Junge Unternehmer:innen in einem Start-up
Security

Cyber-Sicherheit für junge Unternehmen: Sarah Elßer von Tech Well Told zeigt, worauf es ankommt

Das eigene Unternehmen ist gegründet. Die ersten Waren und Dienstleistungen sind am Markt erfolgreich. Aber sind das junge Unternehmen und seine Daten auch sicher gegen Cyberattacken? Moderatorin und Technikexpertin Sarah Elßer, Mitgründerin von Tech Well Told, erklärt, worauf kleine und mittelständische Unternehmen bei der Datensicherheit achten sollten. Begleiten Sie Sarah Elßer auf ihrer Cyber-Security-Journey.

Kleine und mittelständische Unternehmen (KMU) sind das Rückgrat der deutschen Wirtschaft. Gut 99 Prozent der 2,6 Millionen bundesdeutschen Firmen sind KMU. Sie schaffen rund 56 Prozent aller Arbeitsplätze und erarbeiten ein Drittel aller Umsätze. Das zeigen Zahlen des Statistischen Bundesamtes.  

Genau wie Großunternehmen können auch KMU Opfer von Cyberattacken werden. Schlimmer noch: Gerade junge Unternehmen sind besonders verwundbar. Denn für sie kann jeder erfolgreiche Hackerangriff das finanzielle Aus bedeuten. Ihnen fehlen schlicht die Rücklagen für die Schadensbeseitigung und einen temporären Ausfall des Geschäftsbetriebes.

KMU und junge Unternehmen brauchen daher einen ganz besonderen Cyberschutz. Die „Betrifft mich nicht“-Einstellung wird nach Erhebungen des Spezialversicherers Hiscox jedes Jahr rund 46 Prozent aller deutschen Unternehmen zum Verhängnis. Sie werden Opfer gefährlicher und teurer Hackerangriffe – ein internationaler Spitzenwert.

Inhaltsverzeichnis

Cyberwissen für junge Unternehmen mit Sarah Elßer von Tech Well Told

Sarah Elßer ist Mitgründerin des jungen Unternehmens Tech Well Told. Als Moderatorin und Tech-Expertin erklärt sie Technik als „Nerd Dolmetscherin“ besonders einfach. Als Unternehmerin muss sie sich auch intensiv mit dem Thema Cyber-Sicherheit beschäftigen. Elßer weiß daher, wie wichtig Cyber-Security für junge Unternehmen ist und hat sich auf eine spannende Cyber-Security-Journey begeben. Auf dieser Reise durch alle Security-Themen zeigt sie gemeinsam mit Vodafone und tatkräftiger Unterstützung von Accenture worauf kleine und mittelständische Firmen achten sollten.
Begleiten Sie Sarah Elßer auf ihrer Reise und finden Sie auf jeder Etappe heraus, wie auch Sie Ihr junges Unternehmen ein ganzes Stück weit sicherer gegen Hackerattacken machen.
Alle Fenster und Türen im eigenen Unternehmen für Hackergruppen geöffnet? Sarah Elßer zeigt Ihnen, worauf Sie achten sollten.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Diese Angriffstypen gibt es: Hackerangriffe auf Unternehmen

In diesem Abschnitt erfahren Sie mehr zu den einzelnen Angriffstypen, denen sich junge Teams häufig ausgesetzt sehen. Einige Beispiele:
Social Engineering: Bei diesem Angriffstyp spielt der Faktor Mensch die entscheidende Rolle. Hacker:innen sprechen Ihre Mitarbeiter:innen persönlich an oder nehmen über das Telefon Kontakt auf. Sie geben sich dabei als IT-Techniker: innen, Bankmitarbeiter:innen oder Behördenvertreter:innen aus.
Ransomware: Angreifer schleusen Erpressersoftware in Ihre Systeme ein. Die verschlüsselt Ihre Daten und fordert ein Lösegeld für das Entschlüsselungspasswort.
Identitätsdiebstahl: Hacker:innen stehlen persönliche Passwörter oder übernehmen Firmenaccounts, um gegenüber Dritten Ihre Identität anzunehmen. Die Angreifer:innen senden Ihnen E-Mails, die Sie auf täuschend echte Anmeldeseiten für Ihren E-Mail-Account, Ihr Amazon-Firmenkonto oder Ihren firmeneigenen YouTube-Kanal umleiten. Formen des Identitätsdiebstahls sind das Session-Hijacking und Man-in-the-Middle-Angriffe, die wir an anderer Stelle im V-Hub beschreiben.
Industriespionage: Wenn Hacker:innen ganz gezielt über längere Zeit Ihr Unternehmen attackieren und dabei gleich über mehrere Kanäle versuchen, an Ihre Passwörter zu gelangen, liegt der Verdacht nahe, dass es ein Wettbewerber auf sie abgesehen hat.
Malware: Nicht immer richten sich Cyberattacken gezielt gegen Ihr Unternehmen. Manche Angreifer:innen versenden Schadsoftware (Malware) mit darin versteckten Trojanern automatisiert an Millionen Empfänger:innen gleichzeitig.

Hintergrund Cyber-Security: Mitarbeitende im Visier von Kriminellen

Weltweite Hackergruppen sind inzwischen organisiert wie große Firmen in der legalen Wirtschaft. Mit Manager:innen, Netzwerkspezialist:innen und einer Forschungsabteilung, die immer die neusten Lücken in aktueller Software findet. Sie entwickeln komplexe Schadprogramme, setzen sie selbst ein oder verkaufen und vermieten sie an andere Hacker:innen. Zum Beispiel als RaaS (Ransomware-as-a-Service).
Im Median kostet ein solcher Angriff das betroffene Unternehmen rund 18.000 Euro – gerade für junge Firmen kann dies schnell das wirtschaftliche Aus bedeuten. Hinzu kommen der Reputationsverlust sowie der Verlust der eigenen Daten und der von Kund:innen.
Elßer mahnt: „Wenn Hacker:innen in Unternehmen eindringen, kann das die Arbeit von Jahrzehnten zerstören.“ Auch Mitarbeiter:innen von Sarah Elßer waren privat schon Opfer von Cyberkriminalität. Ihr Unternehmen selbst hingegen noch nicht.
Damit dies auch in Zukunft so bleibt, verfolgen die Expert:innen von Accenture und Vodafone einen holistischen Ansatz auf der Cyber-Security-Reise von Tech Well Told, der auch für andere Unternehmen gilt. Ein sicheres Unternehmen muss den Blick auf Datensicherheit in drei Dimensionen haben:
Mensch: Alle Mitarbeiter:innen müssen regelmäßig geschult werden, damit sie und das Unternehmen beispielsweise auch gegen Attacken per Social Engineering gut geschützt sind. Wie Unternehmen hier handeln können, haben wir in dem Artikel „Social Engineering – Angriffe auf die Schwachstelle Mensch“ zusammengestellt.
Technik: Die gesamte Digitaltechnik im Unternehmen muss neuesten Sicherheitsstandards entsprechen. Auch private Endgeräte, die beruflich genutzt werden, müssen dabei einbezogen werden. Was Unternehmen dabei beachten sollten, lesen Sie in dem Artikel „Was ist BYOD („Bring Your Own Device”)?“.
Prozesse: In allen Prozessen müssen die Mitarbeiter:innen Datensicherheit lückenlos mitdenken. Beispielsweise dürfen sie Geschäftsdaten und insbesondere persönliche Daten grundsätzlich nur verschlüsselt speichern und ungesicherte Endgeräte nicht unbeaufsichtigt lassen.
Um Einfallstore, zum Beispiel durch Unachtsamkeit von Mitarbeiter:innen, schnell aufzuspüren und Lücken zu schließen, ist im ersten Schritt ein Schwachstellentest sinnvoll. Ein solcher Test kann bereits viele Sicherheitslücken aufdecken. Hat das Unternehmen diese Lücken geschlossen, folgt ein ausführlicher Pentest, der auch überprüft, ob die Behebung der bereits bekannten Lücken erfolgreich war und auch die Mitarbeiter:innen für das Thema Cyber-Sicherheit nun sensibilisiert sind. Wie ein Pentest durchgeführt wird und was er aufdeckt, lesen Sie an anderer Stelle hier im V-Hub.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Wie Cyberkriminelle Schwachstellen gezielt finden und dabei Feiertage ausnutzen

