckruf sein", sagt Cameron Camp, Sicherheitsforscher von ESET. "Wir erwarteten, dass mittlere bis große Unternehmen strenge Sicherheitsvorkehrungen für das Stilllegen von Geräten haben - dem war offensichtlich nicht so. Die Mehrheit der untersuchten Geräte enthielt eine digitale Blaupause des betreffenden Unternehmens, beispielsweise Kernnetzwerkinformationen, Anwendungsdaten, Unternehmensanmeldeinformationen und Informationen über Partner, Anbieter und Kunden."

Von den neun Netzwerkgeräten, für die vollständige Konfigurationsdaten verfügbar waren, enthielten

22 Prozent Kundendaten

33 Prozent Verbindungen, die Drittanbietern den Zugang zum Netzwerk ermöglichten

44 Prozent Anmeldedaten für die Verbindung mit anderen Netzwerken als vertrauenswürdige Partei

89 Prozent Verbindungsdetails für einige Anwendungen

89 Prozent Router-zu-Router-Authentifizierungsschlüssel

100 Prozent eine oder mehrere IPsec- oder VPN-Anmeldeinformationen oder gehashte Root-Passwörter

100 Prozent genügend Daten, um den ehemaligen Eigentümer/Betreiber zuverlässig zu identifizieren.

Die Router in dieser Untersuchung stammen aus Organisationen unterschiedlicher Größen und Branchen (Rechenzentren, Anwaltskanzleien, Drittanbieter von Technologie, Fertigungs- und Technologieunternehmen, Kreativfirmen und Softwareentwickler). Die Ergebnisse teilte ESET den betroffenen Unternehmen mit, unter denen sich auch bekannte Namen befanden.

Mangelnde Kontrolle spielt Kriminellen in die Hände

"Es gibt gut dokumentierte Prozesse für die ordnungsgemäße Außerbetriebnahme von Hardware, und diese Untersuchung zeigt, dass viele Unternehmen diese nicht strikt befolgen, wenn sie Geräte für den Sekundärmarkt vorbereiten", sagt Tony Anscombe, Chief Security Evangelist bei ESET. "Das Ausnutzen einer Schwachstelle oder Spearphishing für Anmeldedaten ist potenziell harte Arbeit. Unsere Untersuchungen zeigen, dass es einen viel einfacheren Weg gibt, an diese Daten zu gelangen. Wir empfehlen Unternehmen, die sich mit der Entsorgung von Geräten, der Datenvernichtung und dem Weiterverkauf von Geräten befassen, ihre Prozesse genau zu überprüfen und sicherzustellen, dass sie die neuesten NIST-Standards einhalten."

Entsorgung nur kontrolliert und fachgerecht

Unternehmen sollten aussschließlich vertrauenswürdige, kompetente Dritte mit der Entsorgung von Geräten beauftragen oder alle notwendigen Vorsichtsmaßnahmen treffen, wenn sie die Außerbetriebnahme selbst vornehmen. Dies gilt nicht nur für Router und Festplatten, sondern für alle Geräte, die Teil des Netzwerks sind. Die ESET Experten raten, die Richtlinien des Herstellers zu befolgen, um alle Daten von einem Gerät sicher zu entfernen, bevor es das Unternehmen verlässt - ein einfacher Schritt, den viele IT-Mitarbeiter durchführen können. Autor: eset.de

(GFD 12/2022) Kleine und mittlere Unternehmen (KMU) stöhnen unter Inflation, Digitalisierung, Fachkräftemangel und hohen Energiekosten. Wie halten sie es vor diesem Hintergrund mit der eigenen IT-Sicherheit und welche Probleme machen ihnen in der Praxis wirklich zu schaffen? Dieser Frage ging der IT-Security-Hersteller ESET in seiner durchgeführten globalen Umfrage nach und befragte hierzu mehr als 1.200 Unternehmen. Die Studienergebnisse belegen eine tiefe Verunsicherung vieler Betriebe in puncto Sicherheit: Fast drei Viertel der Befragten fühlen sich anfälliger für Sicherheitsgefahren als Großkonzerne. Nicht einmal die Hälfte besitzt ein mittleres oder hohes Vertrauen in die eigene Cyber-Resilienz. Und 49 Prozent beklagen Budgetbeschränkungen oder fehlende Investitionen in die Cybersicherheit.

Größte Gefahr geht von Mitarbeitern aus

Entgegen der Erwartung sehen KMU die globalen Entwicklungen, wie den Krieg in der Ukraine und die fortschreitende Fernarbeit nach Corona, nicht als das größte Sicherheitsrisiko an. Vielmehr gilt das mangelnde Cyber-Bewusstsein ihrer Mitarbeiter (43 %) als gefährlichste Schwachstelle. Weitere wichtige Faktoren sind:

Angriffe von staatlicher Seite (37 %)

Schwachstellen im Ökosystem der Partner/Lieferanten (34 %)

hybrides Arbeiten (32 %)

die Verwendung des Remote Desktop Protocol (31 %)

Geringes Vertrauen in die eigene Cyber-Resilienz

Es überrascht allerdings, dass das allgemeine Vertrauen der befragten Unternehmen in die eigene Cyber-Resilienz für die nächsten 12 Monate gering ist: Nur 48 Prozent der Befragten gaben an, mittleres oder hohes Vertrauen in ihre Gefahrenabwehr zu besitzen. Erwähnenswert ist, dass der Glaube an die eigene Stärke unter den Befragten aus Skandinavien (32 %) deutlich geringer war als im übrigen Europa und in Nordamerika (beide 49 %).

KMUs empfinden sich verletzlicher als Großunternehmen

74 Prozent der kleinen und mittleren Unternehmen fühlen sich aufgrund ihrer Größe anfälliger für Cyberattacken als Großunternehmen und Konzerne. Dabei fürchten sie vor allem Datenverluste, die zu schwerwiegenden finanziellen Einbußen führen könnten. Im vergangenen Jahr waren zwei Drittel der Befragten von einem Datensicherheitsvorfall betroffen. Dessen Untersuchung dauerte in den meisten Fällen bis zu drei Monate. Die geschätzten Gesamtkosten beliefen sich im Durchschnitt auf fast 220.000 Euro.

Während diese Entscheidungsträger über die möglichen Auswirkungen eines Angriffs besorgt sind, gaben 70 Prozent der befragten Unternehmen zu, dass ihre Investitionen in die Cybersicherheit nicht mit den jüngsten Veränderungen ihrer Betriebsmodelle (z. B. hybrides Arbeiten) Schritt gehalten haben.

Diese Gefahren erwarten KMU in den nächsten 12 Monaten

Malware (70 %)

Webbasierte Angriffe (67 %)

Ransomware (65%)

Sicherheitsprobleme durch Dritte (64 %)

Denial-of-Service-Angriffe (60 %)

Angriffe über das Remote Desktop Protocol (60 %)

Endpoint Detection and Response als Ausweg

Die typische Reaktion auf Cybersicherheitsvorfälle: Unternehmen investieren zuerst in die Schulung des IT-Teams. Das überrascht auf den ersten Blick nicht, löst aber das eigentliche Problem nicht im erforderlichen Maße. Vielmehr bietet sich der Einsatz von Endpoint Detection and Response-Lösungen (EDR) an, die KMU auf ein deutlich höheres Sicherheitsniveau heben könnten. Allerdings ist EDR noch nicht in der Breite bei kleinen und mittleren Unternehmen angekommen. Lediglich 32 Prozent der Befragten setzen diese bereits aktiv ein. Aber die gute Nachricht lautet: Ein weiteres Drittel der interviewten Firmen wollen hier in den kommenden 12 Monaten nachbessern. Autor: www.eset.de

