Immer raffinierter
03.01.2023
Foto: © James Thew - stock.adobe.com
Wer denkt, dass vor allem staatliche Einrichtungen und große Wirtschaftsunternehmen auf der Zielliste von Cyber-Kriminellen ganz oben stehen, irrt gewaltig. Denn diese haben massiv in die Abwehr von Angriffen investiert. Anders sieht das bei KMU aus. Noch immer gibt es hier ein fatales Rollenverständnis – und entsprechend viel Nachlässigkeit. Makler sind deshalb in der Beratung besonders gefragt.
Es war nur eine vergleichsweise kurze Notiz. Gleichwohl zeigt sie die Professionalität von Internet-Betrügern: „Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit eine signifikante Zunahme von Angriffen per E-Mail. Wie schon in der Vergangenheit bei Emotet nutzen die Angreifenden vermeintliche Antworten auf tatsächlich getätigte E-Mail-Konversationen der Betroffenen, um Schadsoftware-Links zu verteilen. Neu ist allerdings, dass die gefälschten E-Mails dabei über die legitimen Mailserver der Absender selbst verschickt werden, sodass technische Detektion und Erkennung durch den Leser deutlich erschwert werden. Es ist also davon auszugehen, dass die Angreifenden Zugriff auf den Mailserver haben, welcher dann selbst ‚ordnungsgemäß‘ als Absender fungiert.“
Cyber-Angriffe gegen die Unternehmens-IT kleiner und mittelständischer Unternehmen gibt es täglich. Es ist auch ein Fehlschluss, KMU seien beim Krieg in der Ukraine und entsprechenden IT-Angriffen auf sie selbst außen vor. Sie stehen stattdessen genauso im Fokus wie große Konzerne. Einen wirksamen Schutz gegen solche Angriffe und deren Folgen können jedoch laut HDI Präventionsmaßnahmen leisten. Dazu gehören technische genauso wie organisatorische Maßnahmen oder auch solche, die Mitarbeiter für die Cyber-Risiken sensibilisieren. Eine Studie der HDI Versicherung zeigt hier beträchtliches Potenzial zur Verbesserung des Cyber-Schutzes auf. Die Studie zum Thema Cyber-Sicherheit erstellte das Forschungs- und Beratungsinstitut Sirius Campus im Auftrag der HDI Versicherung. Dazu befragte das Institut Ende letzten Jahres Freiberufler sowie IT- und Versicherungs-Entscheider von mehr als 500 kleinen und mittelständischen Unternehmen (KMU). Ein Ergebnis der Studie: Viele Unternehmen können durch die Kombination von Präventionsmaßnahmen ihren Cyber-Schutz wirksam erhöhen.
Technische Lösungen allein reichen nicht aus
Technische Maßnahmen sind die gängigsten Vorkehrungen, mit denen sich Unternehmen gegen Bedrohungen aus dem Cyber-Raum schützen. Firewalls, Spam-Schutz und automatische Datensicherungen durch Backups werden laut der Studie am häufigsten verwendet. So gaben 83 % der Befragten an, dass sie Firewalls installiert hätten, 81 % nannten Spam-Schutz und 80 % automatisierte Backups. Seltener eingesetzt werden zum Beispiel Multi-Faktor Authentifizierungen (55 %) oder verschlüsselte Zugänge zum Unternehmensnetzwerk zum Beispiel über VPN (66 %).
Die technischen Maßnahmen haben für die Unternehmen den Vorteil, dass sie einen guten Basisschutz bieten und häufig mit einem überschaubaren Aufwand umzusetzen sind. Allerdings reichen technische Lösungen allein nicht aus. Das zeigen sowohl Untersuchungen als auch die Schadenbilder von erfolgreichen Cyber-Angriffen. Organisatorische Maßnahmen und Mitarbeiterschulungen sind weitere entscheidende Bausteine. Organisatorische Präventionsmaßnahmen umfassen beispielsweise verbindliche Passwort-Standards oder Schwachstellen-Scans der IT und im weiteren Sinne auch die Vorbereitung von Notfallmaßnahmen für einen Cyberangriff. Am weitesten verbreitet (bei 72 % der KMU) sind verbindliche Standards für den Umgang mit Passwörtern.
Unkontrollierte Zugänge in die IT-Systeme
Kritischer sieht es dagegen in Sachen Notfallmanagement aus. So sind die Zuständigkeiten bei einem Cyber-Angriff lediglich bei jedem zweiten Unternehmen (55 %) eindeutig festgelegt. Angriffe, die auf die Schwachstelle „Mensch“ zielen, sind in der Praxis am erfolgversprechendsten – für den Angreifer. „Im Rahmen der Studie wurden von betroffenen Unternehmen Angriffsmethoden wie Phishing-Mails oder Social Engineering mit Abstand am häufigsten genannt. Denn Mitarbeiter, die E-Mail-Anhänge von Unbekannten öffnen oder auf zweifelhafte Links klicken, können Kriminellen unkontrollierte Zugänge in die IT-Systeme öffnen“, stellt HDI Vorstand Malte Dittmann fest. Umso überraschender ist das Ergebnis, dass laut HDI-Studie nur knapp die Hälfte (48 %) der befragten Unternehmen mindestens einmal jährlich Mitarbeiterschulungen zur Cyber-Sicherheit einsetzt. Ein Viertel (25 %) der KMU testen ihre IT-Sicherheit durch simulierte E-Mailangriffe.
Cyber-Angriffe sind vielfältig und die Schwachstellen, auf die diese zielen, immer wieder andere. Deshalb gibt es auch nicht die eine wirksame Präventionsmaßnahme, die den perfekten Schutz bietet. Die HDI Cyber-Studie zeigt deutlich: Erst eine Kombination aus technischen Vorkehrungen und organisatorischen Regeln mit Maßnahmen zur Mitarbeitersensibilisierung verspricht einen möglichst wirksamen Schutz. So waren 31 % aller befragten Unternehmen in der letzten Zeit von erfolgreichen Cyber-Angriffen betroffen. Von denjenigen, die mehr als zehn der untersuchten Präventionsmaßnahmen einsetzen, waren es lediglich 18 %. Noch signifikanter war der Unterschied bei der durchschnittlichen Schadenhöhe: Sie lag bei den 23 % der befragten Unternehmen, die mehr als zehn Maßnahmen einsetzten, bei 54.000 Euro – im Vergleich zu durchschnittlich 95.000 Euro bei der Betrachtung aller betroffenen KMU.
Cyber-Risiken sind extrem dynamisch und immer im Einzelfall zu bewerten. „Eine individuelle Beurteilung der Risiken durch ein Cyber-Sicherheitsaudit ist deshalb auch für KMU von zentraler Bedeutung“, betont HDI Vorstand Dittmann. Folgerichtig wünscht sich auch die Hälfte aller Befragten eine externe Bewertung ihrer Cyber-Risiken durch ein Audit als Zusatzleistung einer Cyber-Versicherung. Durch ein Audit werden mögliche Schwachstellen der IT-Infrastruktur festgestellt und potenzielle Gegenmaßnahmen aufgezeigt. (hdm)