Auf dem OMR-Festival 2023 interviewt Sarah Elßer IT-Expert:innen zu den neuesten Entwicklungen bei der Cyberkriminalität. Ulrich Irnich, CIO bei Vodafone Deutschland liefert wichtige Insights zu konkreten Attacken.
Er warnt, dass es allein im letzten Jahr in Deutschland rund 15 Millionen meldepflichtige Cyberangriffe auf Unternehmen gab. Hinzu kommt eine große Dunkelziffer nicht erkannter oder nicht meldepflichtiger Attacken.
Die Professionalisierung durch Arbeitsteilung nehme bei Hacker:innen weiter zu, wodurch es nur eine Frage der Zeit sei, bis jedes Unternehmen von einem solchen Angriff betroffen sei. Erpressung mit Ransomware sei inzwischen ein sehr lukratives Geschäftsmodell geworden, weiß Irnich. Deshalb rät er, sich auf den Ernstfall rechtzeitig vorzubereiten und externe Hilfe nicht erst dann zu suchen, wenn eine Attacke bereits das Firmennetz befallen habe.
Von einem solchen Angriff auf das eigene Unternehmen berichtet Patric Spethmann, COO von Marc O’Polo. Ein Mitarbeiter des Bekleidungsherstellers hatte mit seinem Notebook im freien WLAN des Münchner Flughafens die Webseite eines deutschen Unternehmens besucht, die zuvor gehackt worden war. Dort sei er dazu aufgefordert worden, seinen Internetbrowser zu aktualisieren und hierfür eine Update-Datei herunterzuladen, bei der es sich tatsächlich um eine Ransomware handelte.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Tipps für die ersten Schritte zu mehr Cyber-Sicherheit

Sarah Elßer warnt, dass jedes Unternehmen – egal wie groß oder klein es ist, von Cyberattacken betroffen sein kann. Aus der Zusammenarbeit mit Vodafone und Accenture nimmt sie in einem ersten Schritt diese Tipps mit:
  • Das Wahrnehmen von möglichen Cybergefahren ist extrem wichtig für Firmen. Erst diese Erkenntnis macht Unternehmen ausreichend sensibel und handlungsfähig.
  • Die individuelle Awareness der Mitarbeiter:innen ist entscheidend für dauerhaften Schutz. Denn der Mensch ist das wichtigste Einfallstor für Cyberattacken.
  • Die Technik sollte regelmäßig überprüft werden. Firewall und Antivirenprogramme, aber auch alle anderen in der Firma genutzten Programme müssen immer auf dem neuesten Stand sein.
  • Schwachstellen sollten aktiv erkannt und behoben werden
  • Externe Fachkompetenz von Securityexpert:innen liefert den wichtigen Blick von außen auf die eigene Sicherheit und schützt so das Unternehmen vor Gefahren, die sich vielleicht schon länger und unbemerkt eingeschlichen haben. Regelmäßige Pentests sichern die Erkenntnisse ab.
Im Video berichtet Sarah Elßer von ihren Erfahrungen aus dem Workshop mit Accenture und Vodafone.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Die eigene Belegschaft angreifen