9 von 10 Unternehmen werden Opfer von Datendiebstahl, Spionage oder Sabotage

(GFD 09/2022) Der deutschen Wirtschaft entsteht ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Damit liegt der Schaden etwas niedriger als im Rekordjahr 2021 mit 223 Milliarden Euro. In den Jahren 2018/2019 waren es erst 103 Milliarden Euro. Das sind Ergebnisse einer Studie im Auftrag des Digitalverbands Bitkom, für die mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt wurden. Praktisch jedes Unternehmen in Deutschland wird Opfer: 84 Prozent der Unternehmen waren im vergangenen Jahr betroffen, weitere 9 Prozent gehen davon aus. Dabei sind die Angriffe aus Russland und China zuletzt sprunghaft angestiegen. 43 Prozent der betroffenen Unternehmen haben mindestens eine Attacke aus China identifiziert (2021: 30 Prozent). 36 Prozent haben Urheber in Russland ausgemacht (2021: 23 Prozent). Zugleich gehen die Angreifer immer professioneller vor. Erstmals liegen das organisierte Verbrechen und Banden an der Spitze der Rangliste der Täterkreise. Bei 51 Prozent der betroffenen Unternehmen kamen Attacken aus diesem Umfeld. Vor einem Jahr lag ihr Anteil gerade einmal bei 29 Prozent, vor drei Jahren bei 21 Prozent.

„Spätestens mit dem russischen Angriffskrieg gegen die Ukraine und einer hybriden Kriegsführung auch im digitalen Raum ist die Bedrohung durch Cyberattacken für die Wirtschaft in den Fokus von Unternehmen und Politik gerückt. Die Bedrohungslage ist aber auch unabhängig davon hoch“, sagte Bitkom-Präsident Achim Berg. „Die Angreifer werden immer professioneller und sind häufiger im organisierten Verbrechen zu finden, wobei die Abgrenzung zwischen kriminellen Banden und staatlich gesteuerten Gruppen zunehmend schwerfällt. Allerdings zeigen die Ergebnisse in diesem Jahr auch, dass Unternehmen mit geeigneten Maßnahmen und Vorsorge dafür sorgen können, dass Angriffe abgewehrt werden oder zumindest der Schaden begrenzt wird.“

Verfassungsschutz-Vizepräsident Sinan Selen sagte bei der Vorstellung der Studie: „Die Bewertungen in der Studie spiegeln sich auch in der Lageeinschätzung der Cyberabwehr des BfV wider. Die Grenzen zwischen Cyberspionage und Cybercrime verschwimmen zunehmend. Wir müssen uns nicht nur auf ein ,Outsourcing‘ von Spionage einstellen, sondern auch darauf, dass Staaten Cybercrime als Deckmantel für eigene Operationen nutzen. Wir stellen eine Vermischung analoger und digitaler Angriffsvektoren fest. Zudem wechseln staatliche Akteure ihr Zielspektrum flexibel, je nach politischer Agenda, von Wirtschaft zu Politik und umgekehrt. Als Nachrichtendienst kann das BfV diesen Herausforderungen begegnen, da wir wertvolle Erkenntnisse aus operativen Maßnahmen und aus dem Austausch mit internationalen Partnern kombinieren können.“

Digitale Angriffe nehmen zu, analoge gehen leicht zurück

Angriffe auf die Wirtschaft haben sich im vergangenen Jahr weiter in den digitalen Raum verlagert. So geben zwei Drittel der Unternehmen (69 Prozent) an, dass sie in den vergangenen zwölf Monaten von Diebstählen von IT- und Telekommunikationsgeräten betroffen oder vermutlich betroffen waren, ein Anstieg um 7 Prozentpunkte zum Vorjahr. 63 Prozent berichten vom Diebstahl sensibler Daten (plus 3 Prozentpunkte), bei 57 Prozent wurde digitale Kommunikation ausgespäht (plus 5 Prozentpunkte) und 55 Prozent sind von der digitalen Sabotage von Systemen oder Betriebsabläufen betroffen oder vermuten dies (plus 3 Prozentpunkte). Leicht rückläufig sind dagegen der analoge Diebstahl von physischen Dokumenten, Unterlagen oder Mustern (42 Prozent, minus 8 Prozentpunkte), das Abhören von Besprechungen oder Telefonaten (28 Prozent, minus 9 Prozentpunkte) sowie die analoge Sabotage (22 Prozent, minus 3 Prozentpunkte). „Unternehmen in Deutschland haben seit Beginn der Corona-Pandemie die Digitalisierung vorangetrieben. Damit verlagern sich auch die Angriffe zunehmend in den digitalen Raum“, so Berg.

Datendiebstahl: Täter haben es auf die Daten Dritter abgesehen

Beim Diebstahl digitaler Daten haben es die Angreifer verstärkt auf Daten Dritter abgesehen. So geben 68 Prozent der von diesem Delikt betroffenen Unternehmen an, dass Kommunikationsdaten wie E-Mails entwendet wurden (2021: 63 Prozent). Bei fast jedem Zweiten (45 Prozent) waren Kundendaten im Visier – nach nur 31 Prozent vor einem Jahr. Berg: „Die Täter scheinen genau zu wissen, an welcher Stelle sie am härtesten zuschlagen können. Wenn Daten Dritter entwendet werden, droht den Unternehmen zusätzlicher Schaden. Der reicht von Reputationsverlust bis hin zu möglichen Bußgeldern der Aufsichtsbehörden.“ In jedem dritten betroffenen Unternehmen wurden unkritische Business-Informationen (38 Prozent) oder Cloud-Zugangsdaten (32 Prozent) gestohlen. Jedes vierte Unternehmen meldet den Verlust kritischer Business-Informationen wie Marktanalysen (28 Prozent) sowie Daten von Mitarbeiterinnen und Mitarbeitern (25 Prozent). In rund jedem fünften betroffenen Unternehmen (18 Prozent) hatten es die Täter auf geistiges Eigentum wie Patente abgesehen, in 14 Prozent flossen Finanzdaten ab.

Cyberangriffe: 45 Prozent fürchten um Existenz

Wirtschaft rechnet mit verstärkten CyberangriffenWirtschaft rechnet mit verstärkten Cyberangriffenclose

Insbesondere digitale Angriffe beunruhigen die Wirtschaft. 39 Prozent haben in den vergangenen zwölf Monaten erlebt, dass Cyberattacken auf ihr Unternehmen stark zugenommen haben, 45 Prozent meinen, sie haben eher zugenommen. Vor allem Betreiber kritischer Infrastrukturen erleben einen Anstieg der Angriffe: Hier sagen 49 Prozent, die Attacken haben stark zugenommen, und 38 Prozent, sie haben eher zugenommen. Die Sorgen vor den Folgen einer Cyberattacke wachsen: 45 Prozent der Unternehmen meinen, dass Cyberattacken ihre geschäftliche Existenz bedrohen können – vor einem Jahr lag der Anteil bei gerade einmal 9 Prozent. 

