Link direkt zur Header-Navigation Link direkt zur Hauptnavigation und Suche Link direkt zum Inhalt Link direkt zur Footer-Navigation
Sie sind hier:
  1. Startseite
  2. / Angebote
  3. / Themenhub 2/24: Cybersicherheit

KMU im Visier: Diese Cyberbedrohungen können für Ihr Geschäft gefährlich werden Cyberwissen

Einleitung

Ihr Unternehmen könnte gerade in diesem Augenblick das nächste Ziel von Hackern sein. In den Postfächern einiger Ihrer Mitarbeitenden wartet womöglich schon eine Phishing-Mail. Wird ein Anhang oder ein mitgesendeter Link geöffnet, kann dies den Angreifenden bereits den Zugang zu sensiblen Daten Ihres Unternehmens ermöglichen. Häufig kombinieren Kriminelle solche Mails mit einem Ransomware-Angriff, bei dem sie die gesamte Unternehmens-IT lahmlegen und drohen, die Daten erst nach der Zahlung eines Lösegelds freizugeben. Und das sind nur zwei von vielen weiteren potenziellen Cyberbedrohungen. Nachfolgend erfahren Sie, warum gerade KMU immer häufiger Cyberangriffen ausgesetzt sind und welche Schwachstellen Kriminelle dafür ausnutzen.

Ein Laptop, ein Kaffeebecher und ein Mobiltelefon liegen auf einem Schreibtisch. Eine Hand tippt etwas am Laptop. Auf dem Bildschirm wird eine offene Email angezeigt.

© tippapatt – stock.adobe.com

Ohne Vertrauen kann niemand Geschäfte machen. Genau das nutzen Kriminelle aus, als sie 2023 von einem Unternehmen aus Kaiserslautern 290.000 Euro ergaunern. Die Betrüger geben sich per E-Mail als Geschäftspartner des Unternehmens aus und bringen einen Mitarbeiter dazu, die Summe auf ein von ihnen genanntes Konto zu überweisen. Ihr Trick: Sie hatten sich zuvor Zugang zum Mailprogramm der Firma verschafft und konnten sich so in einen Mailverlauf zwischen einem Lieferanten und dem Unternehmen einklinken, um sich dann selbst als eben dieser Lieferant auszugeben.

Angriffe wie diese häufen sich. „Wir sehen vor allem eine Intensivierung der Lage“, warnt Marc Dönges, Projektleiter Transferstelle Cybersicherheit im Mittelstand. „Die größten Bedrohungsformen bleiben zwar relativ konstant, aber sie werden immer gravierender.“ Rund drei Viertel aller Unternehmen waren laut einer Bitkom-Studie in den vergangenen zwölf Monaten von analogen und digitalen Angriffen betroffen. Auch die Zahlen des Lageberichts zur IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bestätigen, dass die Gefahr durch Cyberbedrohungen nach wie vor groß ist.

Verschärfte Bedrohungslage

Der Bitkom-Studie zufolge beliefen sich die Schäden deutscher Unternehmen durch Diebstahl von IT-Ausrüstung, Daten sowie Industriespionage und Sabotage im Jahr 2023 auf 206 Milliarden Euro. Cyberattacken machten fast 72 Prozent des Gesamtschadens aus, was etwa 148 Milliarden Euro entspricht. Das ist ein deutlicher Anstieg zum Vorjahr, als nur 63 Prozent und damit rund 128 Milliarden Euro Schaden Cyberangriffen zugerechnet werden konnten.

Im Zeitraum vom 1. Juni 2022 bis 1. Juni 2023 entdeckte das BSI täglich eine Viertelmillion neue Schadprogramm-Varianten. Im gleichen Zeitraum waren 66 Prozent aller Spam-Mails mit Cyberangriffen verbunden: 34 Prozent davon waren Erpressungs-, 32 Prozent Betrugsversuche. Täglich wurden in dieser Zeit durchschnittlich 21.000 infizierte Systeme erkannt und an deutsche Provider gemeldet.

Gründe für die Intensivierung von Cyberkriminalität

Besonders besorgniserregend ist der Anstieg organisierter Kriminalität im Bereich Cyberangriffe. 61 Prozent der betroffenen Unternehmen ordnen die Täter diesem Bereich zu. 2022 lag der Anteil noch bei 51 Prozent, 2021 sogar nur bei 29 Prozent. „Wir sehen, dass Cyberkriminalität zum Geschäftsmodell wird“, erläutert Marc Dönges. „Es gibt Strukturen von Ransomware-Angriffen, bei denen sogar Service-Hotlines existieren, wo man anrufen kann, um zu erfahren, wie man das Lösegeld überweist. Diese Professionalisierung betrifft nicht nur große Unternehmen, sondern auch kleine, da sie besonders verwundbar sind.“

Zur Professionalisierung der Cyberkriminalität trägt auch die Entwicklung Künstlicher Intelligenz (KI) bei. So gelingt es Betrügern mithilfe generativer KI etwa immer besser, auch massenhaft verschickte Mails in Form und Duktus so anzupassen, dass sie kaum noch als Fälschungen auffallen.

Auch geopolitische Entwicklungen spielen eine Rolle. Seit Beginn des russischen Angriffskrieges auf die Ukraine haben sich Russland und China immer mehr zur Basis für Attacken auf die deutsche Wirtschaft entwickelt. 46 Prozent der laut Bitkom-Studie betroffenen Unternehmen konnten Angriffe nach Russland zurückverfolgen, 42 Prozent nach China. Damit steht Russland 2023 erstmals an der Spitze der Länder, aus denen Angriffe auf die deutsche Wirtschaft lanciert werden.

Mit diesen Cybergefahren müssen Sie rechnen

Der Mensch ist in den meisten Fällen die entscheidende Schwachstelle, über die sich Cyberkriminelle Zugang zu Daten und IT-Systemen verschaffen. Um Menschen dazu zu bringen, in ihrem Sinne zu handeln, nutzen Betrüger aber auch einige technische Werkzeuge, die Sie kennen sollten.

Technische Werkzeuge von Cyberangriffen

Die häufigsten technischen Werkzeuge von Cyberkriminellen sind: Malware, Ransomware, Adware, Trojaner, DoS und DDoS, Spyware, Computerwürmer, Kennwort- und Brute-Force- sowie Man-in-the-Middle-Angriffe (MitM).

Symbolicon für eine Megafon

Infokasten

Technische Werkzeuge von Cyberangriffen

  • Malware (von „malicious software“, deutsch „Schadsoftware“) umfasst jegliche Art von schädlicher Software wie Viren, Würmer und Trojaner, die darauf abzielt, Systeme zu infizieren und Daten zu stehlen oder zu zerstören.
  • Bei Ransomware (von „ransom software“, deutsch „Erpressungssoftware“) handelt es sich um eine Schadsoftware, die Dateien verschlüsselt und für deren Freigabe die Angreifer dann ein Lösegeld fordern. Laut BSI-Bericht sind 91 Prozent der von Ransomware betroffenen Betriebe mittelständische Unternehmen. Marc Dönges warnt: „Ein erfolgreicher Cyberangriff mit Ransomware kann schnell sehr teuer werden, insbesondere für kleine und mittlere Unternehmen. Denn zum Lösegeld kommen in jedem Fall auch Kosten für die Wiederherstellung der Daten und des IT-Systems hinzu. Weitere Schäden entstehen dadurch, dass Produktions- und Lieferzeiten nicht eingehalten werden können. Die Reputation des Unternehmens leidet zudem oft allein durch den Umstand, den Angriff nicht wirksam verhindert haben zu können.“
  • Adware (von „advertising software“, deutsch „Werbesoftware“) ist zwar weniger zerstörerisch, aber dennoch störend. Diese Software zeigt unerwünschte Werbung an und kann persönliche Daten ausspionieren.
  • Trojaner (in Anspielung auf das Trojanische Pferd aus der griechischen Mythologie) sind Schadsoftwares, die sich als nützliche Software tarnen und Angreifern den Zugriff auf das System ermöglichen.
  • DoS- und DDoS-Angriffe zielen darauf ab, Systeme durch Überlastung unzugänglich zu machen. DoS steht für „Denial of Service“ („Dienstverweigerung“), DDoS für „Distributed Denial of Service“ („Verteilte Dienstverweigerung“). Während bei DoS-Angriffen der Ursprung der Attacke meist leicht zu identifizieren ist, erfolgen DDoS-Attacken gleichzeitig von vielen verteilten Quellen aus, sodass sie noch schwieriger abzuwehren sind.
  • Spyware (von „spy software“, deutsch „Spähsoftware“) überwacht heimlich Benutzeraktivitäten und entwendet sensible Daten.
  • Computerwürmer verbreiten sich selbstständig über Netzwerke und können erhebliche Schäden verursachen, etwa indem sie IT-Netzwerke lahmlegen.
  • Kennwort- und Brute-Force-Angriffe („brute force“, deutsch „mit roher Gewalt“) versuchen, Passwörter zu knacken, um unbefugten Zugriff zu erlangen.
  • Man-in-the-Middle-Angriffe (MitM, deutsch „Mann in der Mitte“) fangen die Kommunikation zwischen zwei Parteien ab und manipulieren sie.

Social-Engineering-Methoden

Social-Engineering-Angriffe sind besonders gefährlich, da sie den Menschen als Schwachstelle ins Visier nehmen. „Social-Engineering-Attacken können viele Formen haben“, erklärt Michelle Walther, Social-Engineering-Expertin vom Mittelstand-Digital Zentrum Fokus Mensch. „Die wohl bekannteste Art sind Phishing- beziehungsweise Spear-Phishing-E-Mails. Da Menschen oftmals beim Beantworten von E-Mails unter Zeitdruck stehen und durch KI die Phishing-E-Mails immer besser werden, ist es schwierig, diese E-Mails als Social-Engineering-Attacken zu enttarnen.“

Beim Phishing (abgeleitet vom englischen „fishing“, deutsch „Fischen“) versuchen die Angreifenden, sensible Informationen wie Passwörter oder Kreditkartendaten zu erlangen, indem sie sich etwa per E-Mail als vertrauenswürdige Person oder Institution ausgeben und die Herausgabe sensibler Daten erschleichen. Das klappt erstaunlich oft. „Laut Studien öffnen 47 Prozent der Nutzenden Phishing-E-Mails“, erläutert Marc Dönges, „und 31 Prozent klicken auf schädliche Inhalte.“

Spear-Phishing („spear“, deutsch „Speer“, im Sinne von „zielgerichtetes Phishing“) geht noch einen Schritt weiter und richtet sich gezielt gegen bestimmte Personen oder Organisationen, oft durch umfangreiche Recherche verstärkt. Eine Variante davon ist das sogenannte Smishing (Zusammensetzung aus „SMS“ und „Phishing“), bei dem die Kriminellen gefälschte Textnachrichten zur Erbeutung von Daten versenden. Zudem gibt es Phishing-Websites, die echte Websites imitieren, um Anmeldedaten zu stehlen. Eine weitere Form des Social Engineering ist der sogenannte Romance-Fraud („Liebesbetrug“), bei dem Täter Scheinbeziehungen eingehen, um Opfer emotional zu manipulieren und finanziell auszubeuten. „Beim Romance-Fraud machen sich Kriminelle zunutze, dass viele Menschen einsam sind und sich deshalb täuschen lassen“, führt Michelle Walther aus. „Diese Masche betrifft zwar vornehmlich Privatpersonen, wird aber auch zur Unternehmensspionage genutzt, um an Informationen zu gelangen.“

Symbolicon für eine Megafon

Infokasten

Weitere Phishing-Varianten

  • CEO Fraud („CEO Betrug“): Angreifer geben sich als CEO oder Führungskraft aus, um Mitarbeitende zur Überweisung von Geldern auf gefälschte Konten zu bringen.
  • Clone Phishing: Legitime E-Mails werden geklont und bösartige Versionen davon erstellt, um Nutzende zu verleiten, auf betrügerische Links oder Anhänge zu klicken.
  • Domain Phishing: Gefälschte Unternehmensdomains werden erstellt, um Nutzende dazu zu bringen, persönliche Daten auf Fake-Webseiten preiszugeben.
  • Evil Twin („bösartiger Zwilling“): Angreifer erstellen gefälschte WLAN-Hotspots, um Netzwerkverkehr abzuhören und sensible Daten zu sammeln.
  • Vishing (von „Video Phishing“): Telefonanrufe, um persönliche Daten zu erlangen und um Zugriff auf Konten durch Herausgabe von sensiblen Daten zu erhalten.
  • Whaling („Walfang“): Angriffe auf hochrangige Führungskräfte, um sensible Unternehmensinformationen und Daten zu erlangen.
  • Watering Hole Phishing („Wasserloch-Angriff“): Gezielte Malware-Infizierung von Websites, die von Mitarbeitenden eines Unternehmens besonders häufig besucht werden. Beim Aufrufen der entsprechenden Website wird die Malware auf die Computer der Website-Nutzenden geladen.
  • Pharming (Zusammensetzung von „farming“, deutsch „Landwirtschaft“ und „Phishing“): Manipulation von Internet-Adressen, um Nutzende auf gefälschte Webseiten zu leiten und Daten abzufangen.

Diese Aufzählung ist längst nicht vollständig und zeigt doch, wie vielseitig und anpassungsfähig die Angreifenden vorgehen. Unternehmen sollten sich daher dringend mit den Möglichkeiten und dem Vorgehen von Cyberkriminellen beschäftigen, um sich wirksam gegen sie wappnen zu können.

Vier typische Schwachstellen im Umgang mit Cybergefahren

Oftmals unterschätzen Unternehmen die von Cybergefahren ausgehenden Risiken oder vernachlässigen notwendige Sicherheitsvorkehrungen. Daraus ergeben sich häufig Angriffsflächen, die Cyberkriminelle für sich nutzen. Die folgenden vier Punkte beschreiben Schwachstellen, die bei KMU besonders häufig auftreten:

Punkt 1: Angriffspunkte bieten Sie Kriminellen, wenn Sie Ihr Unternehmen für zu unwichtig halten und glauben, Ihre Unbekanntheit schütze Sie. Tatsächlich zeigen die jüngsten Zahlen des BSI, dass Hacker KMU mittlerweile sogar besonders häufig als Ziele wählen, da sie dort aufgrund fehlender oder mangelnder Sicherheitsmaßnahmen überdurchschnittlich oft erfolgreich sind.

Punkt 2 betrifft die Delegation der Verantwortung für IT-Sicherheit. In der Regel wird diese Aufgabe der IT-Abteilung oder externen Dienstleistern zugeschrieben. Tatsächlich aber sollte die Verantwortung beim Management liegen. Marc Dönges betont, dass Schwächen bei der IT-Sicherheit mittlerweile das größte Risiko für Unternehmen darstellen und die Verantwortung dafür schon aus diesem Grund beim Chef oder der Chefin liegen sollte. Voraussichtlich ab Frühjahr 2025 (der genaue Termin stand bei Redaktionsschluss im Oktober 2024 noch nicht fest) müssen etwa 30.000 Unternehmen die Anforderungen aus der neuen NIS-2-Richtlinie der EU einhalten. Diese sieht vor, dass IT-Sicherheit zur Sache der Geschäftsführung wird und das Management für Fehler im IT-Sicherheitsmanagement haftet. Bei Nichteinhaltung der von der Richtlinie vorgesehenen Maßnahmen drohen Strafen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes. Auch Zulieferer dürften künftig verstärkt von ihren Auftraggebern auf die Erfüllung der Anforderungen aus der NIS-2-Richtlinie verpflichtet werden, da auch innerhalb der Lieferkette die Einhaltung der IT-Sicherheitsstandards nachgewiesen werden muss.

Punkt 3 ergibt sich aus wirtschaftlichen Erwägungen: Gerade KMU zögern IT-Investitionen mitunter hinaus und investieren somit nicht genug in IT-Sicherheit. Veraltete Hard- und Software, für die es keine Updates mehr gibt, sind jedoch anfällig für Sicherheitslücken. Cyberkriminelle wissen um diese Lücken und suchen daher gezielt nach veralteten Systemen, da sich diese ohne große Aufwände leicht angreifen lassen. Von einem möglichen Angriff aus gedacht, ist es daher wesentlich günstiger, die Kosten für IT-Sicherheit als Posten laufender Kosten zu betrachten. Social-Engineering-Expertin Michelle Walther etwa empfiehlt, auf geregelte Abläufe für den Umgang mit Passwörtern, das Updaten von Software und das Auffrischen und Erhalten von Wissen der Belegschaft zu setzen. Mitarbeitende sollten regelmäßig geschult werden, um Cyberangriffe erkennen und vorbeugen zu können.

Punkt 4 ist das Fehlen eines durchdachten Notfallmanagements. Da sich Cyberangriffe nicht vollständig vermeiden lassen, sollten Sie gut darauf vorbereitet sein. Dazu gehört ein Notfallmanagement, das klar definiert, was im Krisenfall zu tun und wer zu informieren ist. Dazu gehört auch, sicherzustellen, dass der laufende Betrieb nach einem Angriff schnell wieder aufgenommen werden kann, etwa durch die regelmäßige Sicherung von Daten und deren Wiederherstellung. Üben Sie die dafür notwendigen Maßnahmen am besten regelmäßig mit allen Beteiligten.

Handlungsbedarf für KMU

Mit welchen weiteren Maßnahmen Sie Ihr Unternehmen vor Cyberangriffen schützen, erfahren Sie unter „Mit diesen 6 Maßnahmen stärken Sie Ihren Schutz vor Cyberbedrohungen“ in diesem Themenhub. Zudem gehen wir darauf ein, wie Sie im Fall eines Cyberangriffs vorgehen und wie Sie die Cyberfitness Ihrer Belegschaft verbessern. In unserem Video erfahren Sie, was Sie zu der EU-Richtlinie NIS-2 wissen sollten.

Weitere Informationen und Unterstützung zum Thema Cybersicherheit bieten Ihnen die Transferstelle Cybersicherheit im Mittelstand sowie jedes Mittelstand-Digital Zentrum in Ihrer Nähe.

Zurück zur Übersicht

mittelstand-digital@dlr.de