Dein Unternehmen wird gehackt. Es ist nur eine Frage der Zeit. Das glaubst Du nicht? Die Zahlen sprechen für sich.
Mit der voranschreitenden Digitalisierung in allen Lebensbereichen sind auch mehr und mehr Unternehmen konfrontiert. Viele Arbeitsschritte werden von netzwerkgebundenen Systemen teilweise oder komplett übernommen. Es werden Kundendaten erfasst und gespeichert, Kommunikation und Abrechnungen realisiert oder auch einfach nur die Urlaubsplanung realisiert. Die Liste der Möglichkeiten ist lang und wird täglich länger. In der Digitalisierung stecken für viele Unternehmen ungeahnte Möglichkeiten.
Doch mit der Digitalisierung taucht eine große, und oftmals unterschätzte Gefahr auf: Cyberattacken. Das sind keine Einzelfälle mehr. Hierbei handelt es sich um ein globales Problem welches gerne ignorier, vergessen und übersehen wird. Für Unternehmen kann dies das Aus darstellen.
Was sind Cyberattacken?
Cyberattacken sind Angriffe auf die Systeme von Unternehmen mit dem Ziel diese Systeme zum eigenen Nutzen zu beinträchtigen. Die Angreifer versuchen auf verschiedene Arten und Weisen Zugriff auf das Netzwerk eines Unternehmens zu erlangen und dies zu manipulieren. Sie nutzen Schwachstellen im System aus um Zugang zu den Netzwerken zu beschaffen, diese Schwachstellen können in der Software und der Hardware liegen, die größte Sicherheitslücke ist jedoch eine ander Quelle: Benutzer:innen. Social Engineering ist ein sehr effektiver Weg Zugriff auf ein Netzwerk zu erlangen. Dem Bericht des Bundesministerium für Wirtschaft und Energie zufolge beginnen 71% aller Cyberattacken mit Spear-Phishing-Mails. Sind die Angreifer einmal drin, kann es losgehen.
Mithilfe von Schadsoftware können zum Beispiel ganze Datensätze verschlüsselt werden und für das Unternehmen unbrauchbar gemacht werden. Gegen ein Lösegeld können die Datensätze dann wieder „freigelassen“ werden. Will ein:e Unternehmer:in jedoch nicht zahlen kann auch damit gedroht werden, dass diese Daten veröffentlicht werden. Diese Art von Angriff lautet double extortion ransomware. Laut Bericht des BKA besitzt Ransomware im Bereich der Cyberkriminalität das höchste Schadenspotenzial.
Jeder Angriff hat sein eigenes Ziel und seinen eigenen Angriffsvektor. Das heißt wie die Angreiffer an deine Informationen kommen ist meistens an dich angepasst. Wo sind die Schwachstellen in deinem System? In der Hardware? In der Software? Oder ist das Einfallstor doch Social Engineering und du oder deine Mitarbeiter öffnen Tür und Tor?
Ist das wirklich so gefährlich?
„Die Unternehmen unterschätzen häufig, wie gravierend sich ein IT-Sicherheitsvorfall auswirken kann. Im Fall von Ransomware kann schnell der komplette Geschäftsbetrieb zum Erliegen kommen und dann wird es sehr schnell sehr teuer.“ - Dr. Dirk Achenbach, Leiter der Cyberwehr Baden-Württemberg
Cyberangriffe sind ein sehr abstraktes Thema welches nicht immer einfach ist mit der Realität zu verbinden. Selbst wenn man sich der Gefahren bewusst ist, kann die Frage ‚Ist das denn wirklich so gefährlich?‘ immer wieder Zweifel hervorrufen. Dies kann dafür sorgen, dass sich Unternehmen mit dem Thema Cybersecurity wenig oder sogar gar nicht beschäftigen. Damit sind die Angreifer stark im Vorteil. Viele kleine mittelständige Unternehmen sind wie ein Elfer ohne Torwart für Hacker.
In den letzten Jahren haben nahezu alle Zahlen beim Thema Cybercrime zugenommen. Die Anzahl der erfassten Cyberstraften steigt an. Die Schäden die für einzelne Unternehmen entstehen steigen noch stärker an: Der „Hiscox Cyber Readiness Report 2020“ sagt aus, dass der international durchschnittliche Schaden von 9.000€ (2019) auf 51.200€ (2020) gestiegen ist. Das ist ein Anstieg um knapp das 6-fache innerhalb eines Jahres, Tendenz steigend. In Deutschland liegt diese Zahl sogar noch höher. 2020 mussten deutsche Firmen im Schnitt knapp 72.000€ Zahlen. Für ein KMU können solche Schäden das Aus bedeuten.
Das „Verstecken in der Herde“ funktioniert mittlerweile auch nicht mehr, in den Jahren 2018/2019 wurden 75% aller Unternehmen Opfer von Cyberangriffen. 2020/2021 lag diese Zahl bei 88%. Der Anstieg dieser Zahlen ist teilweise durch das immer stärker genutzte Geschäftsmodell „Ransomware-as-a-Service“ zu erklären. Hierbei handelt es sich im den Einkauf von Schadsoftware. Im Bericht „Cybercrime 2020“ des BKA wird der kauf eines Trojaners (kann Schaden von mehreren 10.000-100.000€ anrichten) auf einen Preis von 1.000-10.000$ beziffert. Angreifer müssen also quasi keine Vorkenntnisse haben um erfolgreiche Angriffe durchzuführen, sie können sich den Erfolg einfach kaufen.
