Ransomware-Angriffe & Co.

Mittelstand im Visier der Cyber-Kriminellen

Als verantwortlicher Partner leitet Michael Sauermann den Bereich Forensic Technology bei KPMG in Deutschland und hat mehr als 14 Jahre Erfahrung auf dem Feld der IT-Forensik. Dabei unterstützt er mit seinem Team seine Kunden bei der Bewältigung von IT-Sicherheits- und Cybercrime-Vorfällen, einschließlich Krisenmanagement und vorgelagerter Incident Readiness. Die Anbahnung von Cyber-Policen moderiert er zwischen Versicherungen, Maklern und Versicherungsnehmen zur Einschätzung des Cyber Security Reifegrads von Unternehmen. Im Rahmen von Zivil- oder strafrechtlichen Verfahren, Sonderuntersuchungen sowie Compliance- oder Revisionsprojekten unterstützt er zudem durch eDiscovery-Services im nationalen und internationalen Kontext
Computerkriminalität macht keinen Unterschied: Kleine und mittlere Unternehmen dürfen das Risiko von e-Crime nicht unterschätzen.

Eine täuschend echt aussehende Bewerbung per E-Mail mitsamt Lebenslauf im Anhang: Nur ein unbedachter Klick auf die angehängte Datei reicht aus, schon ist das System infiziert. So oder so ähnlich beginnen viele sogenannte Ransomware-Angriffe. Und die Inkubationszeit ist kurz, um beim Bild der Infektion zu bleiben. Zumeist vergeht nur wenig Zeit, bis das betroffene System verschlüsselt und auf dem Bildschirm nur noch die Nachricht der Kriminellen zu lesen ist, dass die Entschlüsselung nur gegen Zahlung eines Lösegeldes vorgenommen wird. Der Wahrheitsgehalt dieser Aussage ist ungewiss.

Familienunternehmen bilden ein beliebtes Angriffsziel für Computerkriminelle.
Familienunternehmen bilden ein beliebtes Angriffsziel für Computerkriminelle.
Foto: Alexander Geiger - shutterstock.com

Ransomware-Angriffe in all ihren Unterarten sind aktuell wohl die beliebteste Methode Computerkrimineller und dennoch gleichzeitig nur eine Variante unter vielen. e-Crime ist "in" und das Gefahrenpotenzial groß - und wird gerade von kleineren und mittleren Unternehmen häufig noch unterschätzt. Darunter fallen traditionell auch Familienunternehmen, die das Rückgrat der deutschen Wirtschaft bilden. Auch sie stellen ein potenzielles Angriffsziel für Computerkriminelle dar.

Früher oder später trifft es jeden

Das belegen die Ergebnisse der Studie zur Computerkriminalität "e-Crime in der deutschen Wirtschaft 2019". In den Jahren 2017-2018 waren demnach 39 Prozent der 1.001 befragten Unternehmen von e-Crime betroffen. Das dürfte nicht das Ende der Fahnenstange sein. Vielmehr ist davon auszugehen, dass ein großes Dunkelfeld besteht, da Unternehmen kaum in der Lage sind, Fälle hinreichend aufzuklären. So konnten 85 Prozent der Befragten den Täter nur der Kategorie "unbekannt extern" zuordnen. Hier ist die Möglichkeit nicht von der Hand zu weisen, dass nicht nur Täter unidentifiziert bleiben, sondern auch Angriffe an sich nicht entdeckt werden.

Lesetipp: 45 Milliarden Dollar Schäden durch Cyberkriminalität

Leider wird das Risiko der Computerkriminalität zuweilen nach wie vor unterschätzt. Zwar nehmen 92 Prozent der Studienteilnehmer für deutsche Unternehmen allgemein ein hohes Risiko wahr. Allerdings sieht nur die Hälfte der Befragten diese Gefahr auch für das eigene Unternehmen. Insbesondere kleine Unternehmen (Umsatz unter 250 Millionen Euro) wähnen sich häufiger auf der sicheren Seite als umsatzstärkere Unternehmen (47 zu 58 Prozent hohes Risiko) - ein gefährlicher Trugschluss.

Kleine und mittlere Unternehmen in der Zwickmühle

Rein oberflächlich betrachtet wird die Annahme eines geringeren Risikos durch die in der Studie festgestellte Betroffenheit unterstützt (klein: 35 Prozent; groß: 45 Prozent). Allerdings trifft es somit nachweislich mehr als jedes dritte kleine Unternehmen. Die Aussage "mein Unternehmen ist klein und daher für Kriminelle uninteressant. Für uns besteht keine Gefahr" ist somit schlichtweg falsch. Darüber hinaus darf nicht außer Acht gelassen werden, dass große Unternehmen über deutlich größere Fähigkeiten zur Detektion und Aufklärung von Angriffen verfügen. Wenn kleine Unternehmen über die gleichen Mechanismen verfügen würden, dürfte die Betroffenheit auch dort höher liegen.

Lesetipp: Probleme beim Identitätsmanagement

Dabei kann von kleinen und mittleren Unternehmen schon aufgrund der begrenzten Ressourcen selbstverständlich nicht erwartet werden, dass diese ebenso gut gegen Computerkriminalität gewappnet sind wie bspw. ein Global Player. Ein gutes Beispiel dafür ist die Frage, wer für die operative Aufklärung eines Angriffs verantwortlich ist. In kleinen Unternehmen ist dies hauptsächlich die reguläre IT-Abteilung (84 Prozent), lediglich etwas mehr als die Hälfte dieser Unternehmensgruppe schaltet auch eine spezialisierte IT-Sicherheitsabteilung ein. Bei umsatzstärkeren Unternehmen ist nicht nur diese wesentlich präsenter (73 Prozent), sondern es werden u. a. darüber hinaus auch die Compliance- und Rechtsabteilung (63 beziehungsweise 55 Prozent) häufig hinzugezogen.

Weitere Beispiele für diesen Nachteil kleiner und mittlerer Unternehmen sind die eher spärlichen Investitionsvolumina zur Bekämpfung von e-Crime oder der auch daraus resultierende geringere Umsetzungsgrad von Präventionsmaßnahmen.

Schulung der Mitarbeiter bei der Bekämpfung von e-Crime zentral

Umso wichtiger ist es, dass kleine und mittlere Unternehmen die Gefahr nicht verkennen und das Maximum aus den vergleichsweise beschaulichen Ressourcen herausholen. Von zentraler Bedeutung ist dabei die Schulung und Sensibilisierung der Mitarbeiter. So hat die diesjährige Studie ein weiteres Mal gezeigt, dass insbesondere Unachtsamkeit, unzureichende Schulungen und ein mangelndes Risikoverständnis e-Crime begünstigen. Hier liegt eine Chance: Denn den Faktor Mensch kann man auch mit einem vergleichsweise "kleinen Budget" zu einem wesentlichen Bestandteil der Gefahrenabwehr machen. Daher sollten Unternehmen unbedingt entsprechende Trainingsmaßnahmen ergreifen. Angesichts geringer Budgets ist es daher unerlässlich, die vorhandenen Ressourcen möglichst effektiv und effizient einzusetzen. Erster Schritt sollte dabei immer die Schulung und Sensibilisierung der Mitarbeiter sein. Auf dieser Basis kann das Maßnahmenkonzept aufgebaut werden.

Lesetipp: Spionage im Zug