Cyber-Kriminalität steigt: Auch kleine und mittlere Unternehmen stehen im Visier der Hacker

Von Johan van der Sluis, Geschäftsführer der Affinion International GmbH

Cyber-Kriminalität und -Sicherheit dominieren die Nachrichten. Es vergeht keine Woche ohne einen aufsehenerregenden Angriff oder eine neue Studie mit erschreckenden Statistiken. Der Cybersicherheitstest der Regierung Großbritanniens für das Jahr 2017 hat kürzlich festgestellt, dass 45 Prozent der Kleinunternehmen schon Erfahrung mit Cyber-Angriffen und deren Folgen gemacht haben. Wenn man diese Zahlen betrachtet, ist es leicht nachzuvollziehen, warum Cyber-Sicherheit für fast jedes KMU (kleine und mittlere Unternehmen) von großer Bedeutung ist. Die Angriffe nehmen rapide zu, dennoch rutscht gerade bei vielbeschäftigten KMU Prävention schnell ans Ende der Prioritätenlisten. Doch diese Vogel-Strauß-Mentalität könnte schwerwiegende Folgen haben. Denn neben dem Verlust von privaten Daten können einem Cyber-Angriff viele weitere Konsequenzen folgen. Die gute Nachricht: Wer Vorsichtsmaßnahmen trifft, kann sich gegen Cyber-Attacken schützen. Doch welche sind überhaupt die größten Risiken, denen ein Unternehmen ausgesetzt ist?

Kosten und Strafen

Kleine Unternehmen sind genauso wie größere Ziel von Cyber-Kriminalität. Das liegt zum einen an ihrer Selbsteinschätzung, als kleine Firma eine geringere Angriffsfläche zu bieten; aus diesem Grund werden Sicherheitsvorkehrungen oft vernachlässigt. Zum anderen aber auch daran, dass ihre Aktivitäten zunehmend mit dem Internet verflochten sind. Außerdem mangelt es KMU für gewöhnlich an Ressourcen und Know-how, um Attacken zu verhindern. Viele kleine Firmen haben beispielsweise keine reine IT-Abteilung und keinen Zugang zu Betrugs- oder Rechtsexperten. Das macht sie besonders verwundbar. Doch die mit Cyber-Verbrechen verbundenen Kosten und Geldstrafen haben nicht nur auf global agierende Großkonzerne Einfluss. Wenn im Mai 2018 die EU-Datenschutz-Grundverordnung wirksam wird, ist das Thema Datenschutz für Firmen jeder Größe unumgänglich. Denn bei Verstößen drohen dann hohe Geldbußen von bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro. Kleine und mittlere Unternehmen sollten diese Neuerung als Warnung verstehen, beim Umgang mit und der Speicherung von Verbraucherdaten sorgfältig vorzugehen. Für diejenigen, die sie missachten und keine vorbeugenden Maßnahmen treffen, können die Folgen verheerend sein.

Betriebsunterbrechung

Ein Cyber-Angriff bedeutet für jedes Unternehmen Zeiteinbußen und somit ungeplante Kosten und Verluste. Das Institute of Chartered Accountants in England und Wales fand heraus, dass die folgenschwersten Angriffe die Betriebsabläufe kleiner Unternehmen für durchschnittlich sieben bis zehn Tage unterbrechen. Wenn eine Firma keine Vorkehrungen trifft, können die Auswirkungen ernsthafte Schäden anrichten. Um diese zu beheben, ist ein zusätzlicher Zeit- und Finanzaufwand erforderlich. Dadurch wird der Tagesablauf des Unternehmens kurz- bis mittelfristig gestört und die Qualität des Kundenservice beeinflusst. Das belegt auch eine Studie aus dem Jahr 2016, die von KPMG und der Cyber Streetwise-Kampagne der britischen Regierung durchgeführt wurde: Bei 93 Prozent der Firmen, die Opfer eines Cyber-Angriffs wurden, wurde die Arbeitsleistung geschwächt.

Reputationshaftung (Verlust von Kundenvertrauen und -loyalität)

Firmen, die keine präventiven Maßnahmen treffen, um Cyber-Kriminalität zu verhindern, riskieren hohe Kosten und Betriebsstörungen. KMU sind hiervon nicht ausgenommen. Sie laufen Gefahr, ihren Ruf zu schädigen, die persönlichen Informationen ihrer Kunden preiszugeben und damit ihr Vertrauen zu verlieren. Auch das bestätigt die Forschung von KPMG mit ihren Ergebnissen: 89 Prozent der kleinen Unternehmen, die Erfahrungen mit Cyber-Attacken gemacht haben, kämpfen mit Rufschädigungen. Bei 31 Prozent hätte die Marke Schaden erlitten, 30 Prozent gaben Verlust von Auftraggebern an und 29 Prozent sahen ihre Fähigkeit, neue Geschäfte abzuschließen, geschwächt. Opfer von Cyber-Kriminalität haben eher eine schlechte Meinung von Firmen, die nicht in der Lage sind, sich selbst und ihre Kunden zu schützen. Somit hat eine Cyber-Attacke nicht nur direkte Nachteile für das geschädigte KMU, sondern beeinflusst auch die Kundenbeziehung negativ.

