IT-Sicherheit Wie Sie Ihren Betrieb vor Cyberangriffen schützen

Hackerangriffe machen Unternehmen zu schaffen und verursachen enorme Schäden. GFF sagt, wie Sie sich schützen können, warum die Cyberversicherung wichtig ist und welche Erfahrungen Fensterbaubetriebe gemacht haben.

Nichts geht mehr: Opfer von Ransomware-Angriffen sollen Lösegeld zahlen – sonst bleiben ihre Systeme verschlüsselt. - © ryanking999/stock.adobe.com

Bei Cyberangriffen geht es für Unternehmen nicht mehr um die Frage, ob sie ­Opfer eines Angriffs werden, sondern wann. Das legt eine Studie des Digitalverbands Bitkom nahe, für die mehr als 1.000 Unternehmen quer durch alle Branchen repräsentativ befragt wurden. Neun von zehn Unternehmen in Deutschland waren demnach im Jahr 2022 Opfer von Datendiebstahl, Diebstahl von IT-Ausrüstung, Spionage oder digitaler Sabotage.

Trotz professionellem Vorgehen: Schutz ist möglich

"Die Angreifer werden immer professioneller und sind häufiger im organisierten Verbrechen zu finden, wobei die Abgrenzung zwischen kriminellen Banden und staatlich gesteuerten Gruppen zunehmend schwerfällt", sagte Bitkom-Präsident Achim Berg bei der Vorstellung der Studie. Die Angriffe richteten den Angaben zufolge einen gesamtwirtschaftlichen Schaden von zirka 203 Milliarden Euro an, ­etwas weniger als im Rekordjahr 2021 mit 223 Milliarden ­Euro.
Vor allem Attacken auf Passwörter, Phishing und die Infizierung mit Schadsoftware bzw. Malware seien den Unternehmen teuer zu stehen gekommen. ­Ransomware-Attacken verursachten laut der Studie in zwölf Prozent der Unternehmen Schäden. Das immerhin ist im Vergleich zum Jahr 2021 mit 18 Prozent ein deutlicher Rückgang. Trotz der insgesamt hohen Bedrohungslage hatte Berg auch eine positive Nachricht zu vermelden. So zeigen die Studienergebnisse nach seinen Angaben auch, dass Unternehmen mit geeigneten Maßnahmen und Vorkehrungen dafür sorgen können, dass Angriffe abgewehrt werden oder zumindest der Schaden begrenzt wird.

Kleine Betriebe zu nachlässig

In der Theorie klingt das gut. Laut Jürgen Schüler, Leiter des Kompetenzzentrums IT-Sicherheit und Qualifizierte digitale Signatur an der Handwerkskammer Rheinhessen, hapert es allerdings gerade bei kleinen und mittleren Unternehmen (KMU) mit der Umsetzung entsprechender Maßnahmen. "Zahlreiche Unternehmen wissen zwar um die potenziellen Gefahren, die von Cyberrisiken ausgehen. Doch ist vielen kleinen und mittleren Unternehmen nicht bekannt, welche Sicherheitslücken in ihrer eigenen Unternehmens-IT bestehen", sagt Schüler. Häufig fehlten wirksame Strategien für eine durchgängige Cyber Security. Cyberkriminelle seien sich dieser Tatsache bewusst, sodass KMU mittlerweile zum beliebtesten Ziel von Cyberattacken gehörten.
Besonders gefährdet sind laut Schüler kleine Unternehmen. Diese zeigten sich allzu häufig nachlässig, wenn es um die IT-Sicherheit gehe. "Bei den meisten kleinen Unternehmen herrscht die Einstellung vor: 'Mich trifft es nicht, und wenn es mich trifft, dann wird es schon nicht so schlimm sein, und wenn doch, dann ist das eben so, da kann ich nichts tun" – aber das ist grundlegend falsch", sagt der IT-Fachmann.

