Hacker kennen kein Pardon. Über kleinste Schwachstellen der IT dringen sie ein. Immer häufiger betroffen sind kleine und mittlere Unternehmen (KMU). Was jetzt zu tun ist!

Die Täter schlagen am Freitagnachmittag zu, als die meisten Angestellten schon auf dem Weg ins Wochenende sind. Als am Samstag der CEO seine liegengebliebenen Nachrichten aufarbeiten will, ruckelt zuerst der Mail-Server, Dateien lassen sich nicht mehr öffnen. Ein kurzer Anruf beim Systemadministrator zeigt, dass der gesamte Betrieb lahmgelegt ist. Bildschirme zeigen nur noch eine Lösegeldforderung.

Der Angriff. Lautlos. Die Folgen. Existenzbedrohend.

Viele glauben, Hacker würden sich nur für große Konzerne mit monumentalen IT-Abteilungen interessieren. Ein gefährlicher Irrtum, der Unternehmen in den Ruin treiben kann. Gerade kleine und mittlere Unternehmen (KMU) stehen immer öfter auf der Speisekarte von Cyberkriminellen. Warum? Weil viele KMU oft schlechter geschützt sind. Und da Cyberangriffe immer öfter automatisiert ablaufen, können effizient und effektiv beliebig viele Firmen auf mögliche Schwachstellen getestet werden.

Gestiegene Bedrohungslage

Der Branchenverband der deutschen Informations- und Telekommunikationsbranche veröffentlicht seit 2015 jährlich die Studie zum Wirtschaftsschutz. Darin wurden zuletzt rund 1.000 Unternehmen befragt. Die Ergebnisse zeichnen ein klares Bild:

• 81 % der Unternehmen wurden Opfer von Spionage, Sabotage oder Diebstahl, meist durch digitale Angriffe.
• Besonders im Fokus stehen Zugangsdaten, geistiges Eigentum und Kundendaten.
• Die wirtschaftlichen Schäden sind gewaltig: insgesamt 266,6 Milliarden Euro Schaden, davon 178,6 Milliarden Euro allein durch Cyberangriffe.
• Hauptursachen für diese Schäden sind Ransomware (31 %), Phishing (26 %) und Passwortangriffe (24 %).

Zudem berichten 13 % der Unternehmen von Angriffen bei Zulieferern, die oft zu Produktionsausfällen und Reputationsschäden führten. Nur 37 % der Unternehmen verfügen über Notfallpläne. Die Ausgaben für IT-Sicherheit machen mittlerweile 17 % des IT-Budgets aus – trotzdem bleibt der Schutz vielerorts unzureichend.

Cybersecurity-Szenarien

Der Kreativität eines Angreifers sind keine Grenzen gesetzt. Wer sich früher über das Anklicken eines Katzenvideos lustig machte, muss sich heute mit deutlich raffinierteren Tricks der Verbrecher auseinandersetzen. Ein paar Beispiele:

·      Soziale Manipulation (Social Engineering)

Social Engineering zielt darauf ab, menschliche Schwächen auszunutzen, um Personen dazu zu bringen, sicherheitskritische Handlungen auszuführen oder vertrauliche Informationen preiszugeben.

·      Technische Angriffe (Netzwerk, Server, Dienste)

Diese Kategorie umfasst Angriffe, die direkt die IT-Infrastruktur zu kompromittieren versuchen.

·      Schadsoftware (Malware und Varianten)

Unter diesem Oberbegriffe tummeln sich Viren, Würmer, Trojaner und andere toxische Elemente.

·      Identitäts- & Kommunikationsbetrug (mit KI)

Längst bleibt es nicht beim Vortäuschen falscher Absenderadressen oder PI-Adressen. Mittels KI lässt sich die Identität jeder denkbaren Person als Deep Fake darstellen, um schädliche Handlungen auszulösen.

·      Insider-Bedrohungen

Wer einen internen Zugriff auf Systeme, Daten und Ressourcen einer Organisation hat, übernimmt dessen Kontrolle.

·      Physische IT-Bedrohungen

Neben manipulierter Hardware setzen Cyberkriminelle gerne harmlos aussehende USB-Geräte ein, um Schadsoftware zu installieren oder Tastatureingaben zu simulieren.