Bei den Cyberangriffen wurden vor allem Attacken auf Passwörter, Phishing und die Infizierung mit Schadsoftware bzw. Malware für die Unternehmen teuer – in jeweils jedem vierten Unternehmen (25 Prozent) ist ein entsprechender Schaden entstehen. Dahinter folgen DDoS-Attacken, um IT-Systeme lahmzulegen (21 Prozent). Ransomware-Attacken haben in 12 Prozent der Unternehmen Schäden verursacht, das ist nach dem Rekordjahr 2021 mit 18 Prozent ein deutlicher Rückgang. „Bei Ransomware gilt: Durch technische Vorkehrungen und Schulung der Beschäftigten lassen sich Angriffe abwehren. Und wer aktuelle Backups zur Verfügung hat und einen Notfallplan aufstellt, der kann den Schaden einer erfolgreichen Attacke zumindest deutlich reduzieren“, so Berg. „Auf keinen Fall sollte ein Lösegeld gezahlt werden. Häufig erhalten die Opfer ihre Daten selbst dann nicht in einem brauchbaren Zustand zurück – und zugleich werden die Täter zu weiteren Angriffen motiviert, und die können auch auf dasselbe Unternehmen erneut treffen.“

Einen Anstieg gab es beim sogenannten Social Engineering. Fast jedes zweite Unternehmen (48 Prozent) berichtet von entsprechenden Versuchen. Dabei wird vor allem und deutlich häufiger als in der Vergangenheit versucht, über das Telefon (38 Prozent, 2021: 27 Prozent) und über E-Mail (34 Prozent, 2021: 24 Prozent) an sensible Informationen zu gelangen. Sie können dann für Cyberattacken verwendet werden. Berg: „Eine regelmäßige Schulung von Mitarbeiterinnen und Mitarbeitern zu Sicherheitsfragen, damit sie sich auch bei Social-Engineering-Versuchen richtig verhalten, sollte in jedem Unternehmen selbstverständlich sein.“

Weitere Zunahme von Cyberattacken erwartet – vor allem auf kritische Infrastruktur

Die Unternehmen erwarten in den kommenden zwölf Monaten eine weitere Zunahme von Cyberangriffen. 42 Prozent der Unternehmen rechnen mit einem starken Anstieg, 36 Prozent mit einem eher starken. Die Betreiber kritischer Infrastruktur stellen sich sogar auf noch heftigere Attacken ein: Hier rechnen 51 Prozent mit einem starken, 33 Prozent mit einem eher starken Anstieg. Die Wirtschaft fürchtet dabei vor allem Ransomware-Angriffe, die 92 Prozent als sehr oder eher bedrohlich einschätzen. Dahinter folgen Zero-Day-Exploits (91 Prozent) und Spyware-Attacken (85 Prozent). 72 Prozent sehen mögliche Angriffe mit Quantencomputern als künftige Bedrohung. Aber auch Entwicklungen auf dem Arbeitsmarkt beunruhigen die Unternehmen: 72 Prozent sehen den Mangel an IT-Sicherheitsexperten als Bedrohung, 58 Prozent die zunehmende Fluktuation von Beschäftigten.

Der Anteil der Ausgaben für IT-Sicherheit am IT-Budget der Unternehmen ist verglichen mit dem Vorjahr leicht gestiegen. 9 Prozent geben die Unternehmen im Schnitt aus, vor einem Jahr waren es 7 Prozent.  „Bei den Ausgaben für IT-Sicherheit müssen die Unternehmen dringend zulegen. Die Erkenntnis, welche dramatischen Folgen ein erfolgreicher Angriff haben kann, ist längst da – den notwendigen Schutz davor gibt es aber nicht zum Nulltarif. Hier müssen Vorstände und Geschäftsleitungen umgehend aktiv werden“, sagte Berg.

Von der Politik wünschen sich 98 Prozent mehr Einsatz für eine verstärkte EU-weite Zusammenarbeit bei Cybersicherheit. 97 Prozent fordern, dass die Politik stärker gegen Cyberattacken aus dem Ausland vorgehen soll. Und drei Viertel (77 Prozent) meinen, die Politik solle die Ermittlungsbefugnisse erweitern, damit Cyberangriffe aufgeklärt werden können. Zugleich beklagen 77 Prozent, dass der bürokratische Aufwand bei der Meldung von Vorfällen zu hoch ist.

( GFD 2/2021) Wie lassen sich Verträge für umfangreiche IT-Projekte angemessen formulieren? Antwort auf diese und weitere Fragen zur Vertragsgestaltung gibt der Leitfaden zu Ausgewogenen Vertragskonzepten, den der Digitalverband Bitkom in einer erweiterten Neuauflage veröffentlicht hat. Die Praxishilfe soll dazu beitragen, Streitigkeiten bei der Verhandlung von IT-Verträgen zwischen den Vertragspartnern zu entschärfen und den Vertragsparteien Auswege aus festgefahrenen Vertragsverhandlungen aufzeigen. „Das Konzept unserer Empfehlungen sieht vor, dass die typischen Interessen beider Parteien eines IT-Projektvertrages angemessen zum Ausgleich gebracht werden und sich keine Partei benachteiligt fühlen muss“, sagt Thomas Kriesel, Bereichsleiter Unternehmensrecht.

Der Leitfaden deckt in eigenständigen Regelungsmodulen einen wesentlichen Teil typischer Fragenkomplexe in IT-Verträgen ab, darunter Haftung, Gewährleistung, Mitwirkungspflichten, Rechteverteilung und Verzug. Kriesel: „Mit Blick auf die aktuellen Herausforderungen der Corona-Pandemie haben wir auch ein Modul zu Höherer Gewalt aufgenommen, das unverschuldete Leistungsverzögerungen thematisiert. Hierfür gibt es im deutschen Recht bisher keine gesetzlichen Regelungen.“

Die von Bitkom vorgeschlagenen Ausgewogenen Vertragskonzepte sind anders als Allgemeine Geschäftsbedingungen (AGB) gerade nicht einseitig zugunsten einer Vertragspartei formuliert, sondern berücksichtigen die Interessen beider Parteien und haben zum Ziel, einen möglichen Verhandlungskompromiss vorwegzunehmen. „Mit den Bitkom-Empfehlungen können die Parteien Verhandlungszeit zu Standardvertragsfragen erheblich verkürzen“, erläutert Kriesel. „Dadurch gewinnen sie Zeit für die Absprache von Besonderheiten des zu regelnden Projekts.“

Die Vorschläge geben Anregung für Absprachen, die in IT-Verträgen getroffen werden sollten, oder können als Grundlage für weitere lösungsorientierte Vertragsverhandlungen dienen. Allerdings sind die Empfehlungen weder für das Geschäft mit Verbrauchern (B2C) noch für das Massengeschäft geeignet. Denn nach der Konzeption der vorgestellten Vertragsmodule müssen die Vertragsparteien über die Aufnahme jeder einzelnen vorgeschlagenen Regelung in den Vertrag und über ihre Ausgestaltung im konkreten Anwendungsfall Einigung erzielen. Die präsentierten Vertragskonzepte sind vor allem auf Projekt- und Beratungsverträge ausgerichtet.

Der Leitfaden ersetzt zwar keine juristische Beratung bei der Gestaltung konkreter Verträge, gibt aber eine gute Orientierung über die zu regelnden Fragen sowie über die Interessen der Beteiligten und zeigt praxisorientierte Regelungsmöglichkeiten auf. Das Dokument zum Download gibt es unter https://www.bitkom.org/Bitkom/Publikationen/Bitkom-Empfehlungen-zu-ausgewogenen-Vertragskonzepten.html

Autor: www.bitkom.org

(GFD 01/2021) Unternehmen in Deutschland ziehen Bilanz zu bereits durchgeführten Digitalisierungsmaßnahmen. Ergebnis: In mehr als jedem dritten Unternehmen (38 Prozent) steigen die Kosten. Nur 25 Prozent spüren bereits Einspareffekte, weitere 25 Prozent können noch kein Fazit zu den Auswirkungen auf die Kosten ziehen. Zu diesem Ergebnis kommt die Studie Potenzialanalyse Reality Check Digitalisierung von Sopra Steria in Zusammenarbeit mit dem F.A.Z.-Institut.

