Ein Montagmorgen im März. Die Mitarbeiter eines mittelständischen Unternehmens in Süddeutschland beginnen den Arbeitstag und starten ihre Rechner. Ein Mitarbeiter öffnet eine Datei, und es erscheint eine Fehlermeldung. Binnen Sekunden ist der Zugriff auf alle Unternehmensdaten verschlüsselt. Der Geschäftsführer und die IT-Mitarbeiter werden benachrichtigt, doch niemand kann auf Daten zugreifen. Ein Verschlüsselungstrojaner hat sich unbemerkt in das System eingeschleust und wurde durch das Öffnen der verseuchten Datei aktiviert. Ein Hacker hat nun die Kontrolle über alle Firmendaten. Prompt erscheint eine Lösegeldforderung auf dem Bildschirm. Das Unternehmen befindet sich in einer hochkritischen Situation: Gibt es kein Backup der Firmendaten, hat das Unternehmen kaum eine andere Wahl als das Lösegeld zu bezahlen, denn auch von IT-Spezialisten lässt sich der Trojaner nach Aktivierung nicht mehr entfernen. Selbst durch Zahlung des Lösegelds hat das betroffene Unternehmen keine Garantie, das versprochene Entschlüsselungspasswort zu erhalten.
Cyberangriffe wie dieser verursachen bei deutschen Unternehmen einen Schaden von über 223 Milliarden Euro pro Jahr.[1] Längst sind es nicht mehr nur große Unternehmen, die in die Schusslinie von Hackerangriffen geraten, denn die Unternehmensgröße ist nicht mehr das alleinige Kriterium für die Wahrscheinlichkeit eines Angriffs. Ausschlaggebend ist viel mehr die Unternehmensstruktur und das Tätigkeitsfeld. Bei kleinen und mittleren Unternehmen mit mehr als einem Standort oder Exporten steigt die Betroffenheitsrate deutlich an [2]. So waren bei der Bitkom Studie 2021 88% der Unternehmen mit 10-99 Mitarbeitern von Diebstahl, Industriespionage oder Sabotage betroffen [1]. Der aktuelle DsiN Praxisreport „Mittelstand IT-Sicherheit 2020“ betont die Aktualität des Themas und belegt, dass 46% der mittelständischen Unternehmen im Befragungszeitraum April 2019 bis April 2020 Opfer eines Cyberangriffs waren [2]. Die Dunkelziffer liegt wesentlich höher, da extrem viele Angriffe mit dem Ziel, Daten eines Unternehmens zu entführen, lange Zeit unbemerkt im Verborgenen stattfinden und in den seltensten Fällen sofort erkannt werden. Das bedeutet, dass sich mindestens die Hälfte der mittelständischen Unternehmen bereits aktiv mit Cyberangriffen beschäftigen und entsprechende Vorkehrungen treffen mussten. Maßnahmen zur Abwehr und Aufklärung eines Angriffs sowie zur Wiederherstellung manipulierter, verschlüsselter oder gelöschten Firmendaten verschlingen erhebliche finanzielle Mittel. Wie alltäglich Cyberangriffe geworden sind, zeigt sich im aktuellen Fall der Sicherheitslücke bei Microsoft Exchange Servern, in Folge derer E-Mail Server von deutschen Unternehmen und Behörden Opfer von Hacker-Angriffen geworden sind. Derzeit ist noch unklar, wie viele Server genau betroffen sind. Das Bundesministerium für Sicherheit und Informationstechnologie geht von mehreren zehntausend Servern aus (mehr dazu hier).
