Cybersicherheit: die Lage im Mittelstand
01.02.2023 – Unsere Gesellschaft digitalisiert sich rasant. Damit wächst die Bedeutung von Sicherheit im Cyberraum für mittelständische Unternehmen. So schützen Sie sich.
Cyberkriminalität: die wachsende Bedrohung aus dem Netz
Die Anzahl erfasster Cyberstraftaten und -angriffe in Deutschland steigt kontinuierlich an – 2021 um zwölf Prozent gegenüber dem Vorjahr. Die Aufklärungsquote lag im selben Zeitraum laut dem Bundeslagebericht Cybercrime des Bundeskriminalamtes hingegen bei knapp unter 30 Prozent, während sich die bundesweit durch Cyberangriffe entstandenen Schäden auf insgesamt gut 200 Milliarden Euro pro Jahr belaufen.1
Die vielen Formen der Cyberkriminalität
Eine Erklärung für die vergleichsweise niedrige Aufklärungsquote bei Cyberstraftaten sind die vielfältigen Bedrohungen im Cyberraum. Cyberkriminelle haben verschiedenste Methoden entwickelt, um wertvolle Informationen zu stehlen oder sich durch direkte Angriffe Zugang zu Konten und internen Unternehmenssystemen zu verschaffen. Dazu gehören:
Werden persönliche Daten eines Menschen wie beispielsweise Geburtsdatum, Anschrift oder Kreditkartennummer von Dritten entwendet, um einen betrügerischen Vorteil zu erreichen, spricht man von Identitätsdiebstahl.
Hierbei versuchen Cyberkriminelle, indem sie gestohlene Identitäten von Mitarbeitern verwenden, in Unternehmenssysteme einzudringen und Dateien jeglicher Art zu kopieren oder herunterzuladen und für verbrecherische Zwecke zu verwenden. Dazu gehört beispielsweise die Veröffentlichung von Geschäftsgeheimnissen.
Darunter werden Schadprogramme verstanden, die den Zugriff auf Computer oder Daten einschränken oder verhindern, um diese in der Regel gegen ein Lösegeld wieder freizuschalten.
Diese Art Software sammelt Daten über ein Netzwerk, eine Anwendung oder die Nutzer eines Systems – und zwar ohne deren Wissen und Erlaubnis. Die rechtswidrig gesammelten Daten werden häufig an Dritte verkauft.
Dies ist im Grunde dasselbe wie Informationsdiebstahl, es betrifft allerdings wertvolles Wissen oder neue Erfindungen, die unter Schutz des Patentrechts stehen.
Kriminelle versuchen oft durch betrügerische Methoden an Geld zu gelangen. Die beliebteste Form dieser Betrugsart ist Social Engineering, wodurch ein Krimineller eine andere Person über seine Identität oder Absicht täuscht, um eine Zahlung zu erwirken. Ein Beispiel für Social Engineering ist CEO-Fraud – Kriminelle geben sich als einen Entscheidungsträger im Unternehmen aus, um von Mitarbeitern Überweisungen von hohen Geldbeträgen zu veranlassen.
Ein Botnetz ist eine Gruppe vernetzter Geräte, die mit Malware infiziert und dadurch kontrolliert werden können. Diese Botnetze werden zumeist verwendet, um DDoS-Angriffe durchzuführen, wodurch der Zugang zu essenziellen Systemen oder Kontos gesperrt wird, um Unternehmen zu erpressen.
Cybersicherheit wird zum wichtigen Gut
Statistiken zeigen, dass vor allem kleine und mittlere Unternehmen (KMU) von Cyberangriffen schwer getroffen werden können. Entsprechend ist Cybersicherheit für sie zum überlebenswichtigen Thema geworden.