Treffen kann es jeden – jederzeit

Auch der jüngste Bericht der Bundes­regierung zur IT-Sicherheit adressiert die Gefährdung kleiner Unternehmen, wobei explizit auch Handwerksbetriebe genannt sind. Unternehmen werden dabei laut Schüler nur sehr selten gezielt angegriffen. Meistens seien es bis zu einem gewissen Grad an den jeweiligen Empfänger angepasste Standard-E-Mails oder SMS, die zum Einsatz kommen. "Mit Cyber­attacken lässt sich viel Geld verdienen und vor allem kostet der einzelne Versuch den Hacker quasi nichts", sagt der Experte. Wenn beispielsweise bei 1.000 Erpressungsversuchen nur zehn Unternehmen zahlen, dann habe es sich für die Kriminellen schon gelohnt.
Treffen könne es jeden, und zwar jederzeit. "Dass jahrelang nichts passiert ist, ist kein Beweis für die Gefahrlosigkeit des Handelns", warnt Schüler alle Unternehmen, die bislang keine Sicherheitsvorkehrungen getroffen haben. Nicht zu handeln, sich nicht präventiv zu schützen, sei eine Handlung mit potenziellem Verhängnis. "Hackerangriffe haben auf Unternehmen oft eine ähnliche Wirkung wie Naturkatastrophen. Sie sind selten, aber wenn sie eintreten, können sie das Ende des Unternehmens bedeuten."

IT-Sicherheit: Erste Schritte ohne externe Hilfe

Wie können Unternehmen das Thema IT-Sicherheit nun angehen? KMU verfügen laut Schüler häufig nicht über ausreichend Ressourcen – vor allem nicht im personellen Bereich –, um eine eigene IT-Abteilung professionell zu betreiben, potenzielle Sicherheitslücken zu schließen und sich gegen Cyberangriffe zu schützen. Es gebe jedoch ein paar grundlegende Maßnahmen, die relativ einfach umsetzbar seien und auch keine allzu hohen Investitionen erforderten. Die größte Sicherheitslücke entstehe beispielsweise, wenn Updates nicht umgehend eingespielt werden. "Die ersten Schritte hin zu einer sicheren Firmen-IT kann jeder Firmenchef kurzfristig angehen", betont Schüler. Ein in Sachen Computer fitterer Azubi, Geselle oder Jungmeister finde sich zudem in jedem Betrieb. "Dieser kann das Projekt Sichere Unternehmens-IT in Angriff nehmen."

Cyberversicherung abschließen

Auch die bestmögliche Vorsorge garantiert allerdings keine hundertprozentige Sicherheit. Daher rät Schüler, darüber nachzudenken, eine Versicherung gegen Schäden von Cyberattacken abzuschließen. Wer sich mit solchen Policen auskennt, ist die SMK Versicherungsmakler AG mit Sitz in Gießen. Die Fenster- und Fassadenbranche, deren Vorproduzenten sowie Verarbeiter und Monteure zählen nach eigenen Angaben seit Jahren zu den betreuten Kernbranchen des Unternehmens. Wie SMK-Vorstand Mike Kersting erläutert, sei das Cyberrisiko aufgrund seiner Komplexität in Sachen Prävention, möglicher Schadensvektoren und -höhen sowie dem Risikotransfer in die Versicherungsindustrie ein sehr anspruchsvolles Feld. Durch das komplexe technische Umfeld sei es mit keiner anderen Risikolage zu vergleichen.
Ein Problem für den Versicherungsnehmer ist dem Fachmann zufolge, dass der Cybermarkt für die Versicherungswirtschaft zunehmend defizitär sei. "Unsere Marktdaten sagen uns, dass der weit überwiegende Teil gekaufter Cyberdeckungen heute, aber vor allem in Zukunft nicht auslösen wird", führt Kersting aus. "Ein Unternehmen hat also für vermeintlich bestehenden Versicherungsschutz gezahlt, der immer risikoavers handelnde Versicherer wird aber aufgrund nicht eingehaltener Obliegenheiten versuchen, den Schaden abzulehnen."
Unterstützung durch IT-Systemhaus:

