Für viele Firmen, und insbesondere für kleine und mittelständische Unternehmen (KMU), ist ein Cyberangriff immer noch ein abstraktes Risiko. Na klar, jeder Chef lässt seine IT-Infrastruktur schützen, etwa durch Firewalls oder Antivirenprogramme. Aber der gezielte Angriff auf die eigenen IT-Systeme eines Unternehmens ist für viele immer noch Science Fiction. Oftmals begleitet von der Frage: Wieso ausgerechnet wir? Oder der Einschätzung: Wir sind doch viel zu klein und unbedeutend für Hackerangriffe.
Schlagzeilen wie aus der Frankfurter Allgemeinen Zeitung (FAZ) tragen zu beidem bei: „Hacker greifen T-Mobile an“ oder „EU macht Russland für ‚bösartige Cyberaktivitäten‘ verantwortlich“. Hier wächst die Erkenntnis, dass es Cyberkriminalität gibt. Aber auch die Verharmlosung, schließlich sind es ja oft die großen Konzerne, die zur Zielscheibe werden. Oder Behörden und Institutionen.
Geschäftliches Risiko durch Cybervorfälle wächst – gerade im Homeoffice
Dabei bergen Cybervorfälle das größte geschäftliche Risiko überhaupt für Unternehmen – so jedenfalls die Einschätzung eines großen Versicherungsunternehmens nach einer Umfrage unter CEOs und Führungskräften, Risikomanagern, Maklern und Versicherungsexperten. Bislang nahm das Thema „Betriebsunterbrechung“ jahrelang den Spitzenplatz ein. Und gerade auch in Corona-Zeiten steht dies bei der Risikovorsorge von Unternehmern ganz oben. Aber auch rechtliche Veränderungen im wirtschaftlichen Umfeld sowie die Folgen des Klimawandels rücken immer mehr auf die Agenda. Die starke Zunahme von Cyberattacken führt jedoch zu einer immer größeren Sensibilisierung der Verantwortlichen für dieses Thema.
Fest steht: Cyber-Kriminalität nimmt rasant zu. Bereits vor der Pandemie war die Zahl der Angriffe auf IT-Systeme in Unternehmen geradezu erschreckend: Laut der globalen Studie State of Ransomware 2020 waren mehr als die Hälft der Unternehmen in Deutschland bereits Opfer von Ransomware – also von Erpressungsversuchen mittels krimineller Software. Es ist davon auszugehen, dass in Zeiten von Homeoffice diese Zahl noch steigen wird. Denn professioneller IT-Schutz dürfte in privater Umgebung deutlich schwerer zu gewährleisten sein und erfordert einen höheren Aufwand. Weltweit kann also von einer deutlichen Zunahme erfolgreicher Cyberangriffe ausgegangen werden.
Was ist Cyber-Kriminalität?
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) als Cyber-Sicherheitsbehörde der Bundesrepublik erklärt in ihrem aktuellen Lagebericht: „Die IT-Sicherheitslage bleibt angespannt bis kritisch“. Allein in Deutschland beklagen 90 % der Unternehmen mehr Cyber-Attacken seit Covid-19.
Was genau aber ist eigentlich Cyber-Kriminalität? Zunächst einmal ist Cybercrime ein rasant wachsendes Geschäftsfeld. Wo früher Einbruch, Diebstahl und Raub als Delikte am realen Objekt mit oft hohem Risiko für die Täter durchgeführt wurden, sind kriminelle Handlungen im Internet vergleichsweise risikolos für Kriminelle. Umso höher kann der Schaden bei den Opfern liegen – im Durchschnitt bei 1,8 Millionen Euro bei einem erfolgreichen Hacker-Angriff auf ein Großunternehmen. Und bei immer noch durchschnittlich 70.000 Euro bei KMU.