Cybersicherheit einfach erklärt
Der Begriff Cybersicherheit wird vom National Institute of Standards and Technology (in den USA) als ein Prozess definiert, wodurch Angriffe auf Informationen oder Informationssysteme erkannt, abgewehrt und verhindert werden. Dabei geht es nicht nur um Cybersicherheit, also den Schutz von IT-Systemen, sondern auch um eine schnelle Reaktionsfähigkeit im Falle eines Angriffs, also auch um Cyber-Resilienz.
Die Unternehmerkunden-Studie 2022 der Commerzbank
Das Meinungsforschungsinstitut Ipsos hat im Auftrag der Commerzbank im Sommer 2022 bundesweit rund 2.500 Interviews mit kleinen und mittelständischen Unternehmen durchgeführt. Befragt wurden sie zu ihrem Umgang mit Cyberbedrohungen und den von ihnen eingesetzten Sicherheitsmaßnahmen.
Die aus dieser Befragung entstandene repräsentative Studie „Cybersicherheit in Unternehmen“ liefert umfangreiche Einblicke in die Erfahrungen von KMU mit dem Thema Cybersicherheit.
Demnach berichteten zwei von fünf der befragten KMU in Deutschland (43 Prozent), bereits Opfer eines Cyberangriffs geworden zu sein. In fast zwei Drittel der Fälle wurde versucht, Daten durch Phishing-Mails zu stehlen. Bei gut einem Drittel wollten Externe das Vertrauen von Mitarbeitenden ausnutzen, um an sensible Daten zu kommen:
Formen der Cyberkriminalität, die KMU erfahren haben
Unternehmen leiden unter den Folgen
Die Cyberangriffe haben bei jedem sechsten betroffenen Unternehmen (17 Prozent) Schäden hinterlassen. Neben finanziellen Einbußen kämpften Unternehmen mit einem Image- und Vertrauensverlust, der bei manchen von ihnen zum tatsächlichen Verlust von Kunden führte.
Schutz vor Cyberrisiken ist bei vielen Unternehmen Chefsache
Laut unserer Studie ist das Thema Cybersicherheit für 86 Prozent der deutschen KMU äußerst wichtig. Bei mehr als jedem zweiten KMU ist Cybersicherheit sogar zur Chefsache erklärt worden: Die Hauptverantwortung liegt in 54 Prozent der befragten kleinen und mittelständischen Unternehmen direkt bei der Geschäftsführung.
Vorbeugende Maßnahmen bieten wirksamen Schutz gegen Cyberkriminalität
Oftmals gelingt es Cyberkriminellen, sich Zugang zu Informationen und Systemen durch den Faktor Mensch zu verschaffen. Denn: IT-Sicherheit und der Schutz digitaler Geräte können nur so gut sein, wie der Mensch, der die Systeme und Anwendungen bedient.
Die wesentliche Bedeutung der eigenen Mitarbeiter bei der Gewährleistung von Cybersicherheit bestätigt unsere Studie. In fast drei Viertel der Fälle von versuchten Cyberangriffen auf KMU konnten mögliche Schäden durch aufmerksame Mitarbeiter abgewendet werden. In 60 Prozent der Fälle spielte auch die Sicherheits-Software eine wesentliche Rolle bei der Vereitelung von Angriffen. Allerdings bleibt die menschliche Aufmerksamkeit für die Cybersicherheit ein entscheidender Faktor.
Schutzmaßnahmen, die Schaden abwenden konnten
Weitere Investitionen geplant
22 Prozent der Unternehmen beabsichtigen, weitere Maßnahmen zum Schutz der eigenen Cybersicherheits-Architektur zu ergreifen. Davon setzen rund drei Viertel auf die Installation entsprechender Sicherheits-Software und jeweils gut die Hälfte auf die Schulung und Weiterbildung der Geschäftsführung sowie die Sensibilisierung der Beschäftigten.
Die Bereitschaft, in diese Sicherheitsmaßnahmen zu investieren, zeigt, dass viele KMU auf dem richtigen Weg bei der Aufstellung ihrer Cybersicherheits-Strukturen sind.
