Die Angriffe auf die Lieferketten haben es spätestens gezeigt: Datenlecks spielen für und in KMU eine mindestens ebenso große Rolle wie in größeren Unternehmen. Gehen sensible Daten verloren, sei es durch einen Cyber-Angriff von außen oder durch die (versehentliche) Weitergabe von Daten an Unbefugte von Innen, lassen Probleme nicht lange auf sich warten.
An erster Stelle steht der Imageverlust. Darüber hinaus drohen empfindliche Strafen, insbesondere wenn die Daten nicht ausreichend geschützt wurden. So haben die Datenschutzbehörden in Europa seit Beginn der Anwendung der DSGVO im Mai 2018 Bußgelder in Höhe von insgesamt 4 Milliarden Euro verhängt. Dazu kommen diverse Vertragsstrafen und andere negative Auswirkungen.
Es gilt also die gefährdeten Daten so gut wie möglich zu schützen und im Falle eines Datenlecks sofort richtig zu reagieren. Wer hier Fehler macht, verschlimmert die Probleme unter Umständen noch. Reagieren die Verantwortlichen hingegen richtig, sind die zu erwartenden Konsequenzen zumindest überschaubar.
Datenlecks so weit wie möglich vermeiden – auch in kleinen Unternehmen
Es gibt viele Gründe, warum jedes Unternehmen und unabhängig von seiner Größe Datenpannen verhindern sollte. Neben den offensichtlichen Folgen gibt es einige mehr, die oft nicht weniger schwerwiegend sind:
Kunden verlieren möglicherweise das Vertrauen in ein Unternehmen und wandern zur Konkurrenz ab.
Geschäftsgeheimnisse und geistiges Eigentum gelangen in die Hände von unberechtigten Personen.
Das Ansehen des Unternehmens nimmt durch negative Berichterstattung in den Medien Schaden.
Die Untersuchung und Behebung des Datenlecks führen nicht selten dazu, dass Firmen ihre Geschäftstätigkeit einschränken oder zeitweise ganz einstellen müssen.
Es kann zu Klagen seitens betroffener Kunden oder Partner kommen.
Geschäftsbeziehungen finden aufgrund des Vertrauensverlustes unter Umständen ein schnelles Ende.
Firmen müssen Investitionen in bessere IT-Sicherheitssysteme tätigen, um zukünftige Lecks zu verhindern.
Die Zufriedenheit und Loyalität der Mitarbeiter leidet.
Kritische Informationen und Daten sind möglicherweise unwiederbringlich verloren oder geraten in falsche Hände.
Bewerber zögern, sich bei einem Unternehmen vorzustellen, das als unsicher gilt.
KMU sind von Cyber-Risiken ebenso betroffen wie Großunternehmen. Laut dem Global Risk Report 2023 des Weltwirtschaftsforums gehören Cyberkriminalität und Cybersicherheit zu den zehn größten kurz- und langfristigen globalen Risiken.
Die Gefahr erfolgreicher Cyber-Angriffe auf KMU wächst fast täglich
Da der Grad der Digitalisierung auch bei kleineren Unternehmen zunimmt, sollten sie zwingend über einen besseren Schutz vor Cyberangriffen nachdenken. Die jüngsten Verizon Data Breach Investigations 2023 zeigen, dass KMU heute die gleichen Cloud-Dienste und As-a-Service-Modelle nutzen wie große Unternehmen. Die Angriffsfläche kleiner bis mittelgroßer Firmen ist also nicht unbedingt weniger ausgedehnt, und in aller Regel fehlt eine gut ausgestattete Cybersicherheitsabteilung.
Wenn die Angriffsfläche wächst, ohne dass die Verantwortlichen entsprechende Abwehrmaßnahmen ergreifen, sind erfolgreiche Cyber-Angriffe vorprogrammiert. Laut einer Studie der Cyber Rescue Alliance aus dem Jahr 2022 sind fast alle Unternehmen weltweit Ziel von Phishing-Angriffen geworden.
Insgesamt drei Viertel wurden mit Ransomware angegriffen. Dabei machen die Cyberkriminellen keinen Unterschied zwischen großen und kleinen Unternehmen. Die Gefahr für kleine Unternehmen steigt vor allem dann, wenn sie Teil einer Lieferkette sind, deren Produkte für Kriminelle interessant sind.