Die Kriminalpolizei definiert als Computerkriminalität alle Sachverhalte, bei denen die elektronische Datenverarbeitung (EDV) als Tatmittel eingesetzt wird und/oder Tatobjekt ist. Computerkriminalität im engeren Sinn umfasst alle strafbaren Handlungen, die durch den Einsatz der EDV erst ermöglicht werden. Im § 202a des Strafgesetzbuches (StGB) heißt es: „Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
Cyberkriminelle versuchen, durch Nutzung von Informationstechnik und Zugriff auf Unternehmensdaten entweder illegal Geld zu verdienen oder Schaden anzurichten – oder beides. Mit guten IT-Sicherheitsvorkehrungen können sich Unternehmen gegen Bedrohungen und Schadsoftware aus dem Internet schützen. Dies hängt auch von der Art des Angriffs ab.
Mit diesen Cyberangriffen müssen Unternehmen rechnen
Besonders E-Mails und E-Mail-Anhänge sind hervorragende Einfallstore für Hacker und schädliche Software. Damit dringen sie relativ problemlos in Firmennetze ein, wo sie ihr unheilvolles Werk verrichten können. Je nach Effektivität der IT Security werden Daten auf Servern verschlüsselt, gehackt, gestohlen. Natürlich verfügen heute fast alle IT-Netzwerke und sogar die meisten privaten PCs über Schutzprogramme oder Antivirensoftware wie Kaspersky, McAfee, Norton, den Microsoft Defender oder Avast, Avira und Sophos und wie sie alle heißen. Das allein ist jedoch keine Garantie, dass Angreifer nicht durchdringen. Schon gar nicht bei einem gezielten Hack.
Eine bekannte Spielart der E-Mail-Attacken ist das Phishing. Bei diesem Password-Fishing versucht ein Angreifer, über manipulierte E-Mails auf Rechner oder Netzwerke zuzugreifen. Gerade in letzter Zeit häufen sich wieder Phishing-Mails, die aussehen wie Nachrichten von Banken. Darin wird man aufgefordert, seine Zugangsdaten einzugeben – natürlich vorgeblich zum Zwecke der Verbesserung der IT-Sicherheit. Wer der Aufforderung nachkommt, hat schnell das Nachsehen. Auch Online-Shops und Webseiten mit Logins sind häufig Ziele dieser Form von Identitätsdiebstahl.
Wer dem Link in einer Phishing-Mail folgt, wird meist auf eine manipulierte Webseite geführt. Die dort eingegebenen Daten werden von den Datenfischern abgezogen und für eigene Zwecke missbraucht – zum Beispiel, um Konten zu plündern. Diese Seiten werden vom Aussehen (und auch den Texten) immer professioneller, sodass sie auf den ersten und zweiten Blick von den Original-Webseiten kaum zu unterscheiden sind. Weitere Varianten von Internet-Betrug sind unter den Schlagwörtern Scam, Spoofing oder Pharming bekannt.
Industriespionage, Sabotage und Erpressung: Datendiebstahl auf dem Vormarsch
Weiterhin versuchen Cyberkriminelle, über eingeschleuste Programme entweder Daten auszuspionieren oder unkenntlich zu machen. Getreu dem antiken Vorbild werden diese Programme Trojanisches Pferd oder nur kurz Trojaner genannt. Ihre Wirkung entfaltet sich meist, wenn die virtuellen Wachleute schlafen. In einer Statista-Umfrage zu Industriespionage gaben 21 % der Befragten an, dass ihr Unternehmen innerhalb der letzten zwei Jahre Opfer von Diebstahl sensibler Daten war.
Eine besonders perfide Form der Internet-Kriminalität ist der Einsatz von Ransomware. Dieser Erpressungstrojaner blockiert IT-Systeme oder verschlüsselt Daten. Nur gegen Bezahlung von Lösegeld (englisch: ransom) werden die Daten durch den Erpresser wieder freigeschaltet. Die Zahlung erfolgt meist in Kryptowährung wie Bitcoins. Die Polizei rät von diesen Lösegeldzahlungen eindringlich ab. In jedem Fall ist es wichtig, den befallenen PC sofort vom Netzwerk zu isolieren und die Art der Ransomware zu identifizieren, um sofort Gegenmaßnahmen einzuleiten.