Schutzmaßnahmen, die in KMU bereits zum Einsatz kommen oder geplant sind
4 Tipps: So schützen Sie Ihr Unternehmen
Zusammenarbeit mit Partnern: das Bundesamt für Sicherheit in der Informationstechnik
Erste Anlaufstelle für Unternehmen zum Thema Cybersicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Neben dem Schutz der Regierungsnetze und der Sicherung zentraler Netzübergänge ist das BSI auch für das Thema Cybersicherheit in Deutschland zuständig. Das BSI nimmt ebenfalls die Aufgabe wahr, Unternehmen in Fragen rund um Cybersicherheit zu beraten und als Ansprechpartner im Fall der Fälle zur Verfügung zu stehen. Seit 2020 kümmert sich sogar ein eigenes Referat im BSI um die Cybersicherheit in kleinen und mittleren Unternehmen.
Wachsam bleiben und auf einen Angriff vorbereitet sein
Mitarbeiter sollten regelmäßig durch interne oder externe Schulungen für das Thema Cyberkriminalität und IT-Sicherheit sensibilisiert werden – nur so können sie eine sogenannte Cyber-Resilienz aufbauen, Gefährdungspotenziale frühzeitig erkennen und sich selbst sowie das Unternehmen schützen. Auch die Commerzbank bietet Schulungen zu dem Thema für KMU an.
Genauso wichtig ist eine Vorbereitung auf alle möglichen Situationen. Wie es auch das BSI in einer Checkliste für Unternehmen empfiehlt, sollten KMU regelmäßig Übungen abhalten und neue Szenarien durchspielen sowie ihre Zuständigkeiten im Krisenfall festlegen. Feste Strukturen einer Cyber-Resilienz, gepaart mit konkreten Maßnahmen zur Cybersicherheit, befähigen Unternehmen dazu, im Ernstfall schnell zu handeln und eventuelle Schäden auf ein Minimum zu begrenzen.
Sicherheits-Architektur stetig prüfen
IT-Systeme werden ständig optimiert, um sie gegen die neuesten Bedrohungen abzusichern. Unternehmen sollten daher regelmäßig ihre IT-Struktur überprüfen und auf den neuesten Stand bringen, indem sie zum Beispiel Updates und Patches der Softwarehersteller installieren.
Informiert bleiben, z.B. durch Ihre Bank
Auch Banken bieten hilfreiche Informationen zum Thema Cybersicherheit. So zeigt unsere Studie, dass 61 Prozent der KMU sich von ihrer Bank über Cybersicherheit sehr gut oder gut informiert fühlen. Die Commerzbank steht Ihnen verlässlich zur Seite und beantwortet jederzeit gerne Ihre Fragen.
Unser Tipp!
Über unseren Kooperationspartner Allianz können Sie sich ganz individuell beraten lassen und eine eigene Cyberschutzversicherung abschließen. Sprechen Sie uns an – unsere Berater helfen Ihnen gerne weiter.
Zur Studie der Commerzbank
Für die Unternehmerkunden-Studie „Cybersicherheit in Unternehmen“ führte das Meinungsforschungsinstitut Ipsos im Auftrag der Commerzbank bundesweit rund 2.500 telefonische Interviews mit Unternehmern. Die Interviews wurden auf Basis einer Zufallsstichprobe durchgeführt. Befragt wurden Unternehmen mit einem Jahresumsatz von bis zu 15 Millionen Euro – sowohl Commerzbank-Kunden als auch Kunden anderer Banken. Dazu zählen Freiberufler, Selbstständige, Handwerker sowie kleinere und mittelständische Unternehmen. Die Befragung fand im Zeitraum vom 18. Juli bis 10. August 2022 statt. Den vollständigen Studienreport können Sie hier herunterladen: Download (PDF)
- 1
Quelle: Statista Research Department - Schäden durch Cyberkriminalität in Deutschland 2022