Die Folgen von Cyber-Angriffen sind oft existenzbedrohend
Laut einer Hiscox-Studie aus dem Jahr 2021 belaufen sich die durchschnittlichen finanziellen Kosten eines Cyberangriffs für ein kleines Unternehmen in den USA auf 25.612 US-Dollar – genug, um die Geschäftskontinuität zu gefährden. Dazu kommt kostspielige Wiederherstellungsmaßnahmen, die den Betrieb oft monatelang beeinträchtigen. Viele Unternehmen überleben das Ganze nicht, wie verschiedene Studien zeigen.
Die „Aufräumarbeiten“ nach einem erfolgreichen Cyber-Angriff werden auch für die Belegschaft zur Herausforderung, wenn Mitarbeiter das beim Kunden verloren gegangene Vertrauen wieder aufbauen müssen, Daten unwiederbringlich verloren sind und gleichzeitig die Arbeitsbelastung steigt.
Wie entstehen Datenlecks?
Drei Viertel aller Datenlecks gehen auf menschliches Versagen zurück oder sogar ein kriminelles Verhalten von Mitarbeitern, die Daten an Unbefugte weitergegeben haben. Falsche Konfigurationen, fehlende Sicherheitseinstellungen und schwache Passwörter sind ebenfalls oft Grund für erfolgreiche Cyberangriffe.
Die drei häufigsten Angriffsmethoden von Cyberkriminellen sind gestohlene Zugangsdaten, Phishing-Angriffe und Sicherheitslücken in Anwendungen und Betriebssystemen. Dabei macht Ransomware mittlerweile 25 Prozent aller Datenlecks aus. Ransomware-Angriffe sind in sehr vielen, wenn nicht den meisten Fällen die Folge erfolgreicher Phishing-Attacken in Verbindung mit Software-Schwachstellen in Unternehmen.
Vor allem E-Mail-Systeme sind nicht selten das Einfallstor, oft in Verbindung mit kompromittierten Office-Dokumenten. Den Makroschutz in Office-Programmen zu aktivieren, hilft hier schon lange nicht mehr: moderne Malware/Ransomware arbeitet mittlerweile ohne Makros.
Gestohlene Login-Daten
Mit gestohlenen Anmeldeinformationen lassen sich zudem Daten aus Webanwendungen stehlen. Dies ist bei fast 90 Prozent aller Angriffe dieser Art der Fall. Mittels Social Engineering versuchen Cyberkriminelle beispielsweise, das Verhalten von Mitarbeitenden zu manipulieren, um an Anmeldeinformationen zu gelangen. Dabei kommen zuvor gesammelte Informationen über das Unternehmen und die Mitarbeiter zum Einsatz, um glaubhaft zu erscheinen.
Häufig geben sich die Angreifer als vertrauenswürdige Person aus, die per E-Mail, Deep Fake Call oder Videokonferenz versucht, Informationen abzugreifen. Dabei erzeugen die Kriminellen oft ein Gefühl der Dringlichkeit, das eine schnelle Reaktion erfordert. Phishing und Business-E-Mail-Compromise-Angriffe (BEC) gehören in diese Kategorie, wobei BEC und Phishing mittlerweile die Hälfte aller Social Engineering-Angriffe ausmachen.
BEC wird vermutlich „dank“ der Fähigkeiten generativer KI eher zu- als abnehmen. In diesen Fällen geben die Nutzer unbeabsichtigt Daten preis, gefährden damit aber das gesamte Unternehmen. Dazu kommt, dass Fehler aus Angst vor arbeitsrechtlichen Konsequenzen oft nicht offengelegt werden.
Aber auch eigene Privilegien innerhalb der Firma zu missbrauchen ist eine gängige Methode. Solche internen Angriffe sind vor allem dann möglich, wenn die Nutzung von Zugriffsberechtigungen nicht überwacht wird und Mitarbeiter mehr Rechte innehaben, als sie für ihre Arbeit tatsächlich benötigen. Unerlaubte Datenzugriffe dieser Art sind meist finanziell motiviert.
