Checkliste: So schützen Sie Ihr Unternehmen vor Cyberkriminalität

Die aus der zunehmenden Cyberkriminalität resultierenden Schäden stellen Unternehmen vermehrt vor große finanzielle und reputative Herausforderungen. Daneben sehen sich Unternehmen und ihre Führungskräfte auch mit zivil- und strafrechtlichen Haftungsansprüchen konfrontiert.

Fehlende oder unzureichende Compliance- und Sicherheitsmaßnahmen können zu Organhaftungen führen. Datenschutzverletzungen bergen das Risiko von Verwaltungsstrafen und Schadenersatzforderungen. 

Darüber hinaus schärft die NIS-2-Richtlinie die Anforderungen an IT-Sicherheit und Incident-Response erheblich. Präventionsmaßnahmen sind daher nicht nur wirtschaftlich geboten, sondern können auch exkulpierend wirken. GK_26_07_1

„Präventionsmaßnahmen zum Schutz vor Cyberkriminalität sind nicht nur wirtschaftlich geboten, sondern können auch exkulpierend wirken.“

CLAUDIA BREWI, LEUKOS RECHTSANWÄLTE

1. Allgemeine Präventionsmaßnahmen 

√ Mitarbeitersensibilisierung: laufende Information und Schulung zu aktuellen Cybercrime-Fällen sowie zum sicheren Umgang mit E-Mails, Passwörtern und verdächtigen Anfragen

√ Stärkung der IT-Infrastruktur: Einsatz moderner Sicherheitslösungen (Firewalls, Virenschutz, Spamfilter, Multi-Faktor-Authentifizierung, KI-gestützte Tools) sowie kontinuierliche Updates

√ Datensicherung und Backups: regelmäßige verschlüsselte Sicherungen mit geprüften Wiederherstellungstests

√ Incident-Response-Plan: festgelegte Notfallmaßnahmen mit klaren Zuständigkeiten und Kommunikationswegen unter Einbindung externer Berater

√ Business Continuity Management: Strategien, um wesentliche Geschäftsprozesse während und nach einem Angriff aufrechtzuerhalten

√ Krisenkommunikation: interne und externe Kommunikationslinien sowie Freigabemechanismen im Ernstfall

√ Risikoanalysen: kontinuierliche Bewertung und Kategorisierung von Risiken und technischen Schwachstellen zur Früherkennung GK_26_07_2

√ Compliance-System: Implementierung und laufende Anpassung interner Richtlinien (Betrugsprävention, NIS-2-Richtlinie, DSGVO, Passwort- und Gerätemanagement, Meldepflichten)

√ Penetration-Tests: regelmäßige Simulation von Angriffsszenarien, um die Reaktionsfähigkeit zu prüfen und identifizierte Schwachstellen zu beseitigen

2. Phishing-Prävention

Beim sogenannten Phishing versuchen Täter, betroffene Personen zur Preisgabe sensibler Personen-, Zugangs- oder Zahlungsdaten zu bewegen. Phishing-Attacken finden oft in Kombination mit Spoofing (Fälschung von Absender- und Rufnummerndaten) statt.

√ Einschränkung von Zugriffsdaten: Zugriff auf sensible Daten und Systeme auf „Need-to-know“-Basis 

√ klare Verhaltensrichtlinien: Überprüfung von E-Mails, Telefonnummern und Links auf Übereinstimmung mit dem bekannten Aufbau sowie Gegenprüfung mit bekannten Kontaktdaten GK_26_07_3

√ Phishing-Tests: Sensibilisierung für verdächtige Nachrichten und typische Angriffsmuster

√ Open-Source-Recherche: Abfrage von (Unternehmens-)Webseiten im Hinblick auf Phishing-Warnungen

3. Ransomware-Prävention

Bei einem Ransomware-Angriff verschaffen sich die Täter Zugang zu IT-Systemen, verschlüsseln Daten und fordern anschließend Lösegeld für deren Freigabe.

