Cyberattacken: Das sind die größten Bedrohungen für KMU
Mehr als jedes zweite kleine oder mittlere Unternehmen wurde bereits Opfer von Hackern. Der Schaden geht häufig in die Millionen. Das sind die Angriffsmethoden.
Kleine und mittlere Unternehmen (KMU) stellen für Cyberkriminelle beliebte Opfer dar. Denn zum einen sind bei ihnen durchaus auch größere Summen zu holen, die den Aufwand für einen Hackerangriff rechtfertigen. Zum anderen verfügen sie im Vergleich mit Großunternehmen zumeist nur über eingeschränkte Mittel zur Cyberabwehr, sind also verwundbarer. Der Netzwerkausrüster Cisco hat kürzlich über 1.800 KMU aus 26 Ländern zu ihren Erfahrungen mit Cyberattacken befragt. Das besorgniserregende Ergebnis lautet: 2018 wurden 53 Prozent der Unternehmen Opfer von Cyberkriminalität. Bei jedem fünften KMU bewegte sich die Schadenshöhe zwischen einer und zweieinhalb Millionen US-Dollar. 39 Prozent erlitten einen schweren Cybervorfall, der sich auf mehr als die Hälfte ihrer IT-Systeme erstreckte. Die Angriffsmethoden und -werkzeuge sind vielfältig, als relevant kristallisierten sich in der Cisco-Umfrage aber vor allem drei Typen von Cyberattacken heraus:
Phishing: Mitarbeiter werden gezielt mit gefälschten Mails zu bestimmten Aktionen verleitet, beispielsweise zu Überweisungen oder zur unbewussten Installation von Malware.
Mitarbeiter werden gezielt mit gefälschten Mails zu bestimmten Aktionen verleitet, beispielsweise zu Überweisungen oder zur unbewussten Installation von Malware. Malware: Diese werden „eingeschleust“ und es kann Jahre dauern, bis diese ausgeklügelten Schadprogramme entdeckt und öffentlich gemacht werden – Experten sprechen von Advanced Persistent Threat (ATP), zu Deutsch in etwa „hochentwickelte, fortdauernde Bedrohung“.
Diese werden „eingeschleust“ und es kann Jahre dauern, bis diese ausgeklügelten Schadprogramme entdeckt und öffentlich gemacht werden – Experten sprechen von Advanced Persistent Threat (ATP), zu Deutsch in etwa „hochentwickelte, fortdauernde Bedrohung“. Denial-of-Service-Attacken (DoS): Mithilfe ferngesteuerter Botnetze, also zahlreicher infizierter Rechner, werden Unternehmensserver gezielt außer Funktion gesetzt.
Als Einfallstor dienen Cyberkriminellen immer häufiger Clouddienste, auf die mittlerweile mehr als 70 Prozent der KMU zugreifen – 2015 waren es noch 55 Prozent. Auch die Sicherheitsarchitektur wird im Zuge dieser Entwicklung zunehmend in Richtung Cloud-basierte Lösungen verlagert. Dass die Hacker verstärkt KMU ins Visier nehmen, hat auch das Bundesamt für Verfassungsschutz erkannt. Dessen Analysten berichten von einer „alarmierenden Rate, was kleine und mittlere Unternehmen anbelangt“. Der Digitalverband Bitkom geht für alle deutschen Industrieunternehmen von einem Gesamtschaden von 43 Milliarden Euro durch Cyberkriminalität in den Jahren 2016 und 2017 aus. Ein gewaltiger volkswirtschaftlicher Aderlass. Die Antwort der Unternehmen und insbesondere der KMU kann nur in maximalen Sicherheitsvorkehrungen liegen – und im Sinne der unternehmerischen Existenzvorsorge zusätzlich in einer Absicherung des unvermeidlichen Restrisikos durch eine schlagkräftige Cyberpolice.
Wie Sie Ihr Unternehmen vor Cyberattacken schützen können und was Sie im Falle einer erfolgreichen Attacke tun können, erfahren Sie in unserem Ratgeber.
Die 4 größten digitalen Bedrohungen an Black Friday und Cyber Monday
Black Friday: eine tolle Aktion für Verbraucher und Einzelhändler
Black Friday und Cyber Monday läuten die Weihnachtszeit ein und sind bei Einzelhändlern und Verbrauchern gleichermaßen beliebt. Der enorme Anstieg des Website-Traffics auf Plattformen, die nicht dafür konzipiert sind, stellt aber auch ein Risiko dar: Internetbetrüger haben es leichter, Schwachstellen zu finden und sich Zugang zu verschaffen.
Kleinere Einzelhändler fühlen sich oft sicher, weil sie meinen, Hacker hätten es eher auf Unternehmen mit größeren Umsätzen abgesehen. Das ist aber nicht immer der Fall.
