Hacke­r­an­griffe

Cyber­kri­mi­nel­len ist kein Unter­neh­men zu win­zig

Auch kleine und kleinste Unternehmen sind ein lohnendes Ziel für Hacker. Und bei ihnen rennen die Angreifer nicht selten buchstäblich offene Türen ein. Denn ihre Sicherheitsvorkehrungen sind schwach. Von Simon Frost

Auf den ersten Blick überrascht das Ergebnis: Gerade die kleinsten Unternehmen mit weniger als zehn Mitarbeitern werden überdurchschnittlich oft Opfer erfolgreicher Cyberangriffe. Knapp ein Drittel von ihnen (32 Prozent) hatte es laut einer Forsa-Umfrage im Auftrag des GDV schon mindestens einmal mit Kriminellen zu tun, die Daten abgegriffen oder Systeme gesperrt haben. Zum Vergleich: Von den mittleren Unternehmen mit 50 bis 249 Mitarbeitern waren 28 Prozent betroffen. 

Haben die Gangster es also vor allem auf die Kleinsten abgesehen? Eher nicht. Ihre IT-Systeme sind vermutlich nur leichter zu knacken. Denn wie die Umfrage auch zeigt: Je kleiner das Unternehmen, desto weniger werden Cyberangriffe als Gefahr erachtet. Zu winzig und zu uninteressant für Hacker, so die dominierende Denke. „Wir sehen, dass das Bewusstsein für Cybersicherheit gerade bei kleinen und mittleren Unternehmen noch nicht so stark ausgeprägt ist“, sagt Peter Graß, Experte für Cyberversicherung beim GDV.

„Irgendeiner wird immer erwischt“ 

Doch wer so denkt, hat noch nicht wirklich verstanden, wie die Angreifer vorgehen. „Cyberkriminelle bedienen sich hier des Prinzips Maschinenpistole“, wählt IT-Sicherheitsexperte Sven Weizenegger ein drastisches Bild. „Sie schießen praktisch wahllos in die Menge in der Absicht, irgendjemanden zu treffen.“ Heißt im Klartext: Sie versenden massenhaft infizierte E-Mails, etwa an kleine Handwerksbetriebe. „Und Sie können davon ausgehen: Irgendeiner wird erwischt“, so Weizenegger.

Er war einst erster angestellter Hacker der Deutschen Telekom und berät inzwischen mit seinem Unternehmen Perseus kleine und mittelgroße Unternehmen in Sachen Cybersicherheit. Er weiß: Für massenhaft versuchte und ungezielte Attacken spielen Umsatz- oder Mitarbeiterzahlen genauso wenig eine Rolle wie die Brisanz der gespeicherten Daten. Letztere würden in großem Umfang abgesaugt und im Nachhinein darauf geprüft, ob etwas Verwertbares dabei ist, beschreibt der IT-Sicherheitsexperte das Vorgehen der Hacker.

Unterschätztes Risiko führt zu fehlender Prävention

Spätestens jetzt wird klar: Wer mit seinem Unternehmen in irgendeiner Form am Netz hängt, wird früher oder später selbst angegriffen. Und auch die vermeintlich langweiligsten Daten haben ihren Wert – mindestens für diejenigen, deren Daten nach einer Ransomware-Attacke plötzlich gesperrt sind. 

Mit dem unterschätzten Risiko gehen bei vielen kleinen Unternehmen Fehlentscheidungen bei der Prävention einher. Wer seinen Schutz an der gefühlten statt an der tatsächlichen Gefahr ausrichtet, wähnt sich schon mit Virenscanner und Firewall ausreichend geschützt. Beinahe drei von vier Kleinstunternehmen (73 Prozent) fühlen sich gut gegen Angreifer gewappnet – größere Mittelständler mit 50 bis 249 Mitarbeitern hingegen sind sich da weniger sicher (63 Prozent). 

Tückisch, aber wahr: Zu oft sind kleine Unternehmer von ihren Sicherheitsmaßnahmen überzeugt, zu gering ist ihre Bereitschaft, in Cybersicherheit zu investieren. „Für kleine und mittlere Unternehmen ist es eben oft auch zu teuer, eine IT-Sicherheitsabteilung zu unterhalten, die groß genug wäre, um bestimmte Angriffe abzuwehren“, räumt GDV-Experte Graß ein. 

Kein Schutz ohne Schutz

Als Ergebnis ihrer digitalen Sorglosigkeit sind sie allerdings für Cyberkriminelle ein leichtes Ziel. So verschlüsselt lediglich die Hälfte (52 Prozent) der Kleinstunternehmer ihre Daten, weniger als jeder Zweite (44 Prozent) will mittelfristig in Cybersicherheit investieren. „Das ist auch vielfach ein Problem für die Versicherer: Ohne die richtige Prävention können sie den Unternehmen auch keinen guten Cyber-Versicherungsschutz anbieten“, sagt Graß.

Zur Startseite
Auch inter­essant