Eigentlich wollen Unternehmen durch Digitalisierung Kosten senken und nicht steigern. Allerdings wartet jedes dritte Unternehmen noch auf anvisierte Einsparungen. Die Gründe dafür sind unterschiedlich. Ein nicht zu unterschätzender Posten sind Personalausgaben. Viele Unternehmen haben massiv in den Aufbau von Know-how investiert und beispielsweise Data Scientists und andere Digitalspezialisten rekrutiert. Dazu kommen laufende Kosten nach der Einführung neuer IT-Lösungen, die häufig aufgrund längerer Verträge oder aus Sicherheitsgründen eine Zeitlang parallel zur bestehenden Infrastruktur betrieben werden müssen. Der Mittelstand geht künftig von weiteren Kostensteigerungen aus, so eine Untersuchung der Kreditanstalt für Wiederaufbau (KfW): Insgesamt prognostizieren 28 Prozent der kleinen und mittleren Unternehmen (KMU), dass die Digitalisierung in den kommenden vier Jahren ihre Kosten erhöht.

Steigende Kosten rechnen sich nur, wenn Unternehmen auf der anderen Seite genügend positive Effekte durch Digitalisierung erzielen. Doch die lassen noch auf sich warten: Auf der Habenseite der Digitalisierungsbilanz verbucht nur jedes fünfte Unternehmen zusätzliche Umsätze, beispielsweise durch neue digitale Dienstleistungen oder durch das Erschließen neuer Kundengruppen. Fast ebenso viele (19 Prozent) konnten ihre Profitabilität in Form höherer Gewinne steigern, unter anderem weil sie mithilfe neuer Technologien Abläufe automatisiert haben.

Kunden und Mitarbeiter honorieren Investitionen in Digitalisierung

Am häufigsten registrieren Unternehmen Digitalisierungserfolge bei weicheren Kennzahlen wie Kundenzufriedenheit und Innovationsgeschwindigkeit. Rund 60 Prozent verbuchen signifikante Verbesserungen. Für die Mehrheit der befragten Unternehmen hat es sich ausgezahlt, dass sie Kunden früh in Verbesserungen einbezogen haben, beispielsweise bei der Entwicklung von Apps oder bei der Einführung neuer Online-Geschäftsprozesse.

Zudem hat in jedem zweiten Unternehmen Digitalisierung einen positiven Einfluss auf die Mitarbeiterzufriedenheit. "Das zeigt, dass sich die Entlastung von Routineaufgaben tatsächlich auf die Motivation in den Teams auswirkt", sagt Frédéric Munch, Leiter von Sopra Steria Next. Als ebenso motivierend erweisen sich neue Formen der Zusammenarbeit und neue Führungsstile in den Unternehmen. 70 Prozent der befragten Entscheiderinnen und Entscheider berichten, dass es sich auszahlt, Teams mit gemischten Qualifikationen zu bilden.

Mehr Arbeit als vorher

Die Zufriedenheit steigt allerdings nur, wenn das Personal tatsächlich durch Digitalisierungsmaßnahmen entlastet wird. Das ist jedoch nicht immer der Fall: In 44 Prozent der befragten Unternehmen war die Arbeitslast nach Digitalisierungsprojekten größer als vorher. Dazu führen häufig technische Anlaufschwierigkeiten und fehlende Benutzerfreundlichkeit der eingesetzten digitalen Lösungen, aber auch strategische Fehlplanungen. Viele Unternehmen führen beispielsweise im Kundenservice neue Online-Kanäle wie Chatbots ein, ohne die Abläufe neu zu organisieren und diese da wo möglich zu automatisieren. Die Folge: noch mehr Anfragen für die Mitarbeiter.

"Es passieren immer noch einige Kardinalfehler bei der Digitalisierungsstrategie. Zu den häufigsten zählt, dass Prozesse, Organisation und das gesamte Geschäft eins zu eins in die Online-Welt überführt werden und sonst alles beim Alten bleibt", sagt Frédéric Munch von Sopra Steria Next. Autor: www.soprasteria.com

(GFD 11/2020) Wie lauten Ihre Geschäftszeiten? Wie kann ich ein Produkt bestellen? Und welche Fristen gelten bei einer Stornierung? Solche Anfragen von Kunden und Geschäftspartnern beantwortet mittlerweile mehr als jedes vierte Unternehmen in Deutschland (27 Prozent) per Chatbot. Weitere 13 Prozent planen den Einsatz dieser kleinen Programme, die einfache Fragen beantworten können und sogar ständig und selbstständig dazulernen. Das ist das Ergebnis einer Befragung unter 1.104 Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland, die im Auftrag des Digitalverbands Bitkom durchgeführt wurde. Die Studie ist repräsentativ für die Gesamtwirtschaft. „Im Zuge der Digitalisierung von Prozessen wird die Nutzung von Chatbots weiter ausgebaut. Neue technische Möglichkeiten entwickeln die automatisierte Kommunikation mit dem Kunden und ermöglichen so mehr Effizienz für das Unternehmen. Solche Automatisierungen erbringen signifikante Kostenvorteile und zusätzliche Service-Verbesserungen“, sagt Nils Britze, Bereichsleiter Digitale Geschäftsprozesse beim Digitalverband Bitkom.

Zugleich schreitet die Automatisierung von Büro- und Verwaltungsprozessen auch in anderen Bereichen voran: 22 Prozent der Unternehmen haben bereits einzelne Arbeitsschritte automatisiert, etwa die Erkennung von eingehenden Dokumenten und Informationen. Weitere 26 Prozent planen dies. „Die Automatisierung birgt erhebliche Effizienzpotenziale im digitalen Büro. Nicht zuletzt der Fachkräftemangel ist ein wichtiger Treiber dafür, lästige Routinetätigkeiten durch technische Lösungen durchführen zu lassen“, betont Britze. Autor: www.bitkom.org

(GFD 11/2020) Mobilfunktarife gelten in Deutschland als besonders teuer, tatsächlich sind sie aber besser als ihr Ruf. Im Vergleich mit anderen großen Industrieländern liegen die Preise für Handy- oder Datenverträge durchweg im internationalen Schnitt, speziell für Einsteiger und Normalnutzer sind sie sogar günstig. Am günstigsten sind die Preise in Polen und Italien, am teuersten ist mobile Kommunikation in der Schweiz, den USA und Japan. Das sind Ergebnisse einer Vergleichsstudie von Mobilfunkmärkten in zwölf Industrieländern durch das Marktforschungsunternehmen Tarifica im Auftrag des Digitalverbands Bitkom. Untersucht wurden die Preise in den Flächenländern Deutschland, Finnland, Frankreich, Italien, Niederlande, Polen, Schweden, der Schweiz, Spanien und dem Vereinigten Königreich sowie außerhalb Europas in den USA und Japan. „Was die Kosten angeht, so ist Mobilkommunikation in Deutschland viel günstiger als angenommen. Der deutsche Mobilfunkmarkt ist hart umkämpft, vor allem bei Einsteigertarifen ist der Preisdruck hoch“, sagt Bitkom-Präsident Achim Berg. „Wer wenig Geld hat, findet in Deutschland besonders attraktive Angebote.“

Deutschland in der Spitzengruppe bei Billigtarifen

Für den länderübergreifenden Preisvergleich orientiert sich die Studie an sechs exemplarischen Nutzerprofilen, die das gesamte Spektrum der Mobilfunknutzung abdecken. Anschließend wurden die Angebote aller Mobilfunkanbieter in den jeweiligen Ländern für jedes dieser sechs Nutzerprofile untersucht. Demnach zählt Deutschland bei leistungsärmeren Tarifen zu den günstigeren Ländern. Für „Gelegenheitssurfer“ (max. 1 GB Datenvolumen; min. 0 Gesprächsminuten; 20 Mbit/s Download) und „Normalnutzer“ (max. 3 GB; min. 150 Gesprächsminuten; 20 Mbit/s Download) belegt Deutschland jeweils den vierten Platz. Für Nutzer mit geringer Leistungsnachfrage haben deutsche Anbieter zudem die zweitniedrigsten Durchschnittskosten aller untersuchten Länder. Im günstigsten Tarif zahlen Verbraucher in Deutschland im Schnitt 4,50 Euro pro Monat. Die billigsten Tarife für beide leistungsärmeren Profile dieser Studie bietet jeweils Polen, gefolgt von Italien und Spanien bzw. dem Vereinigten Königreich. Die höchsten Preise zahlen Einsteiger in der Schweiz mit mehr als 14 Euro monatlich.