√ Zero-Trust-Prinzip: Jeder Zugriff muss authentifiziert und autorisiert werden.

√ Netzwerksicherheit: Überwachung, Erkennung und Blockade verdächtiger Aktivitäten GK_26_07_4

√ Meldesysteme: sofortige Meldung von Cyberangriffen, um Maßnahmen zu ergreifen GK_26_07_5

√ Segmentierung: Aufteilung der Netzwerke, um die Ausbreitung von Schadsoftware zu minimieren

4. Prävention von Online-Betrug

a) CEO-Fraud-Prävention

Bei einem CEO- oder Fake-President-Fraud geben sich Täter als Geschäftsführer oder leitende Angestellte aus und veranlassen Mitarbeitende zur Durchführung vermeintlich dringender Zahlungen oder zur Herausgabe sensibler Daten.

√ Sensibilisierung auf Deep Fakes: Achtsamkeit auf verwaschene Konturen, unnatürliche Mimik, monotone Stimme oder falsche Aussprache in Video- oder Sprachaufnahmen

√ Multi-Faktor-Authentifizierung: Einrichtung zumindest einer Zwei-Faktor-Authentifizierung bei Zahlungen   GK_26_07_6

√ Verifizierungsprozesse: zwingende Freigabe von Transaktionen ab einer bestimmten Höhe durch Rückruf oder schriftliche Bestätigung

√ Sicherheitsfragen: Prüfung der Identität und Legitimität des Gegenübers durch persönliche Rückfragen 

b) Verhinderung von Bestellbetrug

Die Täter eines Bestellbetrugs können auf Dienstleister- oder auf Kundenseite auftreten. Im ersten Fall bieten sie via Webseiten tatsächlich inexistente oder minderwertige Waren oder Dienstleistungen an. Im zweiten Fall bestellen sie Waren oder Dienstleistungen und leisten keine Zahlung.

√ Bonitäts- und Identitätsprüfung: Datenabgleich mit bekannten und öffentlichen Informationen bei aufrechten und neuen Geschäftsbeziehungen GK_26_07_7

√ Monitoring: regelmäßige Prüfung der eigenen Unternehmensdaten im Internet, um Missbrauch frühzeitig zu erkennen 

√ Sensibilisierung: Schulungen im Einkauf und in der Buchhaltung, um verdächtige Bestellungen und Rechnungen zu erkennen 

√ Datensammlung: Meldung und Dokumentation von Verdachtsfällen

c) Cybertrading-Fraud: Prävention & Schutz

Beim Cybertrading-Fraud werden gefälschte Handels- oder Investmentplattformen betrieben, die vermeintlich seriöse Finanzprodukte oder Kryptowerte anbieten. Nach ersten Einzahlungen werden Rückzahlungen verweigert, die Plattformen verschwinden oftmals abrupt.

√ KYC (= Know Your Customer) und Due Diligence: sorgfältige Überprüfung neuer Geschäftspartner und Investitionsmöglichkeiten

√ FMA-Zulassung: Kontrolle, ob Anbieter über eine Zulassung der Finanzmarktaufsicht oder einer anderen europäischen Finanzaufsicht verfügen

√ interne Richtlinien: festgelegte Prozesse und Genehmigungen für Investitionsentscheidungen

√ Risikobegrenzung: Limits für Investitionsbeträge und verpflichtendes Vier-Augen-Prinzip

Stark gekürzter und bearbeiteter Auszug des Fachbeitrags „Checkliste: Aktuelle Cybercrime-Phänomene und Präventionsmaßnahmen für Unternehmen“ aus der MANZ-Zeitschrift ecolex. Zusätzliche Details zu Bedrohungsszenarien sowie eine ergänzende Checkliste, wie der Schaden nach einer Cybercrime-Attacke minimiert wird, finden Sie im vollständigen Beitrag in Ausgabe 11/2025 der Fachzeitschrift für Wirtschaftsrecht.