Cyberattacken sind teuer
Eine Bitkom-Studie zeigt, dass die deutsche Wirtschaft 2022 rund 203 Milliarden Euro an Schaden durch Cyberkriminalität davontrug. Zudem stellen Hackerangriffe mittlerweile für 48% der KMU in Deutschland die größte Bedrohung dar.
Auch stiegen die durchschnittlichen Zahlungen von Lösegeldern in den letzten Jahren stark an. Im vierten Quartal 2021 lag dieser Betrag bei 322.168 US-Dollar.
Was würden Sie tun, wenn Sie herausfinden, dass Ihr beliebter Onlineshop von solch einer Cyberattacke betroffen ist? Würden Sie dort weiterhin einkaufen?
Davon abgesehen sind E-Commerce-Unternehmen, die eine PCI-Selbstauskunft (Payment Card Industry) durchführen, unter Umständen vertraglich verpflichtet, den Sicherheitsvorfall genau zu untersuchen und anzugeben, welche Daten gefährdet wurden.
Ein solcher Vorgang kann mehrere Tausend Euro kosten und eine Erneuerung der PCI-DSS- und andere Zertifizierungen notwendig werden lassen. Diese kosten dann oft noch mehr als die Untersuchung selbst. Im schlimmsten Fall droht sogar eine Schließung des Shops.
Cyber Monday und Black Friday: vier Bedrohungen, die Sie kennen sollten
Phishing-Angriffe
Beim Phishing versuchen Hacker, Sie dazu zu bringen, persönliche Daten preiszugeben, um anschließend Geld oder sogar Ihre Identität zu stehlen. Diese Art des Angriffs kann auf vielen Wegen stattfinden, am üblichsten sind aber E-Mails, die vermeintlich von einem Bekannten oder renommierten Unternehmen stammen und Dringlichkeit vortäuschen.
Oft enthalten diese Spam-E-Mails einen Link zu einer Phishing-Website, auf der Sie gebeten werden, Log-in-Daten für ein Konto einzugeben. Diese werden erfasst, und der Hacker erhält Zugriff auf Ihr Konto. Misstrauen Sie grundsätzlich E-Mails, in denen Sie aufgefordert werden, auf einen Link zu klicken, eine Telefonnummer anzurufen oder einen Anhang zu öffnen.
Wenn Sie nicht sicher sind, von wem die E-Mail stammt oder Ihnen die Anfrage merkwürdig vorkommt, nehmen Sie Kontakt mit der Person auf, um sich zu vergewissern, dass es sich nicht um einen Phishing-Angriff handelt.
Social-Engineering-Angriffe
Beim Social Engineering geht es darum, jemanden zu einer bestimmten Handlung zu bewegen. 98 % aller Internetangriffe fallen in diese Kategorie.
Sie stellt für Unternehmen mit physischen Standorten ein größeres Risiko dar als für E-Commerce-Unternehmen. Der Angreifer täuscht eine falsche Identität vor und verschafft sich so Zugang zu einem Bereich des Gebäudes, in dem er auf das Unternehmensnetzwerk zugreifen und Schaden anrichten kann.
Social Engineering wird durch menschliches Versagen ermöglicht und ist daher besonders gefährlich. Und wegen der erhöhten Kundenfrequenz am Black Friday steigt das Risiko für Attacken dieser Art: Unbefugte Personen, die normalerweise entdeckt würden, haben es leichter, gesicherte Bereiche zu betreten.
Malware-Angriffe
Malware-Attacken sind ein immer häufiger auftretendes Problem, das am Black-Friday-Wochenende nicht vernachlässigt werden sollte.
In der ersten Jahreshälfte 2022 fanden weltweit 2,8 Milliarden solcher Angriffe statt. 2021 wurden 5,4 Milliarden Malware-Attacken gemeldet.
Malware ist ein Überbegriff für mehrere Angriffsvektoren, darunter Viren, Trojaner, Spyware, Rootkits und Keylogger. Die Liste ist lang. Solche Attacken können durch die Installation und regelmäßige Aktualisierung eines renommierten Antivirenprogramms auf allen Mitarbeitercomputern abgewehrt werden. Verwenden Sie außerdem sichere Kennwörter und Nutzer-Authentifizierungen und achten Sie darauf, Ihre Software auf dem neuesten Stand zu halten.
Skimming auf E-Commerce-Plattformen
Skimming-Attacken werden oft ermöglicht, weil aktuelle Software-Patches nicht installiert wurden. Der Angreifer liest dabei Kreditkartendaten auf den Bezahlseiten des Unternehmens aus.