Hohe Download-Geschwindigkeiten hierzulande vor allem in Premiumtarifen

Für kostenbewusste Nutzer, die Mobilfunk vor allem für soziale Netzwerke und Messenger verwenden (max. 5 GB; min. 0 Gesprächsminuten; 20 Mbit/s Download), liegt Deutschland auf dem sechsten Platz mit ähnlichen Preisen wie in Großbritannien, Frankreich und Niederlande. Etwas teurer sind hiesige Tarife für Smartphone-Gamer (max. 10 GB; min. 0 Gesprächsminuten; 200 Mbit/s Download). Hier liegt das günstigste Angebot aus Deutschland auf dem siebten Platz der untersuchten Länder. „Hohe Download-Geschwindigkeiten bieten vor allem Premiumtarife“, so Berg. Auf Rang sieben liegt Deutschland auch bei Nutzern, die das Internet intensiv nutzen und zudem überdurchschnittlich viel telefonieren (max. 20 GB; min. 250 Gesprächsminuten; 20 Mbit/s Download). Laut der Studie können Submarken und Dienstleister ohne eigenes Netz in Deutschland die vergleichsweise hohen Anforderungen dieses Profils nicht abdecken.

Zero-Rating-Dienste werten Premiumtarife auf

Für sogenannte Heavy-User liegen die Preise in Deutschland auf Rang 6 der zwölf untersuchten Länder (max. 40 GB; min. 250 Gesprächsminuten; 200 Mbit/s Download). U.a. in Großbritannien, Finnland und Spanien müssen die Vielnutzer für entsprechende Leistung mehr zahlen, vor allem in Polen und Italien, aber auch in Frankreich sind entsprechende Leistungspakete günstiger. Grund dafür ist laut Studie ebenfalls die Tarifstruktur in Deutschland, die große Datenvolumen und hohe Download-Geschwindigkeiten nur über Premiumtarife abdecke. „Wer in Deutschland Intensivnutzer ist, zahlt zwar einerseits etwas mehr als in manchen Nachbarländern“, so Berg. „Dafür bekommen Heavy-User hierzulande aber auch mehr Zusatzdienste geboten.“ Das werte Premiumtarife aus Deutschland im Vergleich deutlich auf. So kommt die Vergleichsstudie zu dem Ergebnis, dass speziell in Deutschland Premiumtarife eine große Bandbreite an Mehrwertdiensten enthalten. Dazu zähle insbesondere das sogenannte Zero-Rating von Online-Diensten für Video, Musik, Gaming oder Social Media, die sich unabhängig vom Datenvolumen eines Vertrags nutzen lassen. Berg: „Zero-Rating-Angebote sind eine Besonderheit des deutschen Marktes. Das macht den direkten Vergleich mit anderen Ländern in dieser Leistungsklasse schwierig.“ Über alle Nutzerprofile hinweg sind Mobilfunkpreise in Deutschland durchweg günstiger als in Finnland, Japan und den USA und sie sind durchgängig teurer als in Polen und Italien.

Deutschland mit den meisten Angeboten für Einsteigertarife

Ein weiteres Ergebnis der Studie: Bei geringem Leistungsumfang gibt es in Deutschland besonders viele Angebote. Gemäß der Untersuchung werden diese Tarife üblicherweise von Mobilfunkunternehmen ohne eigenes Netz sowie von Submarken der Netzbetreiber angeboten. Für die in dieser Studie betrachteten Nutzerprofile hat Deutschland demnach die meisten Angebote von Anbietern ohne eigenes Netz oder Submarken im Vergleich zu allen anderen untersuchten Ländern. „Auch für Verbraucher mit kleinem Gelbeutel gibt es hierzulande viele gute Angebote. Das Einstiegsniveau ist sozialverträglich, die Angebotspalette ist insgesamt sehr breit“, so Berg.

Die Bundesregierung plant derzeit, Verbraucherverträge auf eine Höchstlaufzeit von zwölf Monaten zu begrenzen, was auch für Mobilfunkverträge gelten soll. Aus Bitkom-Sicht würden Verbrauchern dadurch in erster Linie Nachteile entstehen. So gebe es bereits heute eine Vielzahl an unterschiedlichen Vertragsmodellen im Markt. „Dazu zählen auch Verträge mit Laufzeiten von nur zwölf Monaten, monatlich kündbare Verträge und Prepaid-Modelle ohne jegliche Vertragslaufzeit“, so Berg. Viele Menschen würden sich zudem keine aktuellen Smartphones mehr leisten können, da die Monatsraten von Bundle-Angeboten aus Smartphone und Mobilfunktarif verdoppelt würden. „Mit gesetzlich verkürzten Verträgen verlieren Verbraucher ihre gewohnten Smartphone-Konditionen und Netzbetreiber ein gewisses Maß an Investitions- und Planungssicherheit. Wir teilen das Ziel eines gut ausbalancierten Verbraucherschutzes. Mit einem faktischen Verbot von 2-Jahres-Verträgen schadet die Bundesregierung aber genau jenen, die sie schützen möchte.“

Die vollständige Studie „Deutschlands Mobilfunktarife im internationalen Vergleich“ steht zum kostenfreien Download bereit.

Hinweis zur Methodik: Grundlage der Angaben ist eine Analyse von zwölf Mobilfunkmärkten, die das Marktforschungsunternehmen Tarifica im Auftrag des Digitalverbands Bitkom durchgeführt hat. Alle Vertragsdaten wurden im August 2020 erfasst. Alle Informationen stammen von den Websites der ausgewählten Betreiber. Wenn ein Betreiber einen speziellen Diensttyp nicht anbietet, wurde er für das entsprechende Profil nicht einbezogen. Mehrwertsteuer und andere nationale Steuern sind in den in diesem Bericht verwendeten Preisen enthalten. Regionale und lokale Steuern sind aus diesen Preisen ausgenommen. Aktionspreise wurden für die Profilkosten nicht berücksichtigt. Nicht-klassische Angebote oder -Verträge (d. h. Angebote und Verträge, die verhandelt und nicht beworben werden) wurden in dieser Studie nicht berücksichtigt. Autor: www.Bitkom.org

( GFD 11/2020 ) Das New Normal erfordert von Unternehmen auch in der Cybersecurity, bisherige Konzepte, Strukturen und Prozesse zu überdenken und neue Lösungen zu finden. Die Experten von TÜV SÜD Sec-IT nennen wichtige Trends und Entwicklungen, auf die Unternehmen und deren IT-Sicherheitsabteilungen im kommenden Jahr achten sollten.

"Das New Normal verlangt von Unternehmen einen Anpassungsprozess", erklärt Stefan Vollmer, Chief Technology Officer (CTO), TÜV SÜD Sec-IT. "Auch künftig werden großen Teile der Belegschaft mobil arbeiten. Remote-Zugriffe auf Unternehmensdaten und Anwendungen in der Cloud nehmen weiter zu. Die Konzepte für Zugangsmanagement, der daraus resultierende Aufwand im Datenschutz, sowie natürlich auch die IT-Sicherheit beim Arbeiten im Homeoffice müssen daran angepasst werden." Vor dem Hintergrund dieser Entwicklung sehen die Experten von TÜV SÜD Sec-IT folgende Cybersecurity-Trends für das Jahr 2021:

1. Fachkräftemangel: Automatisierung kann helfen

Bereits vor der Pandemie herrschte ein Fachkräftemangel in der IT-Security, die Cybersecurity Workforce Studie der (ISC)2 von 2019 geht von einem Bedarf von vier Millionen Fachleuten weltweit aus. Darum müssen sich Unternehmen zunehmend nach automatisierten Lösungen umsehen, die es erlauben, das vorhandene Personal zu entlasten und die Ressourcen besser auf den Schutz vor neuen Bedrohungen und die Entwicklung neuer Strategien zu verteilen, während kleinere Aufgaben selbstständig vom System erledigt werden.

