Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet kontinuierlich die Gefährdungslage in Deutschland und nennt diese auch für 2021 angespannt. Fazit des aktuellen Berichtes: „Dabei konnte eine Fortsetzung des Trends beobachtet werden, dass Angreifer Schadprogramme für cyber-kriminelle Massenangriffe auf Privatpersonen, Unternehmen und andere Institutionen nutzen. Auch Abflüsse von personenbezogenen Daten, [im Berichtszeitraum vom Juni 2019 bis 31. Mai 2020] u. a. von Patientendaten sowie kritische Schwachstellen in Software- und Hardwareprodukten konnten beobachtet werden.“

Sicherheitsrisiko Home-Office

Diesen Trend untermauert auch die Studie des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV). Anhand von 500 deutschen mittelständischen Unternehmen mit zehn bis 850 Mitarbeitern konnte klar gezeigt werden, dass ein Großteil sehr leicht zu hacken ist. Experten konnten Firmenzugangsdaten ohne Probleme im Darknet erwerben und sich damit schnell und einfach Zugang zu allen Daten verschaffen. In der Hälfte der Unternehmen wurden die Zugangsdaten direkt über die Mitarbeiter weitergegeben. Ihnen wurden typische Phishing-Emails gesendet, in denen sie aufgefordert wurden, den Anhang zu öffnen und die entsprechenden Daten einzugeben. Für diesen Test wurde mit einer kostenlosen Datenschutzschulung geworben. Durch die Corona-Krise und die dadurch extrem angestiegene Zahl an Home-Office-Arbeitsplätzen ist auch das Risiko für Cyberattacken auf Unternehmen massiv gestiegen. Denn nicht wenige Mitarbeiter nutzen ihre berufliche Emailadresse für private Zwecke oder verwenden für verschiedene Anwendungen und Zugänge identische Passwörter. Laut einer Forsa-Umfrage im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft erlitt mehr als jeder vierte Mittelständler (30 Prozent) bereits einen finanziellen Schaden durch Cyberangriffe.

Software-Schwachstellen – die Türöffner für Hacker

Neben Trojaner wie Emotet, Randsomware und Spam bzw. Malware-Spam nennt das BSI als Türöffner für Cyberattacken daneben auch Schwachstellen vor allem in der Software. Die in Unternehmen eingesetzten Programme sind i.d.R. mittlerweile sehr komplex. So bestehen sie aus schier unendlichen Zeilen Programmcode. Dieser sollte vor dem Verkauf der Software eigentlich eine gründliche Prüfung durchfahren, um alle Eventualitäten abzuklären und Schwachstellen auszumerzen. Da dies jedoch einen immensen Zeit- und damit auch Kostenaufwand für die Software-Hersteller bedeutet, wird die Ware wissentlich mit möglichen Sicherheitslücken ausgeliefert und erst durch den Endnutzer geprüft. Werden dann Fehlfunktionen oder andere Fehler gemeldet, liefert der Software-Hersteller ggf. ein Update, welches unter Umständen dann auch noch neue Sicherheitslücken aufwirft. Dies ist in etwa vergleichbar mit dem Flicken einer kaputten Straße. Man kann eine neue Teerschicht auf die Löcher ziehen, doch die Schwachstelle bleibt und kann unter gewissen Umständen (Witterung, große Belastung) aufreißen und einen noch größeren Schaden verursachen. Genauso nutzen Hacker diese Sicherheitslücken in der Software für ihre Angriffe aus und haben damit oft ein allzu leichtes Spiel.

Die Hersteller wollen davon natürlich nichts hören. Wie oft haben schon Sicherheitsingenieure solche Fehler und Lücken gemeldet und mussten dann zusehen, wie dennoch monatelang nichts getan wird. Pro Jahr entsteht so ein Schaden von insgesamt über 100 Mrd. Euro durch Spionage, Sabotage und Datendiebstahl (Studie von Bitkom e.V., 2020).

Die Software-Hersteller können dabei jedoch nicht in Regress genommen werden und Sie bleiben als Unternehmer evtl. auf den Kosten sitzen. Doch wie können Sie sich zukünftig vor solchen Angriffen schützen?

Effektive Schutzmaßnamen

Am wichtigsten ist es, die Gefahren zu kennen und diese auch als mittelständisches Unternehmen ernst zu nehmen. Auch wenn Sie der Meinung sind, nur sehr wenige oder doch ganz sicher unbedeutende Daten zu speichern. Oben erwähnte Studie von Bitkom zeigt, dass sich sechs von zehn Cyberangriffen gegen Mittelständler richten. Gerade für kleine Unternehmen werden Cyberangriffe teuer: Der durchschnittliche Schaden bei Betrieben mit weniger als 100 Mitarbeitern liegt bei 21.829 Euro. Eine happige Summe, die schnell an die Existenz des Betriebes gehen kann. Zwar liegen die Schäden bei Unternehmen mit über 1.000 Mitarbeitern mit 45.347 Euro mehr als doppelt so hoch. Doch gemessen am Umsatz dürften Kleinstbetriebe am empfindlichsten von Hackerattacken getroffen werden (GDV – Die Deutschen Versicherer, Hiscox Cyber Readiness Report 2017)

Im Hinblick auf die Sicherheitslücken in der verwendeten Software können Sie nur wenig tun. Wichtig ist, dass sie alle Programme möglichst immer auf dem neusten Stand halten, d.h. regelmäßig die vom Hersteller zur Verfügung gestellten Updates installieren oder gegebenenfalls eine Software komplett ersetzen, falls kein technischer Support und damit Sicherheitsupdates angeboten werden. Einige große Softwarehersteller arbeiten seit Jahren nach genau diesem Verfahren. So wird bspw. ein Betriebssystem mit unzähligen Problemen, Fehlern und Sicherheitslücken herausgegeben. Kontinuierliche Updates sollen dann für einen reibungslosen Einsatz beim Endnutzer sorgen. Wenn der Softwarehersteller beschließt, dass ein Betriebssystem seinen Zenit erreicht hat, werden keine Sicherheitsupdates mehr angeboten und die Nutzer sind quasi gezwungen, ein neues Betriebssystem zu erwerben oder müssen das Risiko eingehen, weiterhin das alte System, ohne jeglichen oder stark eingeschränktem Support zu nutzen.

Aktiv werden können Sie jedoch bei Ihren Mitarbeitern. Diese müssen unbedingt für das Thema IT-Sicherheit bzw. Datenschutz sensibilisiert und gut geschult werden. Wie oft hören wir in unseren Schulungen von Mitarbeitern die Worte: „Naja, dass ist uns schon klar.“ Und sehen selbige dann vollkommen überrascht, wenn man sie auf ihre leider oft häufigen Verstöße aufmerksam macht. Dies einen der größten Zugangspunkte für Cyberangriffe dar und genau hier greifen wird ein, um Sie vor einem ausufernden Schaden zu schützen.

Autor: Ron Wieland