Unternehmen müssen wachsam sein: Angriffe über die IT-Systeme kleiner und mittlerer Unternehmen (KMU) nehmen zu, weil Cyber-Kriminelle immer häufiger Sicherheitslücken ausfindig machen. Die VGH Versicherungen geben Tipps, wie Firmeninhaber und Gewerbetreibende aus dem KMU-Bereich erkennen können, ob sich bei ihnen Sicherheitslücken auftun, und wie sie sich effektiv gegen Angriffe schützen.
Online-Betrüger, Erpresser und Hacker haben es zuletzt vermehrt auf kleine und mittlere Unternehmen abgesehen. Denn hier vermuten sie – teilweise noch immer zu Recht – wenig bis keine Gegenwehr durch professionelle Schutzmaßnahmen. Gleichzeitig ist für Betrüger aus dem Internet aber auch bei kleineren Unternehmen oft viel zu holen, weshalb die Schäden häufig enorm sind. Vor allem dann, wenn nach einem Cyber-Angriff plötzlich kritische Aufgaben oder Prozesse nicht mehr fortgesetzt werden können und der Betrieb innerhalb kürzester Zeit stillsteht.
Cyber-Kriminelle: die raffinierten Tricks der Angreifer
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet Cyber-Angriffe in mehrere Kategorien. Zum einen wären da Attacken auf die Vertraulichkeit. „Hierbei handelt es sich um Angriffe, bei denen vertrauliche Daten ausspioniert werden“, weiß Dr. Wolfram Klöber, als Abteilungsdirektor der VGH auch für die Cyber-Versicherungen des größten öffentlich-rechtlichen Versicherers in Niedersachsen verantwortlich. „Solche Angriffe erfolgen häufig über Funknetze, die abgehört werden, oder durch den illegalen Zugriff auf unzureichend gelöschte Informationen, die dann wiederhergestellt werden.“
Zum anderen spielen laut BSI Angriffe auf die Integrität immer wieder eine große Rolle. Hierunter wird allgemein die Manipulation von Software und Informationen verstanden, beispielsweise durch Malware (Schadprogramme) oder Phishing-Mails, die Cyber-Kriminelle an nichtsahnende Mitarbeiter der Unternehmen versenden. Insbesondere über Malware können Daten abgegriffen und kritische Systeme im Unternehmen lahmgelegt oder beschädigt werden. In Zusammenhang mit Phishing-Mails taucht hingegen immer häufiger die „Fake President“-Masche auf, auch „CEO-Fraud“ genannt. „Bei dieser Methode geben sich Betrüger als Führungspersonen des Unternehmens aus und bringen Mitarbeiter durch das Ausnutzen ihrer Autorität dazu, sensible Daten herauszugeben oder Geld auf die Konten der Betrüger zu überweisen“, erklärt VGH-Experte Klöber.
Betriebsabläufe und Produktion bedroht
Aber auch sogenannte Angriffe auf die Verfügbarkeit sollten nicht unterschätzt werden. „Hierbei sabotiert der Angreifer gezielt ein bestimmtes Unternehmen, sodass dessen Dienstleistungs- oder Produktionsfähigkeit nur noch eingeschränkt oder gar nicht mehr möglich ist, weil beispielsweise die Website überlastet ist oder bestimmte Kundenservices nicht mehr angeboten werden können“, sagt Wolfram Klöber.
Die häufigsten Schäden, die durch Cyber-Attacken auf kleine und mittlere Unternehmen entstehen, sind die Unterbrechung kritischer Betriebsabläufe oder der Produktion sowie die dadurch entstehenden Kosten für Aufklärung und Datenwiederherstellung, aber auch Verluste, die durch den Diebstahl unternehmenseigener Daten oder Betriebsgeheimnisse entstehen. Auch Reputationsschäden (Imageverlust) sollten nicht unterschätzt werden.
Die Mitarbeiter ins Boot holen
„Es ist immer gut, wenn sich eine bestimmte Abteilung vorrangig mit der IT-Sicherheit beschäftigt“, empfiehlt Wolfram Klöber. „Wir raten aber allen Unternehmen dazu, auch jeden einzelnen Mitarbeiter im sicheren Umgang mit den IT-Systemen zu schulen.“ Insbesondere für den Umgang mit Betrugsversuchen per E-Mail sollten Firmen ihre gesamte Belegschaft sensibilisieren. Ergänzt werden sollten die Schulungsmaßnahmen durch eine laufend aktualisierte Antiviren-Software, Firewalls und Anti-Malware-Programme. „Unternehmen sollten sicherstellen, dass kritische Daten und die gesamten Systeme in regelmäßigen Abständen, am besten täglich, gesichert werden“, rät der VGH-Experte. Einfallstore für Cyber-Kriminelle lassen sich auch schließen, indem Unternehmen regelmäßig Updates an der eingesetzten Software durchführen.
Hilfe gegen finanzielle Einbußen und Drittschäden
Wenn es trotz Schutzmaßnahmen zu Schäden durch einen Angriff kommt, kann eine Cyber-Versicherung für Firmenkunden helfen. Diese springt ein, wo das interne Krisenmanagement nicht weiterkommt. „Für den Fortbestand eines Unternehmens ist es nach einem Angriff durch Cyber-Kriminelle essenziell, dass Schäden möglichst rasch behoben werden. Auch eine fundierte Sofortbetreuung ist wichtig, um die Folgen des Angriffs eindämmen zu können“, sagt Klöber. So kann das Unternehmen vor Totalausfällen und finanziellen Einbußen bewahrt werden. Denn eine Cyber-Versicherung übernimmt nicht nur die im eigenen Unternehmen entstandenen Schäden, sondern auch mögliche Drittschäden, die durch Datenverlust oder Produktionsausfälle bei Kunden oder Zulieferern entstehen.
Neue Infoplattform der öffentlichen Versicherer: cyber-info.de
Unternehmer können oft nicht einschätzen, ob sie ausreichend gegen Cyberangriffe geschützt sind. Auf der Informationsseite des Verbandes öffentlicher Versicherer e. V. finden sie typische Schadenfälle und können ihre Sicherheit einfach und kostenlos testen: https://www.cyber-info.de/content/
Dr. Wolfram Klöber © Iris Sobotta
. 
Noch kein Kommentar, Füge deine Stimme unten hinzu!