Ein wichtiges Einfallstor für Cyberkriminelle sind E-Mails an die Mitarbeiter:innen von Unternehmen. Accenture warnt: „Wenn Unternehmen gehackt werden, dann passiert das oft mit Hilfe der Mitarbeiter:innen – ohne, dass sie es merken. Social Engineering ist für 98 Prozent aller Hackerangriffe der Ausgangspunkt.“
Daher versenden Datenschutzexpert:innen bei ihren Pentests regelmäßig fingierte E-Mails an alle Mitarbeiter:innen des Unternehmens, das sie gerade überprüfen. Über darin versteckte Inhalte checkt dann das Prüfteam, wie viele Personen die E-Mails geöffnet und der darin enthaltenen Anweisung gefolgt sind, beispielsweise zur Übermittlung des eigenen Netzwerkpassworts.
Bereits durch eine einzige geöffnete E-Mail können Mitarbeiter:innen das gesamte Firmennetz gefährden und Türen für Spyware oder Ransomware öffnen, die dann mitunter jahrelang unerkannt im internen Netz verbleibt.
Accenture schlägt daher im Geschäftsverkehr nachfolgende Checkliste für mehr Cyber-Security bei E-Mails vor. Erscheint auch nur einer dieser Punkte verdächtig, sollte eine E-Mail nicht geöffnet werden.
Absender:in prüfen: Sind die Absender:innen von E-Mails bekannt und die angezeigten E-Mailadressen plausibel?
„Call to action“: Wird in einer E-Mail zu einer ungewöhnlichen und potenziell gefährlichen Aktion aufgefordert, zum Beispiel zum Verifizieren des persönlichen Netzwerkpassworts auf einer Webseite? Wird bei Nichtbefolgen mit schweren Konsequenzen gedroht (sofortige Sperrung des eigenen Kontos, Abbuchung eines hohen Rechnungsbetrages)?
Links prüfen: Enthält eine E-Mail verdächtige Links zu unbekannten Seiten oder werden Links durch Verwendung sogenannter URL-Shortener unkenntlich gemacht?
Formulierungen: Werden ungewöhnliche oder schlecht aus anderen Sprachen übersetzte Formulierungen verwendet, die in der Geschäftswelt nicht üblich sind?
Daneben hat Accenture noch weitere Tipps für Mitarbeiter:innen, die häufig mobil arbeiten – zum Beispiel E-Mails lesen oder aus der Ferne auf ihr Firmennetz zugreifen:
  • Vorsicht bei fremden WLAN-Netzen. Diese sind ein potenzieller Angriffspunkt für Cyberattacken per Man-in-the-Middle.
  • Dienstliche E-Mailadressen und -konten nicht privat nutzen.
  • Sichere Passwörter verwenden, die auch per Brute-Force-Angriff nur schwer zu knacken sind.
  • Jedes Passwort nur einmal nutzen, um Attacken per Credential-Stuffing zu erschweren.
  • Systeme möglichst per Zwei-Faktor-Authentifizierung schützen.
Außerdem sollten Unternehmen bei der internen Rechtevergabe an Mitarbeiter:innen sparsam sein und möglichst nur gestaffelte Rechte für einzelne Bereiche oder Aufgaben vergeben. So können Hacker:innen mit gestohlenen Accounts nicht das gesamte Firmennetz angreifen.
Im Video berichten die Mitarbeiter:innen, wie leicht Beschäftigte Opfer von E-Mails mit Spyware oder Ransomware werden können.
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Cyber-Security – so reagieren Sie im Notfall richtig

Der Allianz-Versicherungskonzern hat für sein Risk-Barometer 2022 weltweit rund 2.500 Expert:innen befragt. Nach deren Einschätzung sind Cyberangriffe derzeit das größte Geschäftsrisiko für Unternehmen – noch vor Klimawandel und Fachkräftemangel. So soll laut Prognosen der weltweite Schaden durch Cybercrime bis 2025 auf jährlich über 10 Billionen Dollar ansteigen. Allein 2022 wurden neun von zehn Unternehmen ausspioniert. 
Sarah Elßer warnt, dass zwar viele Unternehmen für Schadensfälle eine Cyber-Security-Versicherung besitzen. Doch eine solche Versicherung zahlt nicht, wenn fahrlässig Sicherheitslücken für Hacker:innen gelassen wurden. Zudem wisse die Geschäftsführung in vielen Unternehmen nicht, wie sie im Fall einer konkreten Hackingattacke unter Zeitdruck handeln müsse. Elßer rät, die richtigen Abläufe für den Schadensfall daher regelmäßig zu proben – so wie auch für einen Brandfall immer wieder trainiert wird. 
Im Video erklären Sarah Elßer und Alex Pessler von Tech Well Told deshalb gemeinsam mit Experten von Vodafone und Accenture, welche Angriffstypen es gibt und wie eine „Data Breach Response“, also die schnelle Reaktion auf Cyberangriffe in kleinen und mittleren Unternehmen aussehen sollte. Auch die Digitale Rettungskette des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird vorgestellt. 
Empfohlener externer Inhalt
Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
Datenschutzerklärung

