Kleine und mittelständische Unternehmen sind sich oft der Gefahr eines Hackerangriffes nicht bewusst. Meist haben sie sich mit den Methoden und Folgen eines solchen digitalen Angriffs noch gar nicht beschäftigt. Doch eine aktuelle Studie zum Thema e-Crime von KPMG zeigt, dass 40 Prozent der 505 befragten Unternehmen zwischen 2012 und 2015 Opfer von Cyber-Angriffen wurden. Das heißt, dass in einem Zeitraum von fünf Jahren jedes Unternehmen mindestens einmal von Cyberkriminalität betroffen war. Deswegen wird es Zeit, die Entscheidungsträger und auch die Mitarbeiter eines Unternehmens, und sei es noch so klein, in Bezug auf Cyberkriminalität zu sensibilisieren.
Denn die Ausmaße einer solchen Attacke sind nicht nur rufschädigend, wenn beispielsweise Kundendaten in die falschen Hände geraten. Auch erhebliche finanzielle Einbußen können ein Unternehmen* schnell in die Insolvenz treiben. Deswegen muss in der heutigen Zeit notwendigerweise ein Teil des Firmenbudgets in eine sichere IT-Infrastruktur und der Schulung der Mitarbeiter investiert werden.
Ausspähen, Eindringen, Datendiebstahl, Erpressung
Meist erfolgt ein Angriff auf das hauseigene IT-System genau nach diesem Muster. Dem Hacker geht es nur darum, wirtschaftlichen Profit aus der Situation zu schlagen. Dabei kann er über verschiedene Wege die IT-Infrastruktur eines Unternehmens angreifen. Er kann beispielsweise mit einer sogenannten DDoS-Attacke (Distributed Denial of Service), die Webseite für Stunden oder Tage lahm legen. Erst wenn der Betreiber der Seite die genannte Summe bezahlt, stellt der Hacker die Attacke ein. Oder ein Mitarbeiter erhält eine Mail mit bedenklichem Anhang, die er aufgrund seiner Unkenntnis öffnet und dem Trojaner dann den Weg in die firmeneigene IT öffnet. Dieser späht Firmen- und Kundendaten sowie weitere wichtige Informationen aus beziehungsweise verschlüsselt diese sogar. Erst nach der Lösegeldzahlung gibt der Hacker die Daten wieder frei. Besonders beliebt derzeit ist auch der „Cheftrick“. Der Hacker späht die Mailadresse des Firmenchefs aus beziehungsweise erstellt eine neue und schreibt dann Mitarbeitern eine Mail mit einer Überweisung- oder Transaktionsaufforderung.
Sicherheitsleck IT
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es derzeit über 800 kritische Schwachstellen in den gängigen Standardsoftwareprodukten. Deswegen müssen Unternehmen selbst für einen lückenlosen Schutz ihrer IT-Systeme sorgen. Dafür reicht es leider nicht aus, auf das technische Dreiergestirn Virenscanner, Firewall und Passwortschutz zu bauen. Vielmehr muss das System immer auf dem neusten Stand sein, das heißt, dass jede Neuerung, jeder Patch umgehend installiert werden muss. Mitarbeiter, die viel im Internet* surfen, sollten schauen, dass ein Antivirenscanner aktiviert ist sowie immer die neuste Browserversion benutzt wird. Zudem sollten auch mobile Geräte, wie Smartphones* und Tablets, die auf Firmendaten zugreifen, ausreichend vor Attacken geschützt werden. Im besten Fall engagiert man einen IT-Dienstleister, der in gewissen Abständen das System einer großen Sicherheitsprüfung unterzieht, um Schwachstellen möglichst schnell zu finden und zu beseitigen.
Sicherheitsleck Mensch
Jede IT kann noch so aktuell sein, wenn der Mitarbeiter den Anhang einer Mail bedenkenlos öffnet, ist der Trojaner schneller im System, als das dieser Gegenmaßnahmen ergreifen kann. Gerade Mitarbeiter in kleinen Unternehmen fehlt oft das Bewusstsein. Hier bedarf es einer Sensibilisierung zu diesem Thema und einer intensiven Sicherheitsschulung. Einige Firmen laden dazu zum Beispiel IT-Experten* ein, die in kurzen Workshops dem Mitarbeiter erklären, was ein Hackerangriff ist, welche Methoden Hacker benutzen und was der Mitarbeiter selbst bei seiner Arbeit im Netz, mit Mails oder mit Passwörtern beachten muss.
Vorbeugen dank finanzieller Absicherung
Was viele kleiner bis mittlere Unternehmen oft nicht wissen, dass sie sich gegen Cyberattacken absichern können. Denn ein mehrtägiger Ausfall der Webseite, die Wiederherstellungskosten der IT oder der Missbrauch von Kundendaten können die finanziellen Rücklagen schröpfen. Deswegen haben einzelne Versicherungsgesellschaften spezielle Cyber-Risk-Versicherungen erarbeitet. Diese decken aber nicht nur Schäden ab, sondern stehen im Fall eines Angriffs dem Unternehmen auch beratend zur Seite und helfen mit Dienstleistungspartnern, das IT-System zu prüfen und wiederherzustellen.
Fazit
Kleine und mittelständische Unternehmen müssen das Bewusstsein haben, dass auch sie in den Fokus eines Hackers rücken. Deswegen müssen die IT und das Wissen der Mitarbeiter zu Cyberkriminalität und deren Arten immer auf einem aktuellen Stand sein. Zudem sollten sich Firmen Hilfe von außen holen, um im Falle eines Angriffs umgehend zu reagieren und auch finanziell abgesichert zu sein.
Autor: Dennie Liemen ist seit fast 20 Jahren in der Versicherungsbranche aktiv. Als Versicherungsexperte für Sachversicherung24 liegen seine Schwerpunkte in der Beratung von Unternehmen zu Themen wie Cyber Risk-, D&O- und Berufshaftpflichtversicherungen.