Cybercrime kann jedes Unternehmen treffen

18.01.2023

Symbolbild, offenes Vorhängeschloss umringt von Tasten einer Computertastatur

Zwei Drittel der Mittelständler sehen laut einer Umfrage kein hohes Cybercrime-Risiko für das eigene Unternehmen. Eine gefährliche Fehleinschätzung, warnen Experten. Foto: Unsplash

Immer mehr Unternehmen werden Opfer von Cybercrime-Straftaten. Bundes- und Landeskriminalämter erfassen jedes Jahr steigende Fallzahlen. Häufig wiegen sich besonders kleine und mittlere Unternehmen in falscher Sicherheit.

Die Anzahl der Straftaten im Bereich Cybercrime ist in den vergangenen Jahren kontinuierlich angestiegen. Insgesamt hat das Bundeskriminalamt für 2021 rund 146.363 Delikte registriert – ein Anstieg von rund 68 Prozent gegenüber dem Jahr 2018.

Obwohl inzwischen schon jeder vierte Mittelständler Opfer von Cyberkriminellen geworden ist, sehen zwei Drittel der Mittelständler kein hohes Risiko für das eigene Unternehmen. Dies ergab eine Forsa-Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV). 300 Entscheider:innen und IT-Verantwortliche von kleinen und mittleren Unternehmen wurden dafür in der ersten Jahreshälfte 2022 befragt. Für den Mittelstand insgesamt gehen 76 Prozent der Befragten von einem hohen Risiko erfolgreicher Cyberattacken aus. Paradoxerweise sehen aber nur 34 Prozent das eigene Unternehmen in Gefahr. Zwei Drittel der Manager:innen halten ihr Unternehmen bereits für umfassend geschützt oder für zu klein, um ins Visier Krimineller zu geraten.

„Zu viele Entscheider nehmen die Bedrohung durch Cyberkriminelle immer noch nicht ernst genug, zudem überschätzen sie die Qualität ihrer IT-Sicherheit“, kritisiert GDV-Hauptgeschäftsführer Jörg Asmussen. Die Folgen seien weit verbreitete Sicherheitslücken: „80 Prozent der Mittelständler erfüllen schon die Basis-Anforderungen an die IT-Sicherheit nicht vollständig. Die Hälfte der Unternehmen hat keinen Notfallplan, ein Drittel hat keine ausreichenden Datensicherungen“, so Asmussen. Das Niveau der IT-Sicherheit stagniere seit Jahren, während die Cyberattacken gleichzeitig immer professioneller und häufiger würden.

Die Maschen der Online-Betrüger

Die Gefahren der Online-Attacken werden wohl auch deshalb häufig unterschätzt, weil der Begriff Cybercrime so weit gefasst und recht schwammig definiert ist. Diese Verbrechen sind nun einmal „virtuell“ und darum nur schwer greif- und vorstellbar. Daher lohnt ein genauerer Blick, welche

Ziel von Ransomware und Verschlüsselungtrojanern ist es Dateien und Systeme des Unternehmens zu verschlüsseln, um Lösegeld für ihre Entschlüsselung zu verlangen. Moderne Varianten dieser Bedrohung lesen zusätzlich Daten aus, um mit der drohenden Veröffentlichung der Daten weiteres Geld zu erpressen.

Ziel des sogenannten CEO-Frauds ist es durch das Vorgeben einer gefälschten Identität – meist Geschäftspartner:innen oder Geschäftsführung – eine Überweisung von hohen Geldbeträgen zu erreichen.

Beim sogenannten Business E-Mail Compromise (BEC) verändern Täter irgendwo auf dem Weg zwischen Versender und Empfänger eine Rechnung oder Mahnung und versuchen, die Zahlung auf ein eigenes Konto umzuleiten.

Als TK-Hacking bezeichnet man das unberechtigte Verwenden von Telefonanlagen, um über das Anwählen von teuren Mehrwertnummern einen Gewinn zu erzielen. Dabei werden in der Regel Fernwartungs- oder Fernnutzungszugänge ausgenutzt, die nicht ausreichend geschützt sind.

