Cyber-Schäden können auch kleine und mittlere Unternehmen hart treffen


Die Öffentlichkeit erfährt nur etwas von den ganz spektakulären Cyber-Schäden. Von der Mehrzahl der Hacks in kleinen und mittleren Unternehmen erfährt die große Öffentlichkeit jedoch meist nichts.

 

Aktuell sagen 46% der deutschen Unternehmen, dass sie mindestens ein Mal pro Jahr Opfer einer Attacke sind (gem. Hiscox Cyber Report 2021). Der deutsche Verfassungsschutz geht von einem Angriff pro 3 Minuten auf deutsche Unternehmen aus.

 

Cyber-Angriffe unterscheiden sich der Motivation der Hacker - diese Cyber-Schadenarten gibt es

1. Ransomware-Angriffe zur Verschlüsselung von Daten

Die mittlerweile wohl häufigste Angriffsart sind Ransomware-Angriffe, bei denen sich Angreifer über Email-Links, Installation infizierter Software oder Lücken in Websystemen Zugang zu den IT-Systemen des Ziel-Unternehmens verschaffen und dort Schadsoftware einschleusen, die die Daten verschlüsselt und die Systemfunktionen blockiert. Nach erfolgreichen Angriffen stellen Hacker hohe Lösegeldforderungen in Bitcoin-Währungen zur Freischaltung.

Diese Angriffe nehmen an Intensität zu, sodass als erste Cyber-Versicherung die Axa die Zahlung von Erpressungsgeldern nicht mehr versichