Mirco Laaser schreibt gerade Rechnungen als eine neue E-Mail in der rechten Ecke seines Bildschirms aufblinkt. Im Betreff steht Bewerbung. Er freut sich, dass Reaktionen auf seine Stellenausschreibung eintreffen, denn er sucht dringend einen weiteren Koch für seinen Hotel- und Restaurantbetrieb. Er öffnet die E-Mail und klickt auf die angehängte Bewerbungsdatei. Als Absender liest er „Arbeitsamt“, mit dem er bei der Suche nach einem Koch zusammengearbeitet hatte. Laaser überfliegt die Bewerbung und will sich dann wieder seinen Rechnungen widmen. Doch auf einmal funktioniert nichts mehr. Er kann die Rechnung nicht weiter ausfüllen und auch nicht speichern. Zugriff auf alle anderen Dateien in seinem Buchhaltungssystem wird ihm auch verweigert. Er ahnt, was passiert sein könnte. Laaser wurde gehackt.
Der weltweite Cyber-Angriff im Mai dieses Jahres hat gezeigt, wie schnell Unternehmen durch eine Schadsoftware im Anhang einer E-Mail lahmgelegt werden können. Unter den Opfern war auch die Deutsche Bahn, deren Anzeigentafeln in den Bahnhöfen zeitweise nur noch „Bitte Aushangfahrplan beachten“ meldeten. Die Angreifer nutzen, wie im Fall Laaser, Ransomware und forderten Lösegeld für die verschlüsselten Daten. Auch mittelständische Unternehmen werden immer öfter Opfer von Cyber-Angriffen. Laut einer aktuellen PwC-Studie gibt jedes fünfte privatwirtschaftliche Unternehmen an, in den letzten zwölf Monaten von mindestens einem erfolgreichen Cyberangriff betroffen gewesen zu sein. Die Zahl der Angriffe auf mittelständische Unternehmen hat sich von 10 Prozent in 2015 auf 19 Prozent in 2016 nahezu verdoppelt.
Geschützt sind davor aber die wenigsten. Denn trotz steigender Zahlen der Cyber-Kriminalität zögern besonders kleine und mittelständische Unternehmer ihre IT entsprechend vor Angriffen zu schützen. Präventionsstrategien und Notfallpläne sind häufig lückenhaft. Auch die Bundesregierung hat dieses Problem erkannt und das IT-Sicherheitsgesetz auf den Weg gebracht. Doch der Kampf gegen Cyber-Kriminalität steht erst am Anfang.
Marco Laaser traf der Hackerangriff mitten im Weihnachtsgeschäft.
Mirco Laaser hat der Cyber-Angriff bis ins Mark getroffen. „Mein komplettes Buchungs- und Reservierungssystem war vier Wochen vor Weihnachten lahmgelegt“, erzählt der Mittelständler aus Bad Berleburg im Hochsauerland. Vor zwei Jahren hat er zusammen mit seiner Frau den Forellenhof gekauft, um die letzten Arbeitsjahre an einem ruhigen Ort mitten in der Natur zu verbringen. Doch mit der Idylle war es nach dem Angriff vorbei. „Ich musste Tag und Nacht durcharbeiten, um wichtige Daten mithilfe meines Gedächtnisses wiederherzustellen“, sagt Laaser. Rund 5000 Euro Umsatzeinbußen hatte er. Doch der emotionale Schaden sei viel größer gewesen. Denn seine privaten und geschäftlichen Dateien hatte der Hotelbesitzer nicht voneinander getrennt gespeichert und deshalb waren auch Fotos und Musik nicht mehr auffindbar.
Mittelständler nehmen IT-Sicherheit noch nicht ernst
So eine Nachlässigkeit passiere leider in vielen kleinen und mittelständischen Unternehmen, meint auch Derk Fischer, PwC-Partner und Experte für Cyber-Kriminalität. „Mittelständler wiegen sich oft zu sehr in Sicherheit. In vielen Fällen verfügen Betriebe nicht über angemessene Mittel, um Eindringlinge im Netzwerk überhaupt zu erkennen“, bemängelt Fischer. Viele Unternehmen scheinen die Risiken für sich selbst noch zu unterschätzen. „Wenn ich mit Mittelständlern über Informationssicherheit spreche, bekomme ich oft folgende Aussagen: Erstens, mein Unternehmen ist uninteressant für mögliche Angreifer. Zweitens, meinen Mitarbeitern vertraue ich zu 100 Prozent. Drittens, uns sind bisher keine Angriffe bekannt“, sagt Fischer. Laut der PwC-Studie gibt es in fast jedem zweiten Unternehmen keine kontinuierlichen Schulungen zur IT-Sicherheit. 37 Prozent der Betriebe halten eine einmalige Schulung für ausreichend und bei elf Prozent gibt es überhaupt keine Sicherheitsschulung.
