Mancher, der diese Zeilen liest, hat bereits am eigenen Leib erfahren, wie allgegenwärtig, kreativ und dreist Cyberkriminelle mittlerweile vorgehen. Solche Taten können schon für Privatmenschen schweren Schaden anrichten. Für Businesstreibende hingegen kann ein Hack, bei dem das Firmenkonto geräumt oder wichtige Geheimnisse gestohlen werden, völlig ruinös sein. Wer mit seinem MBA in der Tasche als Gründer seinen Weg gehen will, sollte deshalb einige Dinge tun.
1. Sehr ernst nehmen
Täglich werden Unternehmen in aller Welt attackiert. Dennoch herrscht bei vielen Führungskräften eine bedenkliche Attitüde vor. Sie zeugt meist davon, dass die Realitäten und Gefahren nicht korrekt wahrgenommen werden. Die Spanne reicht vom Verkennen der Zielauswahl heutiger Cyberkrimineller und endet beim Überschätzen der eigenen Sicherheit längst noch nicht.
Die Realität sieht indes so aus: Wer heute geschäftlich operiert, der hat in jedem Fall digitale Schnittstellen. Damit ist wirklich alles vorhanden, um für Cyberkriminelle interessant zu sein und obendrein angreifbar. Hinzu kommt, dass man Cybercrime noch in solches im engeren und im weiteren Sinn unterteilt – Angriffe müssen also nicht zwingend immer über das Internet ablaufen und Computersysteme aufs Korn nehmen. Und im Zweifelsfall gibt es mindestens einen Konkurrenten, der sich nicht scheut, Cybercrime as a Service zu buchen, um ein möglicherweise Kunden abwerbendes Startup aus dem Weg zu räumen, bevor es ihm wirklich gefährlich wird.
Das alles sollte ein Mindset erzeugen. Eines, wonach Cybercrime und -kriminelle
- sehr real,
- universell gefährlich,
- äußerst fähig,
- sehr zahlreich und
- nicht wählerisch
sind, was die Wahl der Mittel und Ziele anbelangt. Jedes Unternehmen ist gefährdet, jedes muss das Thema gleichermaßen ernst nehmen und reagieren.
stock.adobe.com © Dilok
2. KI nicht ignorieren
Jeder, der schon einmal ein von einer KI erstelltes Bild gesehen hat, wurde (vielleicht unwissentlich) Zeuge einer Tatsache: Künstliche Intelligenz ist in der Lage, absolut realistisch wirkende Dinge quasi aus dem Nichts zu erschaffen. Texte, Fotos, Tonaufnahmen, ganze Videos. Und nicht nur das: Künstliche Intelligenz ist ein unglaublicher Game Changer, wenn es darum geht, Muster selbst in gigantischsten Datensätzen zu erkennen und Wahrscheinlichkeiten zu errechnen. Ein Beispiel von vielen: 2023 bereitete PassGAN zahlreichen Experten echte Kopfschmerzen. Die KI zeigte, wie rasch sich mittlerweile Passwörter knacken lassen.
Doch es braucht nicht einmal solche Werkzeuge. Bereits auf deutlich niedrigeren Ebenen können KI täuschend persönlich geschriebene und klingende Texte formulieren und dadurch beispielsweise wie eine Führungskraft klingen, die eine Zahlung anweist. Ebenso können sie durch ihre rasante Datenverarbeitung und Mustererkennung Sicherheitslücken finden und ausnutzen, die selbst ausgesprochene Experten nicht auf dem Schirm hatten.
Das bedingt eine noch größere Awareness für Sicherheit und Angriffsvektoren, als es normalerweise der Fall ist. Tatsächlich müssen Gründer dazu sogar lernen, ihren eigenen Augen und Ohren nicht mehr bedingungslos zu trauen. Schlimmer noch: KI ist ein Force Multiplier. Sie gestattet Cyberangriffe auf einem Niveau, welches die eigenen Fähigkeiten nicht zulassen. Die Folgen:
- Insgesamt mehr Hacker und mehr Hacks
- Eine steigende Qualität der Angriffe
Ebenso sollten Gründer nicht ignorieren, wie wichtig KI ebenfalls ist, um mehr Cybersecurity herzustellen. Vielfach kann nur eine KI die Maschen einer anderen KI entlarven oder auffindbare Schwachstellen aufdecken, bevor die „Black Hat AI“ es tut. Gründer sollten auf künstlicher Intelligenz fußende Sicherheit deshalb weder ignorieren noch skeptisch sehen. Sie kann mitunter der einzige tragfähige Schutz überhaupt sein, wenn alle anderen Maßnahmen überwunden wurden.