2. Lieferketten besser absichern

Lockdowns und neue Regularien haben besonders Zulieferer dazu genötigt, neue Wege zu gehen und bisherige Prozesse umzustrukturieren. Produzierende Gewerbe werden von den Umständen gefordert, mehr und mehr Prozesse teilweise oder komplett zu digitalisieren. Ein wichtiger Faktor wird dabei das intelligente Vernetzen und Fernsteuern mehrerer Geräte über das Internet-der-Dinge (IoT). Um solche IoT-Geräte vor externen Angriffen zu schützen, muss die Entwicklung und die Absicherung standardisiert werden und objektiv prüf- und zertifizierbar sein.

3. Cloud Security wird wichtiger

Um Fernzugriffe und mobiles Arbeiten zu vereinfachen, verlegen viele Unternehmen Anwendungen und Services in die Cloud. Dadurch steigt auch der Schutzbedarf der Plattformen. Ein Weg, um den Umzug in die Cloud sicherer zu gestalten, ist eine vorherige Analyse und Beratung durch unabhängige Experten. Im Anschluss ist es allerdings imperativ, die Sicherheit der Cloud-Lösungen durch regelmäßige und umfangreiche Penetrationstests auf eventuelle Lücken zu überprüfen.

4. Automatisiertes Phishing

Quantität ist besser als Qualität - diesen Slogan schreiben sich Cyberkriminelle nach wie vor auf die Fahne. Entsprechend ist eine der größten Gefahren für Unternehmen weiter das breite Netz, das Cyberkriminelle mit Phishing per Mail oder über soziale Medien auswerfen. Mitarbeiter müssen durch gezielte Security Awareness Trainings auf diese Gefahren und die Tricks der Betrüger aufmerksam gemacht werden und lernen, wie mit diesen Bedrohungen umzugehen ist. Inwieweit Automatisierung auch für die Verteidiger sinnvoll ist, zeigt nicht zuletzt ein Report von Cofense von 2019.

5. Datenschutz bleibt wichtig

Durch den erhöhten Grad an Digitalisierung werden auch kleine und mittlere Unternehmen mit immer größeren Aufgaben rund um den Schutz der gesammelten und gespeicherten Daten konfrontiert. Entsprechend ist es nicht nur notwendig, diese Daten bestmöglich zu sichern, sondern auch die wichtigsten Anforderungen zum Datenschutz durch die EU-DSGVO zu kennen. Hierbei kann oftmals eine externe Beratung oder, bei größeren Unternehmen, auch die Auslagerung der Verantwortung an einen extern benannten Datenschutzbeauftragten helfen.

6. Standards sind Basis für Sicherheit

Seit Juni 2019 ist die europäische Verordnung "EU-Cybersecurity Act" in Kraft. Sie bietet das Rahmenwerk für die EU-weite IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen. Geräte müssten dann bereits während der Konzeption und Produktion einheitliche Sicherheitsanforderungen erfüllen ("Security by Design" und "Security by Default"). Einheitliche Standards auf dieser Basis ermöglichen eine Überprüfung durch unabhängige, neutrale Dritte. Autor: www.tuvsud.com

(GFD 10/2020) Die Unternehmen der deutschen Wirtschaft haben ihre Internetseiten im Jahr 2020 deutlich ausgebaut und setzen zunehmend auf Interaktion. Statt dort lediglich Informationen über die eigenen Produkte oder Dienstleistungen zu geben, hat ein Großteil in den Austausch mit Kunden investiert: So nehmen 81 Prozent Beschwerden über ihre Webseiten entgegen, um sie digital weiterzubearbeiten. 68 Prozent waren es 2018 und 65 Prozent 2016. Ein ebenso starkes Wachstum gibt es bei der digitalen Suche nach neuen Mitarbeitern: 80 Prozent schreiben offene Stellen auf der eigenen Website aus bzw. nehmen Online-Bewerbungen entgegen – ein deutliches Plus gegenüber 2018 (67 Prozent) und 2016 (65 Prozent). Insgesamt geben alle befragten Unternehmen (100 Prozent) an, eine eigene Onlinepräsenz zu haben. Das sind die Ergebnisse einer repräsentativen Befragung unter 1.104 Unternehmen aller Branchen ab 20 Mitarbeitern in Deutschland, die im Auftrag des Digitalverbands Bitkom im Mai und Juni 2020 durchgeführt wurde. Demnach bieten auch drei Viertel der Unternehmen (75 Prozent) die Online-Bestellung von Produkten oder Dienstleistungen an (2018: 66 Prozent; 2016: 63 Prozent). „Die Unternehmen präsentieren sich im Netz viel umfassender als in den Jahren zuvor. Vor dem Hintergrund der Corona-Pandemie ist das auch dringend notwendig: Wo persönlicher Kontakt nicht möglich ist, müssen für Kunden und Geschäftspartner einfache, digitale Wege gefunden werden“, sagt Nils Britze, Bereichsleiter Digitale Geschäftsprozesse beim Bitkom.

Das größte Wachstum gab es 2020 bei passwortgeschützten Kundenportalen, die 69 Prozent der Unternehmen anbieten – ein Plus von mehr als 20 Prozentpunkten gegenüber 2018 (47 Prozent) und 2016 (45 Prozent). „In solchen Portalen können Unternehmen umfassende Services anbieten, welche Prozesse leichter sowie effizienter machen und damit die Kundenzufriedenheit steigern. Ebenso lassen sich neue Kommunikations- und Verkaufswege schaffen“, betont Britze. „Alle Unternehmen sollten sich spätestens jetzt Gedanken darüber machen, wie sie ihre Kunden noch besser im Netz erreichen können.“ Autor: www.bitkom.org

(GFD 10/2020) Im Pandemiejahr 2020 erschweren Datenschutzanforderungen vielen Unternehmen die Aufrechterhaltung ihres Betriebs. So greifen viele Unternehmen aus Datenschutzgründen nur eingeschränkt oder gar nicht auf digitale Anwendungen zur Zusammenarbeit im Homeoffice zurück. Zudem kämpft die große Mehrheit auch mehr als zwei Jahre nach Geltungsbeginn noch mit der Umsetzung der Datenschutz-Grundverordnung (DS-GVO). Das sind Ergebnisse einer repräsentativen Befragung unter mehr als 500 Unternehmen in Deutschland, die der Digitalverband Bitkom im Rahmen seiner Privacy Conference vorgestellt hat. Demnach hat nur jedes fünfte Unternehmen (20 Prozent) die DS-GVO vollständig umgesetzt und auch Prüfprozesse für die Weiterentwicklung etabliert. Mehr als ein Drittel (37 Prozent) hat die Regeln größtenteils umgesetzt, ähnlich viele (35 Prozent) teilweise. Und 6 Prozent haben gerade erst mit der Umsetzung begonnen. „Die immer noch niedrigen Umsetzungszahlen sind ernüchternd“, sagt Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung. „Die Datenschutz-Grundverordnung lässt sich nun einmal nicht wie ein Pflichtenheft abarbeiten. Im Gegenteil: Durch unklare Vorschriften und zusätzliche Anforderungen der Datenschutzbehörden ist aus der DS-GVO ein Fass ohne Boden geworden.“ Das bestätigen die befragten Unternehmen nahezu einhellig. 89 Prozent meinen: Die Datenschutz-Grundverordnung ist praktisch nicht vollständig umsetzbar.