Um Unternehmen gezielt zu schädigen, führen Hacker auch sogenannte Denial-of-Service-Attacken (DoS) durch. Durch gezielte Überlastung des Firmennetzes können dann bestimmte Dienste nicht mehr zur Verfügung gestellt werden. So werden Server durch eine hohe Anzahl an (automatisch generierten) Anfragen einfach blockiert. Diese Cyberattacken werden häufig von einer Vielzahl an Rechnern ausgeführt, sie kommen also aus unterschiedlichen, verteilten Quellen, weshalb dann von Distributed-Denial-of-Service-Attack (DDoS) die Rede ist. Auch bei einer weiteren Sonderform, der Distributed-Reflected-Denial-of-Service-Angriff (DRDoS), erfolgt die Cyberattacke aus unterschiedlichen und zahlreichen Quellen. Die Folgen für das attackierte Unternehmen sind in jedem Fall katastrophal. Im schlimmsten Fall ist die Website nicht mehr erreichbar, das Unternehmen verliert seine Sichtbarkeit und oft auch seine Kommunikation mit Kunden.
Das kann schwerwiegende und mitunter lebensbedrohliche Konsequenzen haben: In den USA mussten Rettungswagen mit Notfallpatienten umgeleitet werden, Krebsbehandlungen wurden verzögert, Krankenhauspersonal wurde beurlaubt und Notrufdienste waren unterbrochen.
IT-Sicherheit hat mit Kompetenz zu tun
Eigentlich sollten man davon ausgehen, dass Firmen besser geschützt sind als der private PC, wenn es um Computersicherheit geht. Nicht jedoch in Deutschland, zumindest nicht, wenn es nach der Einschätzung der User geht. Denn Menschen mit sehr großen IT-Sicherheitskompetenzen fühlen sich hier im privaten Umfeld sicherer als im beruflichen Bereich. Das zeigt eine repräsentative Umfrage von G DATA CyberDefense in Zusammenarbeit mit dem Magazin brand eins und Statista mit dem Titel „Cybersicherheit in Zahlen“.
Demnach haben 64,7 % der Befragten privat ein sehr gutes Schutzgefühl, im beruflichen Umfeld sind es jedoch lediglich 57,9 %. Das subjektive Sicherheitsgefühl hängt gleichzeitig auch stark von der eigenen IT-Kompetenz ab. Oder anders ausgedrückt: Der Mangel an IT-Kenntnis geht einher mit einem größeren Unsicherheitsgefühl. Demnach haben nur 35,5 % der Befragten im beruflichen Kontext ein sehr gutes Schutzgefühl. Im privaten Bereich sind es sogar nur 23,9 %. Das zeigt deutlich: Es kann nichts schaden, in das eigene IT-Wissen zu investieren. Das heißt aber auch, dass das Expertenwissen von Spezialisten weiterhin sehr gefragt ist, sei es beim Thema IT-Sicherheit, aber auch beim Cyber-Versicherungsschutz.
5 Tipps für mehr Cybersicherheit in KMU
Cyber-Schutz ist ein komplexes Thema, doch mit diesen fünf Tipps können bereits wichtige Weichen für die IT-Sicherheit gestellt werden:
1. IT-Kompetenz der Mitarbeiter schulen
Je mehr das Personal über die drohenden Gefahren weiß und die Einfallstore für Cyber-Kriminelle kennt, desto weniger ist die IT-Sicherheit dem Zufall überlassen. Vorausschauende Unternehmen sollten in die Kompetenz der Mitarbeiter investieren – gerade im Bereich Datensicherheit und Informationstechnologie.
