KMU immer häufiger von Cyberangriffen betroffen
13.04.2022
Foto: © Oleksii - stock.adobe.com
Cyberattacken gegen Unternehmen häuften sich im vergangenen Jahr. Mehr als eine Million der insgesamt ca. 3,5 Millionen KMU in Deutschland waren 2021 betroffen. Eine neue HDI Cyber-Studie gibt nun Aufschlüsse zu den Cyber-Risiken von kleinen und mittelständischen Unternehmen.
In der aktuellen Studie befragte das Forschungs- und Beratungsinstitut Sirius Campus im Auftrag der HDI Versicherungs- und IT-Entscheider von mehr als 500 KMU in Deutschland. Die Ergebnisse zeigen: besonders unter Mittelständlern mit 50 bis 250 Mitarbeitenden war bereits mehr als jedes zweite Unternehmen (57 %) mindestens einmal von einer Cyber-Attacke betroffen. Fast drei Viertel der erfolgreichen Angriffe (72 %) verursachten dabei erhebliche Schäden. Im Durschnitt kosteten sie die Unternehmen 95.000 Euro. Bei Freiberuflern lag der Schaden im Schnitt bei 120.000 Euro und bei größeren Mittelständlern sogar bei bis zu 500.000 Euro. Auch rund ein Drittel (31 %) der Kleinstunternehmen mit bis zu 9 Mitarbeitenden und 37 % der Kleinunternehmen mit 10 bis 49 Mitarbeitenden sind in den letzten Jahren Cyberattacken vermehrt zum Opfer gefallen.
„Die häufig geäußerte Ansicht, dass kleinere Unternehmen für Cyber-Angriffe nicht interessant seien, ist durch die Praxis klar widerlegt“, erklärt Christian Kussmann, Bereichsvorstand Firmen und Freie Berufe der HDI Versicherung AG. Zudem zeige sich ein genereller Trend: Kleinere Unternehmen gerieten verstärkt in den Fokus seitdem sich größere Unternehmen besser gegen solche Angriffe schützten. KMU haben dagegen häufig nicht so hohe Sicherheitshürden wie große Unternehmen. Außerdem nutzen Angreifer KMU auch als „Point of Entry“ für weitere Angriffe. Denn als Dienstleister unterhalten sie häufig auch IT-Schnittstellen zu Großunternehmen.
Schwachstelle „Mensch“
Angriffsmethoden werden immer ausgefeilter und technisch anspruchsvoller. Sie erfolgen beispielsweise über erweiterte Computer- und IoT-Netzwerke oder über Wartungsschnittstellen von Druckern oder Kopierern. In der Praxis wurden allerdings nur wenige Unternehmen auf diese Weise attackiert. Die Angriffe zielen hauptsächlich immer noch auf die Schwachstelle „Mensch“ ab. 20 % der befragten KMU gaben an, dass sie bereits durch vorgetäuschte falsche Identitäten und Spam- oder Phishing-Mails attackiert wurden. Knapp weitere 20 % „infizierten“ sich über verseuchte Anhänge in E-Mails an Mitarbeitende und Schadsoftware.
„Die Untersuchungsergebnisse zeigen klar: Angreifer wählen den Weg des geringsten Widerstands. Beim allergrößten Teil der Angriffe nutzen Angreifer Unaufmerksamkeit, Neugier oder Arglosigkeit bei Mitarbeitern, um in die IT-Netzwerke der Firmen einzudringen,“ ergänzt HDI Vorstand Kussmann. Trotzdem sollten technisch anspruchsvollere Angriffsmethoden weiter im Fokus behalten werden. Wichtig sei es technische sowie organisatorische Gegenmaßnahmen zu ergreifen.