Für jedes KMU sollte diese neue Bedrohungslage Alarmstufe Rot bedeuten. Cyberangriffe sind keine Frage des Ob, sondern des Wann. Wer die Gefahr ignoriert, riskiert finanzielle Verluste, Vertrauensverlust bei Kunden und im schlimmsten Fall die Existenz des Unternehmens.

Was können Unternehmen und speziell KMU dagegen tun?

Informationssicherheit, oft kurz Infosec genannt, umfasst alle Maßnahmen und Strategien, die dazu dienen, Informationen und Daten vor Gefahren zu schützen. Es geht dabei nicht nur um Technik, sondern auch um Menschen und Prozesse.

Die drei zentralen Schutzziele sind:

• Vertraulichkeit: Nur berechtigte Personen dürfen Daten einsehen – etwa durch Passwörter oder Zugriffsrechte.
• Integrität: Daten dürfen nicht unbemerkt verändert werden, damit Informationen zuverlässig bleiben.
• Verfügbarkeit: Daten und Systeme müssen dann zugänglich sein, wenn sie gebraucht werden, z. B. durch Backups und stabile IT.

Informationssicherheit schützt Unternehmen vor Datenverlust, Manipulation und Ausfall – und ist damit viel mehr als nur IT-Sicherheit.

Besondere Herausforderungen der IT-Sicherheit in KMU

Viele KMU verfügen nicht über die nötige Zeit, das Wissen oder das Budget, um eine eigene IT-Sicherheitsabteilung aufzubauen. Das führt zu typischen Schwachstellen:

• Software wird selten oder verspätet aktualisiert, so dass bekannte Sicherheitslücken offenbleiben.
• Mitarbeitende sind oft nicht ausreichend geschult und klicken unbedacht auf gefährliche Links.
• Klare Regeln für den Umgang mit Passwörtern oder Reaktionen auf Sicherheitsvorfälle fehlen.

Zudem setzen nur rund ein Drittel der KMU auf regelmäßige Schulungen und Sicherheitsupdates. Und dies trotz der steigenden Bedrohungslage.

Infosec-Sofortmaßnahmen für alle

Dabei lassen sich auch ohne IT-Expertenstatus die wichtigsten Sicherheitslücken schnell schließen:

• Regelmäßige Updates aller Programme und Systeme einspielen, um Schwachstellen zu schließen.
• Starke Passwörter verwenden und am besten eine Mehr-Faktor-Authentifizierung (MFA)
• Mitarbeitende schulen, damit sie Phishing und Betrugsversuche erkennen können.
• Regelmäßige Backups anlegen und getrennt vom Netzwerk speichern, damit Daten auch bei Angriffen verfügbar bleiben.

Checkliste zur Informations- und Cybersicherheit

Wer sich mit diesen Sofortmaßnahmen nicht alleine zufriedengeben will, dem sei eine Checkliste von PeschMann-Consulting empfohlen. Auf Basis bewährter Best Practices der IT-Sicherheit werden systematisch folgende Bereiche auf mögliche Schwachstellen untersucht:

• Organisation & Strategie
• Sicherheitsbewusstsein & Schulungen
• Rechtliche & Compliance Anforderungen
• Inboarding & Offboarding von Mitarbeitern
• Vorfallmanagement
• Krisenmanagement, Business Continuity & Simulation
• IT-Infrastruktur & Netzwerksicherheit
• Endgerätesicherheit
• Zugriff & Identitätsmanagement
• Datensicherheit & Backup
• Anwendungssicherheit
• Physische Sicherheit
• Sicherheit der Lieferkette

Allein die Länge dieser Liste zeigt, wieviele Einfallstore potenziellen Angreifern nicht nur bei KMU zur Verfügung stehen. Aus diesem Grund haben wir uns bei MEMOCINE entschieden das Thema Cybersecurity ab sofort eng mit unseren Lösungen für Krisenkommunikation und Krisenmanagement zu verbinden. Ob Training oder Krisenaudit. IT-Sicherheit steht bei uns ab sofort für unsere Mandanten an erster Stelle. Umso mehr freuen wir uns auf die interdisziplinäre Kooperation mit PeschMann-Consulting, um all dies aus einer Hand anbieten zu können.

Und wann haben Sie Ihr Unternehmen das letzte Mal in puncto IT-Sicherheit auf Herz und Nieren geprüft?