Leitfäden bieten Unterstützung
Viele Behörden stellen solche Leitfäden zur Verfügung. Wenn KMU die Informationen beherzigen, senken sie das Risiko erfolgreich verlaufender Cyber-Angriffe erheblich. Häufig ist die Einhaltung der empfohlenen Schutzmaßnahmen auch Voraussetzung für die Teilnahme an öffentlichen Ausschreibungen.
Das britische National Cyber Security Centre (NCSC) stellt dazu die UK Cyber Essentials zur Verfügung, nach denen sich Unternehmen auch zertifizieren lassen können. Die in den USA ansässige Cybersecurity and Infrastructure Security Agency (CISA) hat einen Leitfaden veröffentlicht, der einen anderen Ansatz verfolgt, indem er die Aufgaben nach Rollen aufschlüsselt.
Die Europäische Agentur für Cybersicherheit (Enisa) hat wiederum eine Analyse der Kapazitäten von kleinen und mittleren Unternehmen in Europa durchgeführt.
Der Bericht enthält Empfehlungen und Vorschläge für Maßnahmen, welche die EU-Mitgliedstaaten ergreifen können, um KMU bei der Verbesserung ihrer Cybersicherheit zu unterstützen. Darüber hinaus gibt es einen kurzen Leitfaden mit zwölf praktischen Schritten für KMU zur Verbesserung der Sicherheit ihrer Systeme und des Geschäftsbetriebs.
So können sich KMU vor Datenlecks schützen: E-Mail-System abdichten
Anwendungen sollten für KMU einfach zu bedienen und schnell einsetzbar sein. In kleinen Unternehmen fehlt es oft an Personal und Fachwissen für hochprofessionelle Cybersicherheit. Hinzu kommen begrenzte Budgets und die Abhängigkeit von standardisierter Hard- und Software.
Hier ist ein mehrstufiger Ansatz sinnvoll. Durch modulare Anwendungen können flexible Sicherheitsmaßnahmen für unterschiedliche Anspruchsprofile umgesetzt werden. Besonderes Augenmerk sollte man auf das E-Mail-System legen, nachweislich eines der wichtigsten Einfallstore für Cyber-Angriffe. Der Grundschutz der Anwendungen wie zum Beispiel von Microsoft, reicht oft nicht aus, um das System vollständig zu schützen. Folgende Faktoren spielen eine zentrale Rolle:
Anti-Spam-, Anti-Phishing- und Malware-Scans, um das Potenzial ungezielter Massenangriffe zu senken
Erweiterter Link-/URL-Schutz in Form von Link-Isolation (Rewriting) plus Deep-Content-Analyse während der Klickzeit mittels Safe Cloud Sandboxing
Erweitertes Attachment Sandboxing, um eingehende Nachrichten auf infizierte Anhänge in einer isolierten Umgebung zu analysieren, ohne die Betriebsumgebung zu gefährden
E-Mail-Verschlüsselung, um die Integrität der E-Mail-Kommunikation mit Kunden zu gewährleisten
Prüfung ausgehender Nachrichten, um sicherzustellen, dass nur legitime Informationen das Unternehmen verlassen und die beabsichtigten Empfänger erreichen
Mit diesen Maßnahmen erzielen Firmen bereits einen soliden Grundschutz, der die häufigsten Risiken zumindest senkt. Dazu kommen Schulungsmaßnahmen, die der veränderten Angriffslage Rechnung tragen. Jeder sollte wissen, was Phishing heute ausmacht, wie die Angriffe ablaufen und wie man am besten reagiert. Ein erhöhtes Sicherheitsbewusstsein, insbesondere in Bezug auf Phishing und Social Engineering, ist gerade angesichts dessen, wie Cyberkriminelle beispielsweise ChatGPT einsetzen, ein wichtiger Sicherheitsfaktor.
Eine weitere Sicherheitsebene zieht die Endpoint Detection and Response (EDR) ein. Wenn ein Cyberkrimineller in das Netzwerk eindringt, erkennen solche Systeme die Bedrohung und tragen dazu bei, sie direkt an der Quelle zu bekämpfen. Idealerweise ist ein solches System mit einer robusten Malware-Erkennung ausgestattet, einschließlich KI/ML-basierter Technologien, die Angriffe ihrerseits intelligent erkennen. Es gibt also durchaus einiges, das KMU tun können, um die Risiken für sich und andere zu senken.