Zusatzaufwand durch die DS-GVO steigt weiter an

Die größte Herausforderung ist dabei für drei Viertel der Unternehmen (74 Prozent) eine anhaltende Rechtsunsicherheit durch die Regeln der DS-GVO. Zwei von drei (68 Prozent) beklagen zu viele Änderungen oder Anpassungen bei der Auslegung. Sechs von zehn Unternehmen (59 Prozent) sehen als eines der größten Probleme die fehlenden Umsetzungshilfen durch Aufsichtsbehörden, fast die Hälfte (45 Prozent) nennt die uneinheitliche Auslegung der Regeln innerhalb der EU. Für ein Viertel (26 Prozent) ist fehlendes Fachpersonal eine der höchsten Hürden. Das wirkt sich für die große Mehrheit auch auf die eigenen Ressourcen aus. Mehr als ein Drittel der Unternehmen (36 Prozent) gibt an, dass sie seit Einführung der DS-GVO mehr Aufwand haben und dies künftig so bleiben wird. Für weitere 35 Prozent ist absehbar, dass die jetzt bereits gestiegenen Aufwände weiter zunehmen werden.

Innovative Projekte scheitern am Datenschutz

Zudem haben die Datenschutzregeln für viele Unternehmen dazu geführt, dass sie technologische Innovationen weniger oder gar nicht vorantreiben konnten. Bei mehr als jedem zweiten Unternehmen (56 Prozent) sind neue, innovative Projekte aufgrund der DS-GVO gescheitert –  entweder wegen direkter Vorgaben oder wegen Unklarheiten in der Auslegung der DS-GVO. Vier von zehn (41 Prozent) geben an, dass sie deswegen keine Datenpools aufbauen konnten, um etwa Daten mit Geschäftspartnern teilen zu können. Bei drei von zehn (31 Prozent) scheiterte dadurch der Einsatz neuer Technologien wie Big Data oder Künstliche Intelligenz, ein Viertel (24 Prozent) bestätigt dies für die Digitalisierung von Geschäftsprozessen. Jedes fünfte betroffene Unternehmen (20 Prozent) verzichtete DS-GVO-bedingt auf den Einsatz neuer Datenanalysen. „Persönliche Daten müssen geschützt werden, das ist unstrittig. Datenschutz darf aber nicht zur Innovationsbremse werden“, so Dehmel. „Wenn wir es ernst meinen mit dem Digitalstandort Europa, müssen Datenschutzregeln die datenbasierten Geschäftsmodelle flankieren anstatt sie auszuhebeln.“ Nahezu alle Unternehmen (92 Prozent) fordern Nachbesserungen bei der DS-GVO. So sollten laut den Befragten etwa die Informationspflichten praxisnäher gestaltet sein (91 Prozent), die Regeln verständlicher gemacht werden (85 Prozent) und die Beratung und Hilfe von den Datenschutzaufsichtsbehörden bei der Umsetzung verbessert werden (83 Prozent). Nur 3 Prozent meinen, dass die DS-GVO weiter verschärft werden sollte.

Mit Blick auf den eigenen Betrieb sieht die Mehrheit der Befragten die DS-GVO kritisch. Sieben von zehn (71 Prozent) sagen, dass sie ihre Geschäftsprozesse komplizierter macht. Und für 12 Prozent stellt die DS-GVO sogar eine Gefahr für das eigene Geschäft dar. Nur für jedes fünfte Unternehmen (20 Prozent) bringt sie hingegen Vorteile. Befragt nach ihrer allgemeinen Sicht auf die DS-GVO gibt es auch positive Stimmen. So sind sieben von zehn Unternehmen (69 Prozent) überzeugt, dass die DS-GVO weltweit Maßstäbe für den Umgang mit Personendaten setzt. Zwei Drittel (66 Prozent) glauben, die DS-GVO werde zu einheitlicheren Wettbewerbsbedingungen in der EU führen und sechs von zehn Unternehmen (62 Prozent) meinen, die DS-GVO sei insgesamt ein Wettbewerbsvorteil für europäische Unternehmen.

Datenschutzanforderungen als zusätzliche Belastung in der Krise

Während der Pandemie hadern viele Unternehmen außerdem damit, ihren Betrieb datenschutzkonform aufrechtzuhalten. Viele Hilfsmittel, die etwa das Arbeiten aus dem Homeoffice erleichtern, wurden aus Datenschutzgründen nur eingeschränkt oder gar nicht genutzt. Fast jedes vierte Unternehmen (23 Prozent) verzichtete aus Datenschutzgründen auf Kollaborationstools. Weitere 17 Prozent haben diese Anwendungen nur eingeschränkt genutzt. Cloud-Dienste wie z.B. Online-Speicher haben ein Viertel (26 Prozent) nicht vollumfänglich genutzt, 2 Prozent verzichteten deswegen komplett darauf. Bei jedem zehnten Unternehmen (10 Prozent) wurde der Einsatz von Videotelefonie eingeschränkt, 3 Prozent konnten geeignete Videokonferenzsysteme aufgrund von Datenschutzvorgaben nicht verwenden. Und 4 Prozent geben an, den Gebrauch von Messenger-Diensten im Unternehmen begrenzen zu müssen, um datenschutzkonform zu sein. „Viele Unternehmen stecken in einem Dilemma: Einerseits sind sie angewiesen auf Kommunikations- und Kollaborationstools, die die Zusammenarbeit auf Distanz ermöglichen und Dienstreisen ersetzen. Andererseits kritisieren deutsche Aufsichtsbehörden eben jene Tools als nicht datenschutzkonform“, so Dehmel.

Homeoffice-Leitlinien: ja, eigene Tracing-Apps: nein

Für die Arbeit aus dem Homeoffice haben gut vier von zehn Unternehmen (42 Prozent) Leitlinien erstellt, davon 20 Prozent schon vor dem Ausbruch der Pandemie. Weitere 37 Prozent planen oder diskutieren solche Leitlinien, für 6 Prozent ist dies kein Thema. Und 13 Prozent geben an, dass ihr Unternehmen grundsätzlich kein Homeoffice erlaubt. Unternehmenseigene Kontaktverfolgungs-Apps bei Covid19-Infektionen sind bei keinem der Befragten im Einsatz. Jedes fünfte Unternehmen ab 500 Mitarbeitern (22 Prozent) plant oder diskutiert aber eine eigene Tracing-App unabhängig von der offiziellen Corona-Warn-App der Bundesregierung. Insgesamt sind fast zwei Drittel (62 Prozent) der Meinung, dass mehr Möglichkeiten zur Datennutzung bei der Pandemiebekämpfung helfen würden. Dabei sagt jedes zehnte Unternehmen (10 Prozent), dass sie einige Corona-Maßnahmen aufgrund von Datenschutzbestimmungen nicht durchführen konnten. Vier von zehn der Befragten (40 Prozent) geben zudem an, dass es Deutschland mit dem Datenschutz übertreibt. Autor: www.bitkom.org

(GFD 07/2020) Deutsche Unternehmen sind besonders häufig im Visier krimineller Phishing-Angriffe. Dieses Risiko hat sich in der Corona-Pandemie nochmals verstärkt. Das zeigt der aktuelle Phishing-Report von Cofense. TÜV SÜD, ein führender neutraler Experte für Cyber-Sicherheit, Risk Awareness und Datenschutz, arbeitet als Partnerunternehmen mit Cofense bei der Phishing-Abwehr zusammen. Eine TÜV SÜD-Infografik zeigt, woran Phishing-E-Mails schnell erkennbar sind.

