Vor welchen Cyberbedrohungen müssen sich Unternehmen 2024 schützen?

80 bis 90 Prozent aller Unternehmen sind laut Branchenverband Bitkom allein im Jahr 2023 Opfer einer Cyberattacke geworden. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht in seinem aktuellen Bericht zur Lage der IT-Sicherheit die gegenwärtige Bedrohungslage für deutsche Unternehmen kritisch. Das Risiko, von Cyberkriminellen angegriffen zu werden, war noch nie so hoch wie im Jahr 2023 und eine Entspannung ist nicht in Sicht. Im Gegenteil: Trends wie die zunehmende Digitalisierung, die Professionalisierung von Hackern, der verstärkte Einsatz von künstlicher Intelligenz und die angespannte weltpolitische Situation lassen eher vermuten, dass sich die Bedrohungslage auch 2024 weiter verschärfen wird. Wir zeigen Ihnen daher, welche Trends in der Cyberkriminalität 2024 auf die deutsche Wirtschaft zukommen können.

Zunehmende Angriffe auf kleine und mittelständische Unternehmen

Ein Trend, auf den das BSI bereits in seinem diesjährigen Lagebericht hingewiesen hat, ist die steigende Anzahl von Cyberangriffen auf Kleinst-, kleine und mittlere Unternehmen. Da die Cyberbedrohungslage bereits in den vergangenen Jahren angespannt bis kritisch war, haben die meisten Großunternehmen und Konzerne massiv in IT-Sicherheitsmaßnahmen investiert. Dies macht sie als Angriffsziel für Hacker weniger attraktiv. Viele kleine Unternehmen verfügen dagegen nicht über einen vollständigen Schutz, weil sie zum Beispiel die Gefahr eines Cyberangriffes unterschätzen. Gleichzeitig finden sie durch den Fachkräftemangel auch nicht ausreichend Fachleute, um einen ausreichenden Cyberschutz zu implementieren und aufrechtzuerhalten. Zwar lässt sich von Pflegedienstleistern, Kanzleien oder Hotels etc. weniger Lösegeld für ihre Daten erpressen als von internationalen Großkonzernen, aber auch Cyberkriminelle denken wirtschaftlich und handeln nach dem Kosten-Nutzen-Prinzip. Es ist daher davon auszugehen, dass sich dieser Trend 2024 weiter verstärken wird.

Cybercrime-as-a-Service – oder die Professionalisierung der Hacker

Apropos Wirtschaftlichkeit: Fachleute unter anderem vom BSI und dem Bundeskriminalamt sehen einen zunehmenden Grad der Professionalisierung unter Cyberkriminellen. Zum einen hat sich mittlerweile eine ganze Schattenwirtschaft gebildet, in der Hacker ihre Dienste zu teilweise sehr günstigen Einstiegspreisen verkaufen. Wer zum Beispiel einen Wettbewerber angreifen möchte, braucht daher nur noch wenig technisches Verständnis. Zum anderen spezialisieren sich immer mehr Hacker auf ihrem Gebiet. Beispielsweise ist eine Person darin firm, über Phishing-Mails Passwörter zu stehlen, und eine andere schreibt die Software, die mit diesen Zugängen Unternehmensdaten verschlüsselt. Beides zusammen führt dazu, dass Cyberangriffe nicht nur häufiger, sondern auch effizienter werden. Ein Ende dieser Entwicklung ist auch 2024 nicht in Sicht.

Mehr Digitalisierung führt zu mehr Schwachstellen

Die Digitalisierung von Unternehmen und Geschäftsprozessen macht das Arbeiten zwar einfacher, effizienter, nachhaltiger und beispielsweise auch vom Home-Office aus möglich, birgt aber auch IT-Risiken. Mehr Digitalisierung bedeutet in der Regel, dass mehr Softwareprodukte im Unternehmen eingesetzt werden und jedes einzelne birgt das Risiko, eine Schwachstelle zu enthalten, die von Cyberkriminellen ausgenutzt werden kann. Im Jahr 2023 wurden dem BSI durchschnittlich 68 neue Schwachstellen pro Tag gemeldet. Rund 15 Prozent davon galten als kritisch und können von Hackern ausgenutzt werden, um massiven Schaden im Unternehmen anzurichten. Die meisten dieser Schwachstellen können leicht durch ein Softwareupdate geschlossen werden. Die begrenzten personellen und finanziellen Ressourcen von KMU führen jedoch dazu, dass nur etwa jedes zweite Unternehmen regelmäßige Updates durchführt. Es gilt auch im Jahr 2024 ein gesundes Mittelmaß zwischen zunehmender Digitalisierung und IT-Sicherheit zu finden.

Phishing, Spam und Social Engineering

Ein weiteres Thema, das Unternehmen 2024 beschäftigen wird, ist die Schwachstelle in IT-Systemen, die nicht durch Technik geschlossen werden kann: der Mensch. Einmal unbedacht auf eine Phishing-Mail geklickt oder das Passwort auf einer gefälschten Webseite eingegeben, steht Cyberkriminellen schnell Tür und Tor offen. Die Situation ist mittlerweile so ernst, dass nach Berechnungen des BSI 2 von 3 Spam-Mails Betrugs- oder Erpressungsversuche sind. Klassischer Werbe-Spam mit uninteressanten Produkten macht einen immer geringeren Anteil aus. Erschwerend kommt hinzu, dass die Cyberkriminellen immer besser darin werden, E-Mails und Webseiten so zu gestalten, dass sie täuschend echt aussehen. Niemand würde mehr Geld an einen "nigerianischen Prinzen" überweisen, aber was, wenn die Mail scheinbar von der Chefin kommt und sogar nach dem langen Wochenende im Ferienhaus fragt? Oder was, wenn sich der Onlineshop optisch nicht vom Original zu unterscheiden ist, die bestellte Ware aber nie ankommen wird? Jahr für Jahr wird es schwieriger, dieses sogenannte Social Engineering zu durschauen.

Künstliche Intelligenz als IT-Sicherheitsrisiko

Viele der oben genannten Trends werden durch den Einsatz von künstlicher Intelligenz noch verstärkt. Zum einen kann sie von Cyberkriminellen genutzt werden, um zum Beispiel Phishing-Mails noch stärker zu personalisieren, indem Daten aus sozialen Medien abgegriffen werden. Zum anderen können KI-gestützte Programme beispielsweise Stimmen fälschen, so dass Anrufe wirklich klingen, als telefonierte man mit dem Chef. Darüber hinaus können Cyberkriminelle mithilfe von künstlicher Intelligenz ihre Angriffe automatisieren und so eine Vielzahl von Unternehmen gleichzeitig attackieren. Ein letzter Punkt, der in diesem Jahr noch nicht sehr relevant war, aber in 2024 an Bedeutung gewinnen wird, ist die Gefahr, die von Softwareprogrammen ausgeht, die von einer KI geschrieben wurden. Mithilfe von Programmen wie ChatGPT kann man auch ohne technische Vorkenntnisse eine Software oder eine App programmieren. Es ist durchaus denkbar, dass dies aus Kostengründen im Jahr 2024 an Popularität gewinnen wird. Das Problem bei diesen Programmen ist, dass niemand die Qualität überprüft und niemand die Garantie für etwaige Schwachstellen übernimmt. Fehler im Code, die weder von der KI noch von den technisch wenig versierten Anwendenden gefunden werden, können von Cyberkriminellen leicht ausgenutzt werden.

Gibt es auch positive Trends in der IT-Sicherheit?

Ein Blick auf die aktuellen Studien zeigt ein eher dramatisches Bild der IT-Sicherheit in Deutschland. Dennoch zeichnen sich zwei positive Trends ab: Erstens sind laut BSI und BKA die Fälle von Hardware-Diebstahl wie Laptops, Computer etc. rückläufig. Zweitens haben die meisten Unternehmen den Ernst der Lage erkannt. Viele sind bereit, in die IT-Sicherheit zu investieren und arbeiten an der Umsetzung konkreter Maßnahmen. Gleichzeitig steigt die Anzahl der sogenannten Managed Service Provider, die es kleinen und mittleren Unternehmen ermöglichen, ihre IT-Sicherheit oder Teile davon an ein zuverlässiges Partnerunternehmen auszulagern und so Zeit, Ressourcen und Kosten zu sparen.

Wie können sich Unternehmen auf das Jahr 2024 vorbereiten?

Um gut und sicher ins Jahr 2024 zu starten, empfehlen wir 3 Maßnahmen:

1. IT-Sicherheitscheck: Verschaffen Sie sich Klarheit über Ihren aktuellen Status. Welche Probleme in der IT-Sicherheit sind bekannt? Wo muss nachgebessert werden? In welchen Bereichen benötigen Sie professionelle Unterstützung?
2. Mitarbeiterschulungen: Schulen Sie Ihre Mitarbeitenden regelmäßig zu IT-Sicherheitsthemen wie Passwortsicherheit, Erkennen von Phishing-Versuchen, dem Umgang mit öffentlichen WLANs, Sicherheit im Home-Office etc.
3. Notfallplan: Erstellen Sie einen Plan, wie Ihr Unternehmen im Falle eines erfolgreichen Cyberangriffes weiterarbeiten kann. Erstellen Sie regelmäßig Back-Ups Ihrer Daten und halten Sie den Kontakt eines zuverlässigen IT-Partners bereit, der Sie unterstützen kann.

Wir als EWE unterstützen Sie bei allen Maßnahmen und bieten Ihnen eine Vielzahl von Managed Services, damit Sie sich ganz entspannt auf Ihr Kerngeschäft konzentrieren können!