Die digitale Gefahr: Wie sich Autohäuser gegen Cyberattacken wehren können

Ohne IT ist alles nichts – das merkt man spätestens dann, wenn sie nicht mehr zur Verfügung steht. Etwa, wenn Hacker die Computersysteme infiltriert und lahmgelegt haben. Umsatzstarke Branchen wie der Automobilhandel sind für Cyberkriminelle lukrative Ziele. Im Angriffsfall entsteht nicht nur monetärer Schaden, sondern auch Informationsabfluss, Reputationsverlust und ein Systemstillstand, der zur Unterbrechung der Arbeitsfähigkeit führt.

Kleine und mittlere Unternehmen sind überproportional häufig Opfer von Ransomware-Attacken, berichtet das BSI. Dabei dringen die Cyberkriminellen in die Unternehmens-IT ein, verschlüsseln sämtliche Daten – und fordern anschließend Lösegeld, um sie wieder freizugeben. Wenn man nicht zahlt, so die Drohung, werden die gestohlenen Daten im Darknet – dem unregulierten Teil des Internets – veröffentlicht.

Ist die Firmen-IT infiziert oder lahmgelegt, entstehen den Unternehmen hohe Kosten. Bis alles wieder hergestellt ist, kann es Wochen dauern.

Trotz der enormen wirtschaftlichen Risiken sind viele Unternehmen immer noch unzureichend auf Cyberattacken vorbereitet. So verfügt laut Bitkom nur gut jedes zweite Unternehmen hierzulande (54 Prozent) über einen Notfallplan mit schriftlich geregelten Abläufen und Ad-hoc-Maßnahmen für den Fall von Datendiebstahl, Spionage oder Sabotage.

Wichtig | Experten zufolge ist der Faktor Zeit bei der Abwehr eines Cyberangriffs entscheidend: Je länger die Kriminellen im Computersystem sind, desto mehr Zeit haben sie, sensible Daten zu beschaffen.

Nachholbedarf haben die Unternehmen auch bei der Sensibilisierung der Belegschaft: Nur 61 Prozent führen regelmäßige Schulungen zu Sicherheitsthemen durch. Weitere 13 Prozent planen, Schulungen anzubieten – aber jedes vierte Unternehmen (25 Prozent) will auch künftig darauf verzichten. Dabei sind die Mitarbeiter die erste Abwehrreihe gegen Cyberkriminelle.

Bestimmte Verhaltensweisen sind weit verbreitet, aber hochriskant – etwa die Nutzung von öffentlichen oder fremden WLAN-Netzwerken mit dem Diensthandy oder -laptop. Sicherer ist hier die Nutzung mobilen Internets bspw. über ein eingebautes Empfangsteil oder einen entsprechenden Stick.

Ein Sicherheitskonzept wird auch deshalb immer wichtiger, weil die regulatorischen Vorgaben schärfer werden. So erweitert die neue NIS-2-Richtlinie der Europäischen Union den Adressatenkreis besonderer Cybersicherheitsvorschriften. Autohäuser sind also gefordert, Maßnahmen zum Risikomanagement zu ergreifen und ihre IT-Compliance zu verbessern.

Und noch etwas – was oft verdrängt wird: Vorstände und Geschäftsführer stehen persönlich in der Haftung, wenn es durch einen ernsthaften Cyberangriff etwa zu einer Betriebsunterbrechung kommt, personenbezogene Daten entwendet werden oder schlimmstenfalls sogar Insolvenz angemeldet werden muss. Das gilt übrigens auch, wenn man auf IT-Dienstleister zurückgreift. Denn Vorstände einer AG haben nach § 91 Abs. 2 AktG und Geschäftsführer einer GmbH analog § 91 Abs. 2 AktG die Pflicht, ein Überwachungssystem einzurichten, mit dem sie Entwicklungen früh erkennen, die den Fortbestand der Gesellschaft gefährden. Darunter fällt für die Geschäftsleitung auch die Pflicht, ein effizienten IT-System einzurichten, um das Unternehmen vor Cyberangriffen zu schützen.

Auch D&O- und Cybercrime-Versicherungen schützen die Unternehmenslenker nur, wenn sie eine ausreichende Absicherung vor Hackerangriffen nachweisen können (Stichwort Obliegenheiten des Versicherungsnehmers).

Es ist nicht nur aufgrund der Vorgaben des Gesetzgebers und der Haftungsfragen sinnvoll: Es sollte im ureigenen Interesse jedes Autohauses liegen, die IT-Systeme und sensible Unternehmensdaten vor dem Zugriff durch Cyberkriminelle zu schützen – und die eigene Arbeitsfähigkeit aufrechtzuerhalten.