Seit Beginn der Corona-Pandemie und der damit verbundenen Zunahme von Fernzugriffen sowie deutlich höherem Online-Datenverkehr, ist besonders die Anzahl der Phishing-Versuche stark gewachsen. Diese Angriffsmethode erfreut sich allgemein großer Beliebtheit unter Hackern, umso mehr, weil das Arbeiten im Homeoffice oft schlechter gegen virtuelle Angriffe abgesichert ist als innerhalb eines Unternehmensnetzwerkes.

Aktuelle Zahlen aus dem Phishing-Report von Cofense für das erste Quartal 2020, zeigen, dass die Command-and-Control-Server krimineller Aktionen mit 4,78 Prozent am zweithäufigsten in Deutschland stehen. "Die tatsächliche Position einer Hacker-Gruppe kann sich zwar durchaus an einem anderen Ort befinden", erklärt Stefan Vollmer, CTO bei TÜV SÜD Sec-IT. "Die hohe Zahl der Command-and-Control-Server lässt jedoch ebenfalls auf ein großes Interesse an deutschen Firmen schließen. Denn: Ein deutscher Server, von dem die Malware-Attacken ausgehen, sitzt in einem vertrauenswürdigen Land, weswegen manche Spam-Regeln möglicherweise nicht greifen und die Postfächer der deutschen Unternehmen es gewohnt sind, von dieser Quelle E-Mails zu erhalten."

Außerdem, so Vollmer weiter, bieten deutsche Unternehmen schon allein deshalb grundsätzlich eine gute Angriffsfläche für Phishing Attacken, weil hierzulande einige Weltmarktführer zu Hause sind und dadurch viel Industrie und Know-how gebündelt vorhanden sind. "Kriminelle und erpresserische Angriffe werden dadurch umso lohnenswerter", erklärt Vollmer. "Außerdem können die Informationen eines kleinen oder mittelständischen und schlechter geschützten Weltmarktführers - sogenannter Hidden Champions - interessanter sein, als die eines gut abgeschirmten Großkonzerns."  Autor: www.tuvsud.com/phishingabwehr

(GFD 04/2020) 1234, passwort*, ASDFGHJ - sicher ist anders, denn solche Passwörter knackt selbst ein Smartphone in Sekundenschnelle, von einem einfachen "Botnet" aus zusammengeschalteten Standardcomputern oder gar von "Schurkenstaaten" betriebenen Supercomputern ganz zu schweigen. Entsprechend simpel gelingen auch Datendiebstähle, die in den allermeisten Fällen durch zu einfache Passwörter ermöglicht werden. Das betrifft nicht nur Privatpersonen und ihre Accounts: Um Lösegeld zu erpressen, werden auch Unternehmensystematischausspioniert. Der Berliner IT-Dienstleister Mahr EDV kennt die aktuelle Lage, klärt über mögliche Angriffsformen auf und bietet Expertenberatung zum Schutz von Daten und Accounts, was angesichts von Home-Office und überlasteten Datennetzen derzeit besonders akut ist.

Die Angriffsmethoden sind vielfältig: Am einfachsten lässt sich ein Passwort anhand des sogenannten Social Engineering knacken: Ganz simpel werden z.B. Namen, Geburtstage oder andere Daten aus dem Umfeld der betroffenen Person durchprobiert. Weiter gibt es die "Wörterbuchattacke", die zum einen auf allgemein bekannte Wörter und Namen wie die von Stars oder Fußballclubs, außerdem auf einfachste Buchstaben- und Zahlenkombinationen zurückgreift. Zu einem Milliardengeschäft ist der Brute-Force-Angriff geworden. Hierbei handelt es sich um das Ausprobieren von potenziellen Passwörtern anhand von Computerprogrammen, die alle möglichen Kombinationen von Ziffern und Buchstaben versuchen - und das aufgrund kontinuierlich wachsender Leistungsstärke in immer kürzerer Zeit. Ein aus sechs Kleinbuchstaben bestehendes Passwort beispielsweise knackt ein handelsüblicher Rechner in Sekunden, für ein achtstelliges alphanumerisches Kennwort ohne Sonderzeichen braucht er längst weniger als einen Tag. "Werden für das Knacken derartiger Passwörter Botnets, also Gruppen von illegal vernetzten Rechnern, eingesetzt, benötigen die Angreifer für die Dekodierung sogar weniger als fünf Minuten", warnt Fabian Mahr, Gründer von Mahr EDV mit über 20 Jahren Erfahrung im IT-Business. Selbst die Rechenleistungen von iPhones sind stark genug, um Accounts zu hacken - und das bereits seit mehreren Generationen: Schon ein iPhone 6s schaffte ein mehrstelliges Passwort aus Buchstaben und Zahlen in weniger als einer Woche, die Rechenleistung der neueren Modelle Xs, Xs Max und Xr ist sogar vergleichbar mit der von PC-Prozessoren. Hacker verfügen zudem durch die vielen Online-Einbrüche der letzten Jahre über die Zugangscodes von Millionen Kunden. Die erbeuteten Listen der gestohlenen Kennwörter zeigen nicht nur Muster in der allgemeinen Passwort-Gestaltung, auch ihre Kombination mit mehrsprachigen Wörterbüchern ermöglicht immer gezieltere Angriffe anhand wahrscheinlicher Ausdrücke.

Angesichts dieser Entwicklungen empfiehlt das mehrfach für seinen Kundenservice ausgezeichnete IT Systemhaus Mahr EDV verschiedene Maßnahmen und die Einhaltung bestimmter Regeln zur Absicherung von persönlichen Daten, Shopping-Accounts und digitalen Identitäten - und berücksichtigt dabei die differenzierte Angriffsmethodik von Hackern. Wichtig ist die komplexe Konstruktion des Passwortes, bei dem es infolge der aktuellen Entwicklungen schon lange nicht mehr nur auf die Länge, sondern u.a. auf die Verwendung verschiedener Zeichen möglichst ohne System ankommt. Konkret raten die Profis von Mahr EDV zu einer Zusammensetzung von mindestens zwei Groß- und mindestens zwei Kleinbuchstaben sowie mindestens zwei Ziffern und Sonderzeichen.

Gefährlich ist es hingegen, ein und dasselbe Zeichen mehrmals in einen Code zu integrieren, vor allem direkt hintereinander. Zudem sollten Nutzer sich nicht auf einem Passwort ausruhen, sondern für verschiedene Konten auch individuelle Passwörter verwenden. Passwort-Manager helfen, den Überblick zu behalten und sollten natürlich ganz besonders gut abgesichert werden.

Um auf Nummer sicher zu gehen, erhöhen zusätzlich gezielte Servereinstellungen den Schutz vor Angriffen, z. B. die automatische Sperrung eines Accounts nach mehreren Fehleingaben. Auch die regelmäßige Veränderung von Zugangscodes empfiehlt Mahr EDV ausdrücklich. Damit grenzt sich der IT-Spezialist von den im Oktober 2019 geänderten Regeln des Bundesamts für Sicherheit von Informationstechnik (BSI) ab, die sich seitdem gegen einen regelmäßigen Passwort-Wechsel aussprechen und auf sicher gestaltete Zugangscodes setzen. Pascal Kube, Geschäftsführer von Mahr EDV, sieht dagegen im routinemäßigen Wechsel von Benutzerkennwörtern eine sinnvolle und notwendige Schutzmaßnahme gegen Angriffe - am besten mindestens einmal im Quartal. Die Beweggründe zur Umformulierung des IT-Grundschutz-Kompendiums des BSI sind ihm dabei durchaus bewusst, der neue Zugangscode sollte wirklich nichts mehr mit dem vorherigen gemeinsam haben: "Erneuerte Passwörter aus Bequemlichkeit auf Zetteln in PC-Nähe zu notieren oder das Kennwort einfach von "grüne Wiese01" auf "grüneWiese02" zu ändern, bringt aber nichts, eine derartige Systematik in der Gestaltung ist heutzutage viel zu leicht zu erkennen."

Autor: www.mahr-edv.de