2. IT-Rechte sorgfältig vergeben
Jeder Mitarbeiter sollte nur die für seine spezielle Tätigkeit erforderlichen Zugriffsrechte auf die IT haben. Das Least-Privilege-Prinzip (Prinzip der geringsten Privilegien, PoLP) hat sich hier als sehr praktikabel erwiesen. Es ist ein Konzept für Informationssicherheit, bei dem nur die für die jeweilige Tätigkeit mindestens erforderliche Zugriffsberechtigung gewährt wird.
3. IT-Systeme ausreichend schützen
Antivirus-Software und Anti-Malware-Schutz gehören heute zum Pflichtprogramm für jedes Unternehmen. Die Marktführer bieten gute und erschwingliche Lösungen. Auch der Datenschutz sollte heute immer mitgedacht werden.
4. Professionelle Backup-Lösungen installieren
Sicherungskopien von relevanten Daten sind ein Muss für jedes Unternehmen. Ob USB-Festplatte oder NAS-Server, die Möglichkeiten der Datensicherung sind vielfältig. Aber auch die Wiederherstellung von Daten (Recovery) sollte Bestandteil eines umfassenden IT-Sicherheitskonzepts sein.
5. Die passende Cyber-Versicherung finden
Wenn alle Cyberschutz-Maßnahmen versagen, muss die Arbeitsfähigkeit des Betriebes garantiert oder schnellstens wiederhergestellt werden. Auch sollte finanzieller Schaden vom Unternehmen abgewendet werden.
Sinnvoller Cyberschutz: Cyberversicherungen müssen viel leisten können
„Ich halte Datenschutz für eines der wichtigsten Themen des 21. Jahrhundert überhaupt. Wir brauchen eine Bill of Rights für das Digitale”, forderte der Apple-CEO Tim Cook bereits 2018. Viel wichtiger wäre jedoch ein umfassender Schutz von Unternehmen vor der zunehmenden Gefahr durch Cyberangriffe, der aus zwei Komponenten besteht: einer verlässlichen und erschwinglichen IT Security mit Hardware- und Softwarelösungen, die diesen Namen auch verdient. Und ein Versicherungsschutz, der Unternehmen vor den Folgen von Cyberkriminalität schützt, wenn die IT Security dem Cyberangriff nicht standhält.
Wann lohnt sich Cyberschutz? Da die Bedingungen von Cyber-Versicherungen sehr unterschiedlich ausfallen, ist ein Vergleich sinnvoll. Unternehmer verlassen sich beispielsweise recht häufig darauf, dass Schäden durch einen IT-Systemausfall durch ihre bestehende Betriebsunterbrechungsversicherung abgedeckt sind. Das kann sich schnell als teure Fehleinschätzung erweisen.
Je nach Versicherer, Tarif und vereinbartem Umfang sind folgende Positionen durch eine Cyber-Police gedeckt:
- Kosten für IT-Forensik
- Rechtsberatung
- Informationskosten
- Kreditüberwachungsdienstleistungen
- Kosten für Krisenmanagement
- Kosten für PR-Beratung
- Betriebsunterbrechungsschäden
- Vertragsstrafen
- Lösegeldzahlungen
- Wiederherstellungskosten
- Sicherheitsverbesserungen
Die passende Cyber-Versicherung: Übersicht, Vergleich und Beratung
Eines ist klar: Vollständige IT-Sicherheit gibt es nicht. Schon gar nicht, wenn ein Unternehmen gezielt aus dem Internet angegriffen wird. Aber es gibt den richtigen Versicherungsschutz vor schwerwiegenden finanziellen Folgen einer Cyber-Attacke. Eine Übersicht und erste Entscheidungshilfen für die passende Cyber-Versicherung gibt es hier:
Für eine umfassende Beratung zu diesem Spezialthema Cyber-Schutz kann man sich auch gleich an die Spezialisten von AsBo24 wenden. Einfach einen unverbindlichen Beratungstermin auswählen.