So fließt im Schadensfall Geld

Um den Verantwortlichen im Unternehmen vor dieser Situation zu bewahren, habe SMK ein eigenes IT-Systemhaus gegründet, welches insbesondere den Schwerpunkt IT Security besetze. "Damit schaffen wir Mehrwerte für unsere Mandanten", sagt Kersting. So haben die Versicherer nach seinen Angaben erkannt, dass die IT-Experten des Unternehmens die Mandanten in eine technisch einwandfreie Risikosituation bringen können. "Dieses Umfeld sorgt dafür, dass unsere Verträge von den Maßnahmen der Versicherer verschont bleiben und wir garantieren können, dass im Schadensfall Leistungen fließen."
Gleichzeitig nehme SMK die Geschäftsleitung direkt aus der Haftung. "Denn was passiert mit einem Unternehmenslenker, der weder seine IT-Systeme, seine IT Security noch seine vermeintlichen Versicherungsverträge im Griff hat? Da ist ein Haftungsanspruch meist vorprogrammiert, der auch in einer GmbH-Struktur bis ins persönliche Vermögen reichen kann", erläutert der Fachmann. Spätestens mit der im Dezember 2022 verabschiedeten Network-and-Information-Security-Richtlinie (NIS) 2.0 komme weiterer regulatorischer Druck auf die Verantwortlichen zu.

Sorpetaler Fensterbau: Zweimal Opfer von Attacken

Das Unternehmen Sorpetaler Fensterbau im nordrhein-westfälischen Sundern zählt 80 Mitarbeiter und war Anfang 2019 das Opfer eines Cyberangriffs. Ein Trojaner durchwanderte das Firmennetzwerk und verschlüsselte alle Daten, die er finden konnte – auch die Maschinendaten. "Wir konnten nichts mehr machen, hatten keine Kontrolle mehr über unsere Systeme“, erinnert sich Geschäftsführer Stefan Appelhans. Das sei eine leidvolle Erfahrung gewesen. "Wir waren geschockt, erlebten ein Gefühl der Ohnmacht."
Die Cyberkriminellen forderten Lösegeld. Und zunächst hatte das Unternehmen auch den Kontakt mit den Erpressern gehalten, schloss die Zahlung nicht aus. "Wir wollten uns alle Optionen offenhalten, um wieder Zugriff auf unsere Systeme zu erhalten", sagt Appelhans. Dass am Ende kein Geld geflossen ist, war den Backups zu verdanken, die das Unternehmen regelmäßig erstellt hatte. "Wir hatten Tages- und wöchentliche Backups auf externen Festplatten gefahren, die außerhalb der Firma gelagert wurden. Diese konnten wir wieder einspielen", erläutert der Geschäftsführer. Alle wesentlichen Daten inklusive der Maschinendaten ließen sich nach seinen Angaben wiederherstellen. Nur ein paar Angebots- und Auftragsdaten der vergangenen Tage seien verloren gegangen.

Déjà-vu nur Monate später

"Der Schaden für uns hat sich am Ende im Rahmen gehalten. Der Stress war aber unheimlich groß", sagt Appelhans. Nach der
Attacke analysierte Sorpetaler Fensterbau seine IT-Umgebung – wo genau das Einfallstor war, ist nicht bekannt – und legte Maßnahmen fest, um sich sicherheitstechnisch neu aufzustellen. Bevor jedoch die Änderungen implementiert werden konnten, schlugen Hacker wenige Monate nach dem ersten Angriff erneut zu – wieder waren die Daten verschlüsselt. "Wir konnten nicht glauben, dass es uns schon wieder getroffen hat. Das war ein ziemlicher Schock", sagt Appelhans.

Den ganzen Beitrag lesen Sie im Wunschthema in GFF 3/23, die Ausgabe erscheint am 7. März.