Viele E-Commerce-Plattformen erfordern die regelmäßige Installation von Software-Patches, um vor Attacken dieser Art geschützt zu bleiben. Ist ein solcher Angriff erfolgreich, wird Skimming-Malware auf Ihrer Website installiert, die die Erfassung von Kreditkartendaten und deren Übertragung auf einen anderen Server ermöglicht. Anschließend können diese Daten zum Beispiel im Dark Web verkauft und für Geschäfte mit Kryptowährungen genutzt werden.
Das lernen wir daraus
Hacker versuchen alles Menschenmögliche, um auf Netzwerke und Computersysteme zuzugreifen.
Wenn sich zum Beispiel per Google-Dorking Schwachstellen ermitteln lassen, ist es sehr wahrscheinlich, dass zu jedem beliebigen Zeitpunkt Hunderte Hacker versuchen, diese Sicherheitslücken auszunutzen.
Hacker schaffen es, sich Zugang zu den Netzwerken von FTSE-500-Unternehmen zu verschaffen. Kleinere Unternehmen mit geringerem Budget für Cybersicherheit sind daher erst recht gefährdet. Und die saftigen Geldstrafen, die im Falle der Nichteinhaltung von Sicherheitsrichtlinien anfallen, können Sie im schlimmsten Fall zur Geschäftsaufgabe zwingen.
Drei Tipps für KMU zum Black Friday und Cyber Monday
Aktuelle Patches und Updates installieren
Achten Sie darauf, dass auf allen Geräten die neuesten Patches und Updates installiert sind, und entsorgen Sie Geräte, die nicht mehr aktualisiert werden.
Multi-Faktor-Authentifizierung einrichten
Aktivieren Sie die Multi-Faktor-Authentifizierung mithilfe von Authentifizierungs-Apps oder Tokenisierung für alle Geräte, Konten und Softwareanwendungen, die dafür infrage kommen.
Informationssicherheitsrichtlinien umsetzen
Führen Sie anhand eines anerkannten Frameworks wie der ISO 27001 Informationssicherheitsrichtlinien im Unternehmen ein, die für alle Mitarbeiter zugänglich sind, und informieren Sie die Belegschaft über die Notwendigkeit deren Einhaltung.
DataGuard unterstützt Sie gerne
DataGuard kann Ihnen beim Aufbau eines ISO- 27001-konformen ISMS (Information Security Management System) behilflich sein.
Mit einem ISMS lassen sich Ihre Unternehmensassets sowie die Bedrohungen ermitteln, mit denen Ihre Organisation konfrontiert ist. Anschließend können Sie die Risiken anhand der etablierten Controls des ISO-27002-Frameworks effektiver managen und mindern, damit Ihr Unternehmen besser geschützt ist.
PwC-Studie: Cyberkriminalität ist die größte Bedrohung für Unternehmen
Laut der Economic Crime & Fraud Studie von PwC ist fast die Hälfte der Unternehmen weltweit wirtschaftskriminellen Handlungen ausgesetzt: Neben Cyberkriminalität zählen Betrug durch Kunden sowie Veruntreuung zu den häufigsten Straftaten. Neue Risiken sind Betrugsvorfälle im Bereich digitaler Plattformen, der ESG-Berichterstattung und innerhalb der Lieferketten. [...]
Knapp die Hälfte der Unternehmen weltweit (exakt 46 Prozent) war in den letzten zwei Jahren wirtschaftskriminellen Handlungen ausgesetzt. Wie eingangs erwähnt zählen dabei Cyberkriminalität, der Betrug durch Kunden sowie Veruntreuung zu den häufigsten Straftaten. Am stärksten betroffen war der Tech-, Medien- und Telekommunikationssektor. Fast zwei Drittel der Unternehmen in diesen Branchen wurden in irgendeiner Form Opfer von Betrug. Das zeigen die Ergebnisse der aktuellen PwC-Studie „Global Economic Crime and Fraud Survey 2022“, bei der rund 1.300 Führungskräfte aus 53 Ländern befragt wurden.
Trotz der unsicheren Wirtschaftslage und geopolitischen Instabilität blieb die Gesamtanzahl von kriminellen Vorfällen in Unternehmen seit 2018 relativ konstant. Die Studienergebnisse lassen jedoch eine wachsende externe Bedrohungslage erkennen. Hacker und organisierte Verbrecherringe zählen zu den häufigsten externen Tätern. Beinahe 70 Prozent der betroffenen Unternehmen gaben zudem an, dass der größte Schaden durch einen externen Angriff oder eine geheime Absprache zwischen externen und internen Tätern verursacht wurde.