Vielfältige Folgen der Angriffe
Ca. ein Viertel der betroffenen KMU (24 %) war aufgrund von Cyber-Angriffen von Betriebsunterbrechungen betroffen. So konnte beispielsweise ein Unternehmen wegen kompromittierter Systeme seine Kunden vorübergehend nicht beliefern. Ein anderes konnte nicht mehr auf E-Mails und Firmennetzwerk zugreifen. Buchführung und Kundenservice waren somit lahmgelegt. Betriebsunterbrechungen wurden dementsprechend von 43 % der Befragten als besonders relevant eingestuft. Mit 45 % erhielt der Diebstahl von Kundendaten eine noch höhere Relevanz. Fast jedes vierte Unternehmen (22 %) war davon bereits betroffen. Ebenfalls 22 % waren außerdem von Image- und Reputationsschäden als Folge der Cyberangriffe betroffen. 15 % sahen sich darüber hinaus mit Schadenersatzforderungen von Kunden konfrontiert. Weitere 16 % erlitten Industriespionage und den Verlust geheimer Unterlagen.
Betriebsunterbrechungen sind einer der Haupttreiber der Schadenhöhe. Bei über 50 % der KMU war der Betrieb laut Studie für mindestens zwei Tage eingeschränkt. Rund 15 % erlitten sogar 4 bis 7 Tage Störungen im Betrieb. Besonders Kleinstunternehmen traf das hart. Allein das Entfernen von Schafsoftware und das Einspielen von Updates ist heutzutage nicht in wenigen Stunden erledigt, auch nicht bei den „Kleinen“.
Angriffe werden oft nur zufällig entdeckt
Insgesamt gaben 28 % der betroffenen KMU an, dass Cyberattacken nur durch Zufall entdeckt wurden. Bei Kleinst- und Kleinunternehmen war dies sogar bei jeweils rund einem Drittel der Firmen der Fall. Mittelständler entdeckten Cyber-Angriffe häufiger durch systematisches Screening. Neben der Überprüfung veröffentlichter Schwachstellen gehört dieses zu den erfolgversprechendsten Methoden, Attacken frühzeitig zu erkennen und Gegenmaßnahmen einleiten zu können. Kleinere Unternehmen haben hier deutlich Nachholbedarf. Besonders schlecht für Unternehmen ist, wenn Cyberattacken erst durch bereits angerichtete Schäden bemerkt werden. Ein Fünftel der befragten KMU hat diese Erfahrung bereit gemacht. Mit 17 % etwas weniger bei den mittelständischen Unternehmen, bei den „Kleinen“ etwas mehr.
Spezialisteneinsätze und Austausch des IT-Dienstleisters
Für die Schadenbeseitigung war meistens ein unternehmenseigenes Team oder der interne IT-Verantwortliche zuständig. Rund die Hälfte der Studienteilnehmer setzten bei der Beseitigung auf interne Kräfte. 38 % überließen diese Aufgabe ihrem IT-Dienstleister. Weitere 30 % zogen IT-Spezialisten ihrer Cyberversicherung hinzu. Ein Drittel entschied sich nach einem Angriff für neue Soft- und Hardware und/oder zusätzliche Präventionsmaßnahmen. 21% trennten sich zudem von ihrem bisherigen IT-Dienstleister.
Mehr als ein Viertel der betroffenen KMU entschied sich nach einer Attacke außerdem für eine Cyber-Versicherung. Denn: nur bei einem weiteren Viertel der Schadenfälle war dieser durch eine entsprechende Versicherung abgesichert. 30 % verfügten über keinerlei Versicherungsschutz. HDI Vorstand Kussmann erläutert: „Integrierte Präventions- und Versicherungsangebote für den Schutz gegen Cyber-Attacken bieten gerade für KMU einen komfortablen Rundum-Service. Denn neben dem finanziellen Ausgleich von Schäden stehen dabei auch wirksame Präventionsmaßnahmen und Mitarbeiterschulungen im Fokus, die Schadenwahrscheinlichkeit und Schadenhöhe erheblich senken können.“ (lb)