Ziele von Attacken sind häufig auch die öffentlichen Websites der Unternehmen, manchmal auch deren Intra- und Extranets, um Inhalte auszulesen, zu zerstören oder zu manipulieren. Dabei nutzen die Täter leicht zu knackende Zugangsdaten oder Schwachstellen in Content-Management-Systemen aus, die viel zu häufig nicht auf dem neuesten Stand gehalten werden. Diese Arten von Angriffen werden unter den Begrifflichkeiten DB-Hacking oder Web-Defacing zusammengefasst.

Wie die Webpräsenz der Unternehmen sind auch die E-Mail-Systeme vom Internet aus zugänglich. Dies macht sie anfällig für potenziellen Missbrauch. Häufigster Fall ist zum Beispiel der massenhafte Spam-Versand über den Firmen-Mailserver.

Sehr weit verbreitet sind die sogenannten (D)DoS-Angriffe. Das Kürzel steht für (Distributed) Denial Of Service. Dabei werden Systeme mit konzertierten Attacken so stark mit Anfragen überlastet, dass sie schließlich den Dienst verweigern. Betroffen sein können Webseiten und Online-Shops, Mail-Server, VPN-Zugänge und internetbasierte Telefonanlagen. Die Täter wollen den Unternehmen entweder nur schaden durch die verursachten Betriebsausfälle oder Lösegeld erpressen.

Unter Phishing und Scamming schließlich fallen alle Angriffe, die nicht auf die Technik abzielen, sondern auf deren menschliche Benutzer. Phishing hat hierbei das Ziel, Daten zu erlangen, während die Täter beim Scamming auf Geld aus sind. Die Betrüger täuschen (wie beim CEO-Fraud) durch gefälschte Rufnummern und E-Mail-Adressen eine vertrauenswürdige Identität vor.

Prävention und Hilfestellung

Die gute Nachricht: Mit präventiven Maßnahmen können Unternehmen, sich weitreichend vor Cyber-Angriffen schützen. Der Katalog reicht von der Information und Schulung der Mitarbeiter:innen über regelmäßige Updates und das Einrichten einer Datensicherung mit zu spezielleren IT-Maßnahmen wie der Segmentierung von Netzwerken.

Hilfestellung bieten die Cybercrime-Spezialisten der Landeskriminalämter, sowohl bei der Prävention als auch – und ganz besonders – im Notfall. Der Rat der Polizei ist klar: Auch bei einem kleinen Schaden sollten Unternehmen Anzeige erstatten.

Unternehmen in Bremerhaven können sich per E-Mail an cybercrime@polizei.bremen.de oder telefonisch an (0421)362-19820 wenden. Unternehmen in den Landkreisen Cuxhaven und Wesermarsch können sich an die Zentrale Ansprechstelle Cybercrime (ZAC) für die Wirtschaft in Niedersachsen wenden. Telefonisch ist sie unter (0511)26262-6230 zu erreichen. Die ZAC bietet aber auch eine umfassende Website mit zahlreichen Checklisten, Videos und PDFs zur Cybercrime-Prävention für Unternehmen: https://www.zac-niedersachsen.de/.

Ein guter Startpunkt für die Präventionsarbeit ist auch der Cyber-Sicherheitscheck des GDV unter  www.gdv.de/cybercheck. Dieser stellt die wichtigsten Fragen rund um die IT-Sicherheit von Unternehmen. So lässt sich schnell herausfinden, wie sicher die eigenen Systeme sind, wo es Schwachstellen gibt und wie sich diese schließen lassen.

„Der Mittelstand hat die Potenziale bei der Prävention bei weitem noch nicht ausgeschöpft“, sagt GDV-Geschäftsführer Asmussen. „Angesichts der Gefahren müsste IT-Sicherheit in jedem Unternehmen Chefsache sein, denn eine Cyberattacke kann die wirtschaftliche Existenz eines Unternehmens in kürzester Zeit vernichten.“