Die umfassende Checkliste: Cyber-Sicherheit kompakt

Mit dieser einfachen Checkliste prüfen Sie, wie gut Ihr Unternehmen gegen Angriffe gewappnet ist und wo Sie gegebenenfalls mit der Expertise von externen Expert:innen nachbessern sollten.
  • Haben Sie Ihr Unternehmen bereits mit einem grundlegenden Sicherheitscheck auf mögliche Lücken in Ihrer Cyberabwehr überprüft?
  • Führen Sie regelmäßige Pentests durch, die Ihre gesamte Technik, Ihre Prozesse und die Aufmerksamkeit Ihrer Mitarbeiter:innen berücksichtigen und Ihnen Hinweise zur Verbesserung liefern? Halten Ihre Systeme auch besonders aggressiven und gezielten Hackerattacken im APT-Umfeld (Advanced) stand? Wurde dies bereits getestet?
  • Gibt es ein umfassendes Datenschutzkonzept für Ihre Daten? Speichern Sie alle Ihre Geschäftsdaten verschlüsselt (beispielsweise in einer Cloud) und sichern Sie diese mehrfach gegen unerlaubten Zugriff? Wie gehen Sie mit persönlichen Daten von Kund:innen und Mitarbeiter:innen um, für die die Datenschutzgrundverordnung (DSGVO) besondere Vorgaben zum Datenschutz macht?
  • Haben Sie Ihre Lieferketten und Ihre Zusammenarbeit mit Ihren Kund:innen auf Sicherheitslücken geprüft? Tauschen Sie noch Daten über ungeschützte Kanäle mit Dritten aus oder verwenden Sie Software und Webinterfaces von Geschäftspartner:innen, die nicht auf Cybersicherheit geprüft sind?
  • Werden alle Ihre Mitarbeiter:innen regelmäßig, etwa in Form von Awareness-Workshops zu den neuesten Gefahren von Hackerattacken geschult?
  • Binden Sie alle BYOD-Geräte wie beispielsweise Notebooks im Homeoffice oder privat und beruflich genutzte Smartphones und Tablets sicher in Ihr Firmennetz ein? Verwenden Sie hierfür ein leistungsfähiges Unified-Endpoint-Management mit Benutzerfreigaben?
  • Was tun, wenn der Schadensfall eingetreten ist? Haben Sie ein Konzept für den Fall, dass Ihre Systeme mit Malware befallen oder Geschäftsdaten gestohlen wurden? Sind Ihre Systeme nach einem Schadensfall zeitnah aus Cloud-Backups wiederherstellbar?
Ein Mann steht mit einem Notebook in der Hand in einer Lagerhalle

AWS und Vodafone: Ideal für Open Source- und App-Entwicklung

Setzen Sie gemeinsam mit uns auf den Marktführer im IaaS (Infrastructure-as-a-Service)-Bereich. Inklusive performanter Cloud-Anbindung an das Vodafone-Netz und Services rund um die Workload-Migration.

Cyber-Security in der Übersicht

  • Auch junge Unternehmen können jederzeit Opfer von Hackerattacken werden. Solche Angriffe treffen nicht allein Großunternehmen.
  • Fast jede zweite deutsche Firma wurde im letzten Jahr Opfer eines Cyberangriffes. Die Schadenshöhe lag im Median bei rund 18.000 Euro.
  • Zusammenarbeit macht stark und sicher: Junge Unternehmen sollten sich mit ihren Geschäftspartner:innen auf gemeinsame Sicherheitsstandards einigen.
  • Aufmerksame Mitarbeiter:innen und sichere Technologien und Prozesse sind der beste Schutz gegen Angreifer:innen, insbesondere gegen Social Engineering.
  • Das Wissen über Cyberattacken sollte regelmäßig erneuert werden – beispielsweise in Awareness-Workshops.
  • Sahra Elßer hat auf ihrer Reise mit Vodafone und Accenture viele Tricks von Hacker:innen kennengelernt und rät daher jungen Firmen, sich von Profis regelmäßig unterstützen zu lassen, beispielsweise in Form von Security-Checks und Schulungen.
Das könnte Sie auch interessieren:
Unified Communication
Drei Frauen, die an einem Tisch hinter einem Fenster lachen.

Ein XING-Unternehmensprofil anlegen: Darauf sollten Sie achten

Um die Bekanntheit Ihres Unternehmens, Ihrer Produkte und Ihrer Dienstleistungen effizient zu steigern, führt in der Regel kein Weg an digitalen und sozialen Medien vorbei. Größter Vorteil eines Unternehmensprofils beim Business-Portal XING: Sie können Ihre jeweiligen Aktivitäten passgenau aussteuern – je nachden definierten Zielgruppen und dem zur Verfügung stehenden Budget. Über XING können Sie mit vergleichsweise wenig Aufwand eine beachtliche Reichweite für Ihr Unternehmen generieren. Hier stehen besonders die Themen Recruiting und Employer Branding im Fokus. Wie Sie ein kostenloses XING-Unternehmensprofil anlegen und was die kostenpflichtige Option zusätzlich bietet, erfahren Sie im Folgenden.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4512

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort