Flexible Security for Your Peace of Mind

So können sich KMUs effektiv vor Cyberangriffen und Datenschutzverletzungen schützen

Die Zahl der Cyberangriffe auf deutsche Unternehmen wächst seit Jahren. In den zwölf Monaten vor August 2024 war laut Bitkom die Mehrzahl der Unternehmen von digitalem Datendiebstahl (74 Prozent), digitaler Sabotage (70 Prozent) und dem Ausspähen von Geschäftskommunikation (60 Prozent) betroffen. Den Gesamtschaden, der durch Cyberkriminalität entstand, beziffert der Branchenverband auf 178,6 Mrd. Euro. Der durchschnittliche Schaden pro Angriff lag dabei laut Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bei 45.370 Euro.

Wir untersuchen, was dies für kleine und mittlere Unternehmen (KMU) bedeutet und wie sie das Risiko eines erfolgreichen Cyberangriffs effektiv verringern können.

KMUs als Angriffsziele

Häufig denken kleinere und mittlere Unternehmen, sie seien zu kleine Fische und nicht attraktiv genug für Cyberangriffe. Aber nicht nur die großen Unternehmen und Marktführer sind von den Attacken betroffen. Auch KMUs geraten zunehmend ins Blickfeld von Hackern. Dabei macht es keinen Unterschied, in welcher Branche sie tätig sind, wie Attacken auf das Müllentsorgungsunternehmen Jakob Becker oder der Angriff auf die Bäckereikette Schäfer zeigen.

Warum Cyberkriminelle KMUs ins Visier nehmen

Entgegen der häufig vertretenen Selbsteinschätzung sind mittelständische Unternehmen tatsächlich attraktive Ziele für Cyberkriminelle. Denn dort gibt es oft keine spezialisierte IT-Sicherheitsabteilung und es mangelt häufig an robusten Sicherheitsverfahren. Laut Sharp-Studie, bei der im Februar 2023 europaweit mehr als 5.700 IT-Entscheider von KMUs befragt wurden, verfügten 42 Prozent der Befragten über keine Firewall; 57 Prozent hatten keine Passwortrichtlinien eingeführt und 55 Prozent keine Multi-Faktor-Authentifizierung implementiert. Ein weiterer Grund, deutsche KMUs anzugreifen ist, dass sie im internationalen Vergleich als wohlhabend gelten und daher ein lukratives Ziel für Erpressungen darstellen. Hacker haben es aber auch noch aus einem anderen Grund auf mittelständische Unternehmen abgesehen: Sie wollen sich über einen Angriff auf ein (vermeintlich) verwundbareres, kleineres Unternehmen Zugang zu größeren Unternehmen verschaffen. Viele große Datenschutzverletzungen der letzten Jahre waren das Ergebnis von Angriffen auf ein kleineres Unternehmen, das mit einem Konzern digital verbunden war (Lieferkettenangriff). Seit 2023 gab es mehrere Sicherheitsverletzungen bei KMUs, die zu Angriffen auf große Unternehmen führten, darunter AT&T, Bank of America oder 1password.

Die meisten Attacken auf Unternehmen sind Ransomware-Angriffe

Die häufigsten Attacken waren laut Bitkom (siehe oben) Ransomware-Angriffe, gefolgt von Phishing- und Passwortangriffen. Allein im Jahr 2023 haben laut Bundeslagebild Cybercrime des BKA mehr als 800 Unternehmen einen Ransomware-Angriff zur Anzeige gebracht, wobei das BKA darauf hinweist, dass es im Bereich Cybercrime eine hohe Dunkelziffer gibt.

Bei einer Ransomware-Attacke verschaffen sich die Angreifer per Phishing-Mails, infizierte Downloads oder kompromittierte Anmeldedaten Zugriff auf IT-Systeme, um dort mit einem Verschlüsselungstrojaner Daten zu blockieren und für deren Freigabe Lösegeld zu erpressen. Zunehmend wird auch gedroht, sensible Daten aus dem Angriff im Internet zu veröffentlichen. Das BKA beziffert den Umfang der weltweiten Ransomware-Zahlungen auf 1,1 Mrd. US-Dollar.

Die Auswirkungen von Cyberangriffen auf kleine und mittlere Unternehmen

Die möglichen Schäden eines Cyberangriffs sind vielfältig. Neben den direkten Kosten für die Wiederherstellung der Daten entstehen Schäden durch Unterbrechung der Geschäftsprozesse oder durch Reputationsverluste.

Laut dem IBM Cost of a Data Breach Report 2024 gelang es nur 12 Prozent der von einem Cyberangriff betroffenen Unternehmen, den Zustand vor der Sicherheitsverletzung vollständig wiederherzustellen. Und es dauerte: Die überwiegende Mehrheit (78 Prozent) der darin erfolgreichen Unternehmen benötigte dazu mehr als 100 Tage. Langfristige Schäden, die einer hundertprozentigen Wiederherstellung im Wege stehen, sind unter anderem empfindliche Reputationsverluste, die das Vertrauen der Kunden untergraben und schlimmstenfalls zum Ende der Kundenbeziehung führen. Zudem können Daten für immer verloren sein: Selbst wenn Lösegeld gezahlt wurde, sind fast 40 Prozent der Unternehmen nicht in der Lage, ihre Daten wiederherzustellen.

Für Unternehmen kann ein Cyberangriff daher schlimmstenfalls existenzbedrohend sein. So musste der Textilhersteller Erfo im Dezember 2023 Insolvenz beantragen. Auch für den Fahrradhersteller Prophete bedeutete ein Cyberangriff zunächst einen wochenlangen Produktionsstillstand und schließlich, auch aufgrund bereits vorher schlechter Betriebsergebnisse, die Insolvenz.

Was können KMUs tun, um die Risiken von Cyberangriffen zu mindern?

Auch ohne spezialisierte IT-Sicherheitsabteilung können KMUs einiges tun, um sich wirksam gegen Cyberangriffe zu schützen. Dabei können sie sich an bewährten Verfahren für die Cybersicherheit orientieren, z. B. an dem vom National Institute of Standards and Technology (NIST) entwickelten Cybersecurity Framework. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit den 111 Bausteinen des IT-Grundschutz-Kompendiums ein umfangreiches Rahmenwerk zur Absicherung von IT-Systemen und Geschäftsprozesse (auch gegen Cyberangriffe) zur Verfügung.

Speziell für KMUs hat das Bundesamt einen leichten Einstieg in die Cyber-Sicherheit zusammengestellt, mit verschiedenen Hilfestellungen und Videos zum Thema. Darin finden sich acht Basiselemente einer Gesamtstrategie zur Risikominimierung, die sowohl technische als auch organisatorische Maßnahmen darstellen:

  • Regelmäßige Daten-Backups
  • Regelmäßige Sicherheitsupdates
  • Virenschutz, um die IT vor Infektionen zu schützen und auf mögliche Infektionen zu prüfen
  • Verwendung einer Firewall gegen Angriffe von außen
  • Nutzung von Zwei-Faktor-Authentisierung
  • Verwendung starker Passwörter
  • Regelmäßige Mitarbeiterschulungen
  • Gezielte Deaktivierung und Freigabe von Makros

Natürlich erfordert auch die Umsetzung dieser „Einstiegsmaßnahmen“ ein gewisses Know-how im Unternehmen. Für Firmen, bei denen es keine Personen mit hinreichenden IT-Kenntnissen gibt, empfiehlt das BSI daher eine dauerhafte Beauftragung eines IT-Dienstleisters.

Unser Tipp: Der Schutz vor Cyberangriffen verlangt Investitionen in Form von Zeit und Geld. Aber gerade kleine und mittlere Unternehmen haben hier nur ein sehr knappes Budget. Mit zahlreichen Förderprogrammen unterstützen EU, Bund und Länder daher die Investition in die IT-Sicherheit. Der Outpost24-Blogbeitrag Cybersecurity: Förderprogramme 2024 bietet hier eine umfangreiche Orientierung.

Einfallstor Passwort

Jedes der vom BSI empfohlenen Verfahren kann dazu beitragen, das unbefugte Eindringen in die Unternehmens-IT und den unbefugten Zugriff auf Daten zu verhindern. Ein zentraler Aspekt der IT-Sicherheit ist jedoch die Absicherung von Nutzerkonten. Der Grund: An bis zu 90 Prozent der bösartigen Datenschutzverletzungen ist Social Engineering beteiligt. Cyberkriminelle nutzen diverse Social-Engineering-Techniken, insbesondere Phishing, um in Besitz der gültigen Passwörter eines Nutzers zu gelangen. Gelingt ihnen dies, können sie viele der Sicherheitsmaßnahmen umgehen.

Hier gilt es einerseits, die Mitarbeiter regelmäßig über aktuelle Gefahren wie beispielsweise neue Phishing-Techniken zu informieren und sie für das Thema IT-Sicherheit zu sensibilisieren. Andererseits ist es wichtig, klare, benutzerfreundliche Passwortrichtlinien zu erstellen und durchzusetzen. Darüber hinaus sollten bereits kompromittierte Passwörter unbedingt gesperrt werden.

Reports Übersicht zu Specops Password Auditor
Prüfen Sie mit Specops Password Auditor, ob kompromittierte Kennwörter in Ihrem Active Directory schlummern!

Effektive Passwort-Sicherheitsmaßnahmen für KMUs

Passwortangriffe sind häufig erfolgreich, weil viele Nutzer immer noch schwache Passwörter wie 123456 nutzen oder dasselbe Kennwort für mehrere Nutzerkonten (oft auch private) verwenden, wie der Specops Breached Data Report zeigt. Die Durchsetzung von Passwortrichtlinien, die den Endnutzern helfen, sicherere Passwörter zu erstellen und die Verwendung von schwachen und gebräuchlichen Kennwörtern zu unterbinden, macht es Hackern schwerer. Dies sollte jedoch über die Einhaltung der grundlegenden Anforderungen an Komplexität von Passwörtern hinausgehen.

Denn oft sind Angreifer erfolgreich, weil die Benutzer berechenbar sind. Sie neigen dazu, ähnliche Muster oder vorhersehbare Phrasen zu verwenden, wenn sie versuchen, die Komplexitätsanforderungen der Passwortrichtlinien zu erfüllen. Sie beginnen beispielsweise mit einem häufig vorkommenden Wort, dem eine Zahl oder ein Sonderzeichen folgt. Daher sollten sich die Maßnahmen nicht auf das Implementieren von Passwortrichtlinien beschränken.

Verwenden Sie die Multi-Faktor-Authentisierung

Multi-Faktor-Authentisierung (MFA) reduziert das Risiko von leicht zu knackenden Passwörtern durch Hinzufügen einer zusätzlichen Schutzebene, wie beispielsweise einem Smartphone. So können Angreifer, selbst wenn sie im Besitz eines kompromittierten Passworts sind, nicht auf ein Nutzerkonto zugreifen. Denn dafür benötigen sie eine zweite Authentisierung – die z. B. per Push-Nachricht an ein Smartphone geschickt wurde. Auf diese Weise wird auch das Risiko eines Angriffs verringert, bei dem Hacker versuchen, ein Passwort zu knacken, indem sie beispielsweise systematisch alle möglichen Zeichenkombinationen durchprobieren (Brute-Force-Angriff).

Überprüfen Sie Ihre Nutzerkonten auf kompromittierte Passwörter

Der einfachste Weg für Cyberkriminelle, auf Netzwerke zuzugreifen, ist die Verwendung kompromittierter Anmeldedaten. Im Jahr 2022 wurden 24 Milliarden gehackte Benutzernamen und Passwörter im Dark Web zum Verkauf angeboten.

KMUs können ihr Risiko erheblich reduzieren, indem sie regelmäßig prüfen, ob ihre Passwörter geknackt wurden, beispielsweise mit Online-Verzeichnissen wie haveibeenpwned. Noch komfortabler geht es mit dem kostenlosen Specops Password Auditor, mit dem das Microsoft Active Directory auf kompromittierte Passwörter und andere passwortbezogene Schwachstellen überprüft werden kann.

Blockieren Sie kompromittierte Passwörter

Unternehmen können die Passwortsicherheit deutlich verbessern, indem sie ihr Active Directory vor kompromittierten Passwörtern schützen. Specops Password Policy mit Breached Password Protection unterstützt Sie z. B. bei der Durchsetzung von Passwort-Compliance-Anforderungen, indem es die Verwendung von über 4 Milliarden bereits kompromittierten Passwörtern automatisch blockiert, feine Stellschrauben für Komplexitäts- und Längenanforderungen bietet sowie den Benutzern bei der Erstellung von Passwörtern ein Echtzeit-Feedback gibt.

Schulen Sie Ihre Mitarbeiter

Datenschutzverletzungen lassen sich mehrheitlich auf menschliches Versagen zurückführen. KMUs sollten daher regelmäßige Mitarbeiterschulungen durchführen und sie über Sicherheitsrichtlinien und aktuelle Angriffstechniken informieren, damit sie etwa Anzeichen von Phishing-Angriffen oder betrügerische Websites erkennen können. Dies ist umso wichtiger, als sich Angreifer zunehmend künstlicher Intelligenz bedienen, beispielsweise um Phishing-Mails glaubhafter zu gestalten.

Fazit: Cybersecurity ist ein Mannschaftssport

In Bezug auf die IT-Sicherheit sind Menschen die größte Schwachstelle eines Unternehmens, wird gern gesagt. Das sollte man positiver formulieren: Wer die Bedürfnisse, Kenntnisse und Fähigkeiten seiner Mitarbeiter berücksichtigt, kann die Sicherheit seines Unternehmens erheblich stärken. Das zeigt auch der IBM Cost of a Data Breach Report 24: Als wichtigster Faktor zur Senkung der Folgekosten entpuppten sich Mitarbeiterschulungen (siehe Abbildung).

Letztendlich ist die Cybersicherheit ein Mannschaftssport. Unabhängig davon, wie robust Ihre technischen Schutzmaßnahmen sind, sind Ihre Mitarbeiter oft die erste Verteidigungslinie. Wenn Sie die häufigsten Fallstricke kennen und intelligente Richtlinien und Schulungen einführen, können Sie Ihre Mitarbeiter im Kampf gegen Cyberbedrohungen von einer Schwachstelle in einen Aktivposten verwandeln. Denn angesichts der Allgegenwärtigkeit und potenziellen Kosten solcher Bedrohungen ist tatsächlich Vorbeugen sehr viel besser als Heilen.

Möchten Sie wissen, wie viele offene Risiken in Ihrem Active Directory lauern könnten? Führen Sie einen Read-Only-Scan mit unserem kostenlosen Auditing-Tool durch und erhalten Sie einen exportierbaren Bericht über Ihre passwortbezogenen Schwachstellen.

Illustration eine Bildschirms der passwortgeschützten Code anzeigt.
Jetzt mit Specops Password Policy starke Passwortrichtlinien in Ihrem Active Directory umsetzen!

Autor

Torsten Krüger

Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.

(Zuletzt aktualisiert am 05/11/2024)

Zurück zum Blog