Um die IT-Sicherheit in Unternehmen trotzdem in einem ersten Schritt zu fördern, hat die Bundesregierung mit der Cyber-Sicherheitsstrategie mehr als 30 Ziele und Maßnahmen festgelegt. Diese beinhalten zum Beispiel, dass die digitale Kompetenz bei allen Anwendern ausgebaut werden soll, damit fahrlässige Fehler im Umgang mit der IT des Betriebes verringert werden. Grundlage dafür ist, laut Bundesregierung, eine gezielte digitale Bildung aller Alters- und Anwendergruppen. Diese soll zu einem festen Bestandteil des Bildungskanons werden, von der Schule, über die duale Ausbildung, Universität, berufliche Weiterbildung und Erwachsenenbildung. Zertifizierung und Zulassung stärken, ist eine weitere Leitlinie der Cyber-Sicherheitsstrategie und fordert die Einführung eines Gütesiegels für IT-Sicherheit. Auch die IT-Sicherheitsforschung soll vorangetrieben werden. Diese Forderungen unterstützt auch der CDU-Bundestagsabgeordnete Thomas Jarzombek, MIT-Fachsprecher für Digitales: „Wenn IT-Produkte in einem normalen Nutzungszeitraum plötzlich kritische Sicherheitslücken aufweisen, muss der Hersteller diese schnell stopfen. Dazu braucht es eine stärkere Produkthaftung für Software. Schon seit Jahren lässt sich eine gewisse Sorglosigkeit bei bestimmten Herstellern beobachten.“
Auch Handwerk im Visier von Cyber-Kriminellen
Von diesen Schwachstellen sind auch klassische Handwerksbetriebe betroffen, die von vielen verschiedenen Orten und Geräten auf Unternehmensdaten zugreifen. Beim Kunden ruft der Handwerker die Daten oft von seinem Mobiltelefon ab, was zu einem erhöhten Risiko von Hackerangriffen führt. „Deshalb sollten die Betriebe mit VPN arbeiten und ihre Daten damit vor Fremden schützen“, empfiehlt Herbert Christ, Diplom-Ingenieur und Referatsleiter Technik beim Zentralverband der Deutschen Elektro- und Informationstechnischen Handwerke. Damit es aber gar nicht erst zu einem Angriff komme, sei Prävention entscheidend. „Es ist sinnvoll, ein Image des gesamten Computers, inklusive Software, anzulegen, damit nicht alle Programme neu installiert werden müssen“, sagt Christ. Außerdem rät der Ingenieur zu einer guten Firewall und Virenschutzprogrammen, die regelmäßig aktualisiert werden sollten.
Mirco Laaser hat nun vorgesorgt. Seine IT hat er von Experten umstrukturieren lassen und eine Cyber-Versicherung abgeschlossen.
Prävention ist das Stichwort, um immer neuen Bedrohungsszenarien im Cyber-Raum zu begegnen. „Es gibt nicht den einen Angriff, denn die Angriffsfläche und -szenarien waren nie so groß wie heute“, sagt Michael Sauermann, Partner beim Beratungsunternehmen KPMG. Bei dem Angriff, den Mirco Laaser vom Forellenhof erlebt hat, habe es sich um einen nicht zielgerichteten Angriff gehandelt. Im Sauerlandkreis seien tausend E-Mails mit Trojaner-Bewerbungsdateien verschickt worden. „Bei so einem Ransomware-Angriff kann die Spanne der Schäden für Unternehmen sehr groß sein“, sagt Sauermann. Dies komme immer auf die Branche und die betroffenen Systeme an. Gerade deshalb sollten Mittelständler verstehen, dass Cyber-Security kein reines IT-Thema ist. „Um sich vor einem Angriff zu schützen, sollten die Unternehmer ein Mosaik aus präventiven und reaktiven Maßnahmen aufsetzen“, sagt Sauermann. Dazu gehöre, dass das Management mit eingebunden wird. Auch eine Cyber-Versicherung könne das Sicherheitskonzept sinnvoll ergänzen.
Cyber-Versicherungen auf dem Vormarsch
Dieser Empfehlung ist Mirco Laaser gefolgt. „Nach dem Angriff habe ich in eine sehr gute Firewall investiert, mein komplettes IT-Netzwerk umstrukturiert und eine Cyber-Versicherung abgeschlossen.“ Rund 200 Euro zahle er pro Quartal für die Versicherung, die im Falle eines weiteren Cyber-Angriffs für IT-Kosten und Umsatzausfall aufkommen soll. Seit 2011 gibt es die ersten Cyber-Versicherungen auf dem deutschen Markt. Aktuell werden sie von 10 bis 15 großen Versicherungen angeboten.
Die Preise hängen vor allem von Umsatz und Größe des Unternehmens ab. „Dann muss immer individuell geschaut werden, in welcher Branche das Unternehmen tätig ist und wo die IT-Risiken liegen. Danach wird dann zum Beispiel ein Tagessatz für die Betriebsunterbrechung berechnet“, sagt Peter Graß, Experte für Haftpflichtversicherungen beim Gesamtverband der Deutschen Versicherungswirtschaft (GDV).
Ein sinnvolles IT-Sicherheitskonzept besteht also aus mehreren Bausteinen, wie der Schulung der Mitarbeiter, Sicherheitssoftware und einer passenden Versicherung. Der MIT-Bundesvorstand will auf dem Bundesmittelstandstag auch eine Stärkung des nationalen Cyber-Abwehrzentrums beschließen. Es soll konkrete Schutzfunktionen übernehmen und zum Beispiel bekannte ausländische Internetseiten, von denen Schädigungen ausgehen, sperren können. Doch absoluten Schutz werde es nie geben können, gibt auch der MIT-Digitalexperte Thomas Jarzombek zu: „IT-Sicherheit bedeutet, dass die Sicherheitsmaßnahmen auch immer realistisch sein müssen. Der Widerspruch zwischen Nutzerkomfort und Sicherheit muss immer wieder neu austariert werden. Ausgenutzt wurde immer die Schwachstelle Mensch.“
Mirco Laaser ist sich dessen inzwischen bewusst. Trotz aller Sicherheitsmaßnahmen weiß er, dass es ihn jederzeit wieder treffen kann. Und er wird künftig deutlich vorsichtiger beim Öffnen von E-Mails und Dateianhängen sein.
Empfehlen Sie uns!