Finanzielle Schäden von über 50 Millionen Dollar
Das Betrugsrisiko variiert je nach Größe des Unternehmens. 52 Prozent der Firmen mit einem weltweiten Jahresumsatz von mehr als 10 Milliarden US-Dollar wurden in den letzten zwei Jahren Opfer von Betrug. Von diesen betroffenen Unternehmen gab fast jedes fünfte an, dass der gravierendste Vorfall einen finanziellen Schaden von mehr als 50 Millionen US-Dollar verursacht hat. Der Anteil kleiner Unternehmen – mit einem Umsatz von weniger als 100 Millionen US-Dollar – war hingegen geringer: 38 Prozent waren von Betrug betroffen. Davon erlitt eine von vier Firmen einen Gesamtschaden von mehr als 1 Million US-Dollar.
Cyberkriminalität als stärkste Bedrohung
Nachdem der Einfluss von Hackern in den vergangenen zwei Jahren erheblich zugenommen hat, stellt Cyberkriminalität aktuell die größte Bedrohung für Unternehmen dar. Als einen der Gründe sehen die Studienautoren den Anstieg digitaler Plattformen, wie soziale Medien, E-Commerce oder Dienstleistungsportale, die neue Hintertüren für unzählige wirtschaftskriminelle Risiken öffnen. 40 Prozent der von Wirtschaftskriminalität betroffenen Unternehmen berichteten von Betrug in Bezug auf digitale Plattformen. Somit lag Cyberkriminalität in den diesjährigen Ergebnissen mit Abstand vor dem Betrug durch Kunden – der am häufigsten genannten Straftat in der Vorgängerstudie im Jahr 2020. 42 Prozent der Großunternehmen mit Einnahmen zwischen einer und zehn Milliarden US-Dollar gaben nun an, von Cyberkriminalität betroffen gewesen zu sein. Hingegen waren nur 34 Prozent von Kundenbetrug betroffen.
„Ökologische, geopolitische, finanzielle und soziale Einflüsse schaffen eine Risikolandschaft, die unbeständiger ist als je zuvor“, sagt Christian Kurz, Director und Forensic Technology-Experte bei PwC Österreich, und ergänzt: „Parallel dazu bilden kriminelle Akteure verstärkt organisierte und sehr spezialisierte Verbrechergruppen mit dem Ziel digitale Plattformen zu infiltrieren. Unternehmen müssen nun flexibler sein denn je, um auf diese konvergierenden Bedrohungen reagieren zu können, und neue Ansätze sowie Technologien zur Prävention und Bewältigung von Straftaten einsetzen.“
ESG, Sanktionen und erschwerte Lieferketten
Wachsende Risiken wie ESG-Berichterstattungsbetrug, Sanktionen-Betrug oder Betrugsvorfälle innerhalb der Lieferkette haben das Potenzial, in den nächsten Jahren größeren Schaden zu verursachen, so die PwC-Studie.
Aktuell gaben nur 8 Prozent der geschädigten Unternehmen an, in den letzten 24 Monaten von Betrug in der Berichterstattung über Umwelt, Soziales und Unternehmensführung (ESG) betroffen gewesen zu sein. Da ESG für Unternehmer jedoch immer mehr an Bedeutung gewinnt, könnte das Risiko in diesem Bereich deutlich steigen. Ähnliches gilt auch für Sanktionen-Betrug durch die Beteiligung an nicht genehmigten ausländischen Boykotten (6 Prozent betroffene Unternehmen in den letzten 24 Monaten), da sich die weltweiten Sanktionen aktuell auf dem höchsten Stand seit Jahren befinden. Jedes achte Unternehmen weltweit berichtete bereits über neue Betrugsfälle in der Lieferkette als Folge der durch COVID-19 verursachten Auswirkungen. Jedes fünfte Unternehmen sieht Betrug in der Lieferkette als einen Bereich mit erhöhtem Risiko infolge der Pandemie.
Verteidigungsstrategien gegen externe Bedrohungen
Um Betrug besser zu verhindern und aufzudecken, gaben die befragten Unternehmen an, zukünftig die internen Kontrollen, technischen Möglichkeiten und die Berichterstattung verstärken zu wollen. Die Abwehr neuer externer Bedrohungen erfordert jedoch ein anderes Instrumentarium und einen kontinuierlichen Fokus auf Richtlinien, Schulungen, Kontrollen sowie zunehmend auch auf den Einsatz hochentwickelter Technologien.
„Angesichts der zunehmenden externen Betrugsfälle müssen Unternehmen kreativer denken, um die Schutzwirkung ihrer Sicherheitsvorkehrungen zu verstärken. Das Verständnis des gesamten Lebenszyklus von kundenorientierten Produkten, die richtige Balance zwischen Nutzererfahrung und Betrugskontrolle sowie eine ganzheitliche Sicht auf Daten helfen Unternehmen, sich im ständigen Kampf gegen Betrug zu wappnen“, resümiert PwC-Experte Christian Kurz.
Weitere Informationen zur Studie finden Interessierte unter www.pwc.at/fraudsurvey2022.