3. Sicherheit zur Profiangelegenheit machen
Kaum ein Gründer erledigt sämtliche Bausteine seiner betrieblichen Steuerangelegenheiten allein, sondern beauftragt einen Steuerberater oder hat eigene Buchhaltungsspezialisten angestellt. Der Doppelgrund:
- Es ist ungleich ökonomischer, weil die Zeit-Kosten-Nutzen-Rechnung eine andere ist.
- Das Thema Steuern ist unglaublich komplex und es ist leicht, teure Fehler zu begehen.
Bei vielen Dienstleistungen sieht es ganz ähnlich aus. Anstatt noch mehr für das eigentliche Geschäft benötigte Zeit zu verlieren, sourcen Gründer Arbeiten, die nicht zu ihrem Kernthema gehören, entweder an Angestellte oder externe Dienstleister aus.
Bei der Cybersecurity sieht es leider oftmals anders aus. Entweder verlässt man sich auf das, was die eigenen Systeme versprechen, oder lädt die Arbeit einem generell mit der IT befassten Angestellten auf. Beides ist falsch. Cybersecurity ist nicht bloß ein eigenes Feld, das lediglich einige Schnittmengen mit dem allgemeinen IT-Thema hat. Es ist außerdem ein Fulltime-Job, der rund um die Uhr und an allen Tagen des Jahres dieselbe hohe Aufmerksamkeit und Reaktionsschnelligkeit benötigt.
Ein Angestellter, der nur zwischen acht und siebzehn Uhr arbeitet, kann nicht sekundenschnell morgens um eins auf eine DDoS-Attacke reagieren. Ein Dienstleister, der samstags nicht geöffnet hat, kann nicht rasch eine suspekt wirkende Mail überprüfen. Die Quintessenz solcher Tatsachen: Cybersicherheit gehört in die Hände von damit befassten Profis. Solche, die nicht nur dauerhaft am Ball bleiben, sondern den Gründer und sein Unternehmen immer wieder durchleuchten, schulen und mit der gebotenen Sekundenschnelligkeit reagieren können.
stock.adobe.com © everythingpossible
4. Jeden Versuch zur Anzeige bringen und zur Aufarbeitung nutzen
Wer aufmerksam die Medien konsumiert, wird immer wieder von sehr aufsehenerregenden Hacks lesen. Profis wissen zudem: Ein Vielfaches davon schafft es mangels Nachrichtenwert gar nicht in die Magazine dieser Welt. Tatsache ist, Tag für Tag werden allein in Deutschland aberhunderte erfolgreiche Cyberangriffe durchgeführt. 2022 wurden etwa elf Prozent aller deutschen Firmen gehackt – das entspricht, umgerechnet aus den offiziellen Daten, 374.000 Firmen aller Größen.
Wer daraus jedoch schließt, es habe exakt so viele Angriffe auf Unternehmen gegeben, der irrt. Denn im selben Jahr wurden ganze 58 Prozent davon attackiert. Das macht 1,97 Millionen Unternehmen. Bedeutet, eine ganz erhebliche Zahl aller Cybertaten bleiben im Versuch stecken, bevor sie zur erfolgreichen Ausführung kommen. Die Dunkelziffer dürfte noch deutlich größer sein, denn sie umfasst Tatversuche, die firmenseitig gar nicht erst bemerkt werden.
Doch was sollten MBAs hieraus mitnehmen? Vor allem eines: Jeder erkannte und vermutete Cyberangriff, ganz egal wie erfolgreich oder erfolglos, sollte bei der Polizei zur Anzeige gebracht werden. Jeder Hinweis kann ein Mosaikstein für die Kriminalisten sein. Außerdem ist jede Tat ebenso ein Hinweis darauf, was bei den bisherigen Sicherheitsbestrebungen gut läuft und wo es Nachholbedarf gibt. Nach dem Tatversuch ist vor dem Tatversuch. Alles sollte deshalb genutzt werden, um die eigene Abwehr zu stärken.
Nur eins sollten Gründer heute nicht tun: Den gesamten Themenkomplex Cybercrime und Cybersecurity auf eine irgendwie geartete leichte Schulter nehmen. Dafür ist definitiv keine Zeit mehr.