Cybercrime ist keine Nische mehr, es ist ein Geschäftsmodell.
Die Frage ist nicht ob dein Unternehmen betroffen sein wird, sondern wann. Das heißt für dich ist es Nöten sich gegen diese Angriffe zu wappnen. Je besser die Cybersecurity ist, desto besser kann sie Angriffe abwehren. Nicht jeder Angriff muss also erfolgreich sein. Je stärker die Tür und das Schloss, desto schwerer ist es für den Einbrecher.
Aber ich bin doch nicht betroffen…
Unwahrscheinlich bis unmöglich. Solange eine Verbindung zum Internet besteht ist die Gefahr immer da. Ungeschultes Personal und andere Sicherheitslücken sind ein gefundenes Fressen für Angriffe.
Vor allem KMUs sind im Visier von Cyberattacken. Die Kombination aus schlechter oder unzureichender Cybersicherheit und mangelnden Back-Ups macht sie sehr angreifbar. Hacker versprechen sich hier hohe Gewinne bei wenig Aufwand. „It’s like taking candy from a baby“, wenig Widerstand und anschließend wenig Wissen wie mit diesem Problem umzugehen ist. Klingt nach einem guten Geschäftsmodell, nicht wahr?
Zusätzlich sind KMUs oft in Lieferketten eingebunden und über diesen Weg können größere Unternehmen auch zum Ziel werden. Das heißt manchmal ist Dein Unternehmen einfach nur der Weg den die Angreifer gehen müssen um an noch viel interessantere Informationen zu gelangen.
Wenn Du also z.B. ein Zulieferer von VW bist und wegen dir die Bänder bei VW still stehen, dann ist es wahrscheinlich, dass Du für den Schaden verantwortlich gemacht wirst. Da das zu großen Verlusten oder sogar den Ruin für dein Unternehmen bedeuten kann gibt es eigentlich nur einen logischen Schritt: Prävention.
Was kann ich tun?
Nun denkst Du dir vielleicht: Und nu‘? Ich bin kein Experte für Cybersecurity, das kann ich doch gar nicht…
Daran muss es nicht scheitern. Viele Firmen und Unternehmen lagern mittlerweile die Sicherheit der IT-Systeme aus. Es werden externe IT-Spezialisten beauftragt, da diese mit geballtem Wissen der Gefahr entgegentreten können. Vor allem für KMUs ist ein externer Spezialist eine sehr gute Alternative zu einer eigenen IT-Abteilung, denn um sich um die Sicherheit von Netzwerken zu kümmern braucht es viel Vorwissen und Zeit. Und welches kleine mittelständische Unternehmen hat einfach jemanden übrig der sich damit auseinandersetzen kann? Keines. Also kommt das Wissen von Außen und Du hast eine Sorge weniger.
Zusätzlich bestehen bei einer guten Beratung und spezialisiertem Wissen auch die Chance der Innovation für das Unternehmen, da mit der Digitalisierung viele Vorteile entstehen und Kosten wegfallen können. Eine gute und funktionierende IT-Struktur kostet kein Geld, sie spart Geld.
"Das Thema IT-Sicherheit ist auch für KMU zunehmend präsent. Die stetig wachsende Zahl von Vorfällen zwingt KMU zum Handeln. Hierbei liegt der Fokus oft auf technischen Schutzmaßnahmen. Der Aspekt der organisatorischen Schutzmaßnahmen kommt hingegen oft zu kurz.“ - Christopher Tebbe, Mittelstand 4.0-Kompetenzzentrum Hannover
Zu einem funktionierendem sicheren IT-System gehört dann auch noch eine Cyberrisk Versicherung. Denn wie bei den bereits erwähnten Schlössern an Türen, gibt es gute Schlösser und sehr gute Schlösser und das Eine schützt besser als das Andere. 100%igen Schutz können jedoch beide nicht bieten. Und für diesen Fall der Fälle muss es einen Plan und eine Absicherung geben.
Eine Versicherung gegen Schäden bei Cyberattacken sichert also die Zukunft Deines Unternehmens.
Fazit
Cyberattacken und die Risiken die mit ihnen einher gehen sind ein Problem. Und alle Zeichen deuten darauf hin, dass es in Zukunft noch gravierender wird. Die Schäden die entstehen können Unternehmen den Garaus machen. Um die Zukunft Deines Unternehmens zu sicher ist es essentiell ein sicheres IT-System aufzubauen und das Personal zu schulen. Um sicherzustellen, dass ein Schadensfall dein Unternehmen nicht vor große Probleme stellt ist eine Cyberrisk Versicherung von Nöten. Cyberattacken von außen müssen dir keine Kopfschmerzen bereiten, wenn Du es richtig anstellst.