Eine Forschung der gemeinnützigen Organisation Cifas zeigt, dass mit 89.000 aufgezeichneten Fällen im ersten Halbjahr 2017 das Thema Identitätsdiebstahl besonders besorgniserregend ist. Denn eines der Hauptziele von Cyber-Kriminellen ist es, sich sensible Daten anzueignen. Doch mit welchen Betrügereien werden kleine und mittlere Unternehmen genau konfrontiert? Sind sie besonders gefährdet, Opfer von Cyber-Kriminalität zu werden? Noch wichtiger: Können sie sich schützen? Und welche aktuellen Internetsicherheitsfallen stellen für KMU die größte Bedrohung dar?

1) Spear-Phishing

Es ist eine weit verbreitete Annahme, dass nur größere Firmen mit hohen Jahresumsätzen und großen Datenmengen von Cyber-Kriminalität bedroht sind. Doch die Softwarefirma Symantec stellt fest, dass 75 Prozent der KMU im Vergleich zu nur 35 Prozent der großen Unternehmen Opfer von Spear-Phishing-Angriffen werden. Beim Spear-Phishing fragt eine E-Mail nach vertraulichen Informationen. Diese macht den Anschein, als kenne der Absender den Empfänger persönlich. In Wirklichkeit aber steckt hinter dieser Mail ein Cyber-Angriff, der es auf sensible Daten abgesehen hat.

2) Ransomware

Ransomware ist ein Begriff für Computerviren, die damit drohen, alle wichtigen Firmendaten zu löschen, sofern das Unternehmen kein Lösegeld zahlt. Der jüngste, weltweite WannaCry-Angriff traf größere Firmen und öffentliche Organisationen. Doch Ransomware-Angriffe auf KMU sind auf dem Vormarsch, insbesondere weil diese davon ausgehen, keine ernsthaften Ziele zu sein. Doch das Gegenteil ist der Fall: Eine Forschung von Malwarebytes fand heraus, dass jedes dritte Unternehmen mit weniger als 1.000 Mitarbeitern im letzten Jahr durch Ransomware geschädigt wurde. Ein Sechstel der Firmen verlor aufgrund eines Cyber-Angriffs 25 Stunden Betriebszeit und mehr.

3) Öffentliche WLAN-Hotspots

Es wird immer üblicher, auch unterwegs zu arbeiten. Daher nutzen Angestellte den Vorteil von Internet-Hotspots, sofern diese verfügbar sind. 77 Prozent der Menschen glauben laut der britischen Medienaufsichtsbehörde Ofcom, öffentliches WLAN wäre genauso sicher wie ihre Internetverbindung zu Hause. Doch ganz egal, ob E-Mails in einem Café oder unterwegs empfangen werden – Nutzer laufen Gefahr, dass Kriminelle die öffentlichen Hotspots hacken und empfindliche Daten über die Handys der Opfer stehlen.

4) Identitätsdiebstahl

Viele denken, nur Privatpersonen seien dem Risiko durch Identitätsdiebstahl ausgesetzt. Doch im Jahr 2016 belegten Experten, dass kleine Unternehmen in Großbritannien durchschnittlich mehr als 2.500 Pfund aufgrund von Identitätsdiebstahl und Kartenbetrug verloren haben. Die meisten Identitätsdiebstähle werden im Internet verübt. Laut Cifas ist es eine der neuesten Maschen der Betrüger, sich Versicherungsscheine anzueignen.

5) Mangel an Vorbereitung

Eines der größten Probleme für KMU ist der Mangel an Vorbereitung. Wenn die Datensicherung nicht ernst genommen wird und keine Vorkehrungsmaßnahmen ergriffen werden, können Cyber-Attacken schwerwiegende Folgen für Unternehmen jeder Größe haben. Durch die europaweite Einführung der neuen Datenschutzbestimmung werden KMU auf lange Sicht gezwungen, mehr Verantwortung für ihren Umgang mit Kundendaten zu übernehmen. Die Unternehmen sollten sich also schnellstmöglich gegen Cyber-Kriminalität schützen, da sie sonst die kostenintensiven Konsequenzen tragen müssen.

Schritte zur Prävention unternehmen

Auch in Zukunft werden Cyber-Angriffe weiterhin rapide zunehmen und es ist kein Rückgang in Sicht. Doch mittlerweile existieren proaktive, präventive Lösungen gegen Cyber-Kriminalität. Sie können das Internet, die sozialen Medien sowie das Dark Web überwachen und bei verdächtigen Aktivitäten Alarm schlagen. Im Falle eines Angriffs hilft ein professioneller IT-Service, damit Sie sich weiterhin auf Ihr Kerngeschäft konzentrieren können. Generell gilt: Vorsicht ist besser als Nachsicht. Dabei ist es wichtig sicherzustellen, dass vorbeugende Maßnahmen getroffen wurden. KMU sollten in der Lage sein, ihr Unternehmen zu schützen und sich auf einen Angriff vorbereiten. Warten Sie nicht, bis Sie zum Opfer werden, handeln Sie rechtzeitig! Sprechen Sie uns an!