Trotzdem schätzen in einer Befragung des Kriminologischen Forschungsinstituts Hannover unter 5.000 Unternehmen 69% der Befragten das Risiko eines ungezielten Angriffs als gering ein. Die Wahrscheinlichkeit eines gezielten Angriffs halten sogar 93% für gering [3]
Die wachsende Gefahr von Cyberangriffen ist also bekannt, wird aber dennoch häufig unterschätzt. Woran liegt das? Viele Unternehmen vergessen, dass mit zunehmendem Digitalisierungsgrad die Angriffsfläche für Cyberattacken und Angreifern wächst. Mit ungesicherten Tools wird potentiellen Angreifern unwissentlich Tür und Tor geöffnet. Insbesondere während der Corona Pandemie wurden viele unzureichend gesicherte Homeoffice-Arbeitsplätze bzw. ungesicherte Verbindungen zum Unternehmensnetzwerk zur Verfügung gestellt. Egal wie kurzfristig Prozesse digitalisiert werden, für einen effektiven Schutz sollten sämtliche Maßnahmen von präventiven IT-Sicherheitsmaßnahmen und Mitarbeiterschulungen begleitet werden. Damit einher geht die klare Regelung der Verantwortlichkeit für IT-Themen im Unternehmen. Die Mehrheit der Befragten im DsiN Praxisreport sieht die Verantwortung für IT-Sicherheit bei der Geschäftsführung. Je kleiner das Unternehmen ist, desto eher liegt die Verantwortung bei der Geschäftsführung (bei jedem zweiten Kleinstunternehmen) oder gar bei den einzelnen Mitarbeitern selbst.[4] Was früher gut funktioniert hat, ist heute mit der Komplexität von Hardware- und Software zu einem gefährlichen Risiko geworden. Die Sachverhalte rund um IT-Security sind durch neue Technologien vielschichtig und kompliziert geworden. Ohne Zusatzausbildung oder Weiterbildung sind Prävention, Erkennung und Handlung für normale Mitarbeiter kaum möglich. Für die Integration und die laufende Kontrolle von Systemen, die präventiv vor Cyberangriffen schützen, sind spezialisierte Mitarbeiter oder die Unterstützung durch einen IT-Dienstleister zwingend notwendig.
Der Mensch als Risikofaktor
Mit spezialisiertem Personal und geeigneter Hard- und Software ist ein wichtiger Schritt getan. Doch auch wenn die Verwaltung der IT-Sicherheit in die Hände von Spezialisten gelegt wird, spielen die Mitarbeiter eines Unternehmens eine tragende Rolle. Denn: Der Mensch ist der größte Risikofaktor bei Cyberangriffen. Das liegt in erster Linie daran, dass ¾ der Angriffe auf Phishing und sonstige Schadsoftware zurückzuführen sind und diese durch menschliches Zutun (z.B. das Öffnen eines verseuchten E-Mail Anhangs) überhaupt erst ausgelöst werden [5]. Zudem ist gerade durch die stark gestiegene Nutzung der Homeoffices in der Pandemie eine weitere Quelle für Sicherheitslücken entstanden. Seltener, aber nicht minder bedrohlich sind Angriffe durch Spyware, manuelle Hackerangriffe oder CEO-Fraud. Ergänzen Unternehmen die eingesetzten IT-Security-Systeme mit regelmäßigen Schulungen der Mitarbeiter und der Integration von IT-Sicherheitsrichtlinien in die Unternehmenskultur können damit zumindest die weit verbreitetsten Angriffe verhindert werden.
Bewusstsein und Prävention
In Hinblick auf die stark steigende Tendenz von Cyberangriffen ist die wichtigste Botschaft, dass insbesondere kleine und mittelständische Unternehmen die Gefahr nicht unterschätzen dürfen. Mit präventiven Maßnahmen lässt sich das Risiko eines geschäftsschädigenden Angriffs effektiv senken. Hilfe erhalten Unternehmen, die ihre IT-Sicherheit ausbauen oder auf den Prüfstand stellen wollen, von externen Beratern oder IT-Dienstleistern, aber beispielsweise auch von der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie. Das Angebot richtet sich in erster Linie an kleine und mittlere Unternehmen. Interessierte finden dort ein breites Informationsangebot und Hilfestellungen zu den Kernthemen der IT-Sicherheit. Weitere Unterstützung bietet der Verein Deutschland sicher im Netz e.V. mit umfangreichen Informationsmaterialien sowie Lern- und Mitmachangebote für Verbraucher und kleine Unternehmen.
Quellen:
[1] Studie Bitkom e.V., 2021 und 2019; https://www.bitkom.org/sites/default/files/2021-08/bitkom-slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf
[3] [5] Cyberangriffe gegen Unternehmen in Deutschland, Kriminologisches Forschungsinstitut Hannover e.V., 2018/2019 https://www.pwc.de/de/cyber-security/cyberangriffe-gegen-unternehmen-in-deutschland.pdf
[2][4] Deutschland sicher im Netz e.V., DsiN Praxisreport Mittelstand 2020, 2020, https://www.sicher-im-netz.de/dsin-praxisreport-2020-mittelstand-it-sicherheit