Cyber-Attacken auf KMUs: Schadenshöhen von 95.000 Euro bis über 500.000 Euro

Laut einer aktuellen Studie der HDI Versicherung entsteht durch einen Cyber-Angriff bei deutschen KMUs im Durchschnitt ein Schaden von 95.000 Euro. Die Schadenshöhen sind dabei auch von der Größe des Unternehmens abhängig. Eine einfache Faustformel lautet: Je höher der Umsatz und die Bedeutung der Unternehmung in Lieferketten, desto höher die direkte Schadensumme. Dementsprechend sind Schadensummen von 95.000 bis über 500.000 Euro nicht die Ausnahme, sondern bereits die Regel.

Diese Schadensummen können in Lösegeldforderung und nachgelagerte Schäden aufgegliedert werden:

Oft deutlich unterschätzt wird hier die Einschränkung oder der Ausfall der IT. Die Folgen hieraus wirken sich auf nahezu alle zentralen Geschäftsprozesse aus und können von einigen Tagen bis zu mehreren Wochen anhalten. 

Was wissen wir?

Glücklicherweise sind derzeit gezielte Cyber-Angriffe im deutschen Mittelstand noch die Ausnahme. Die meisten Angriffe auf KMUs erfolgen bisher nicht zielgerichtet und geschehen eher zufällig - beispielsweise über Phishing-E-Mails. Ein solches Eintrittstor nutzen die Angreifer, um im Anschluss daran über verschiedene Aktivitäten Administratorenrechte zu erlangen. Danach werden oft Daten entwendet, um über eine Veröffentlichungsdrohung ein Lösegeld zu erpressen. Eine andere, inzwischen seltenere, „Spielart“ eines solchen Angriffs ist die Verschlüsselung der Daten, um ein Lösegeld für die Entschlüsselung zu verlangen. Die Schlinge zieht sich zu. Die Alternativen in diesem Moment: Zahlen oder Leiden! 

Knapp die Hälfte der gehackten und verschlüsselten Unternehmen sehen sich gezwungen die Lösegeldforderung (meist in Bitcoins) zu bezahlen. Selbst im Falle der Bezahlung ist nicht garantiert, die Daten wieder komplett zurückzuerhalten. Der Fokus der Angreifer liegt naturgemäß mehr im Ver- als im Entschlüsseln. Entsprechend schlecht sind die Entschlüsselungsprogramme und führen letztlich nur zur partiellen Datenwiederherstellung. So gaben es auch 64 % der betroffenen Unternehmen in der Studie der HDI an.

Was tun?

Die effektivste Abwehr von Phishing-Attacken ist ein entsprechendes Training der eigenen Mitarbeiter. Die am häufigsten eingesetzten Methoden sind hierbei das Versenden eigener Phishing-E-Mails sowie anschließende (Online-)Trainings. Diese Art der „Härtung“ menschlicher Ressourcen im eigenen Betrieb wird idealerweise zur besseren Messung des Fortschritts in unregelmäßigen Abständen über einen Zeitraum von mindestens einem Jahr durchgeführt. Es mag unangenehm sein, selbst in eine Falle hineinzutappen, aber nur durch einen möglicherwiese schmerzhaften, aber dafür nachhaltigen Lerneffekt, bleibt der Mitarbeiter aufmerksam.

Auch rücken technische und physische Penetrationstest der IT-Infrastruktur, sowie die Angriffsfläche bestehender Firmengebäude immer mehr in den Vordergrund. Zum einen gilt es auf technischer Ebene im Eintrittsfall mittels smarter Sensorik den Angriff schnell zu erkennen, um Gegenmaßnahmen einzuleiten. Zum anderen sollten aber auch physische „Einfallstore“ (Aufhalten der Tür für den „neuen Kollegen“) nicht vernachlässigt werden.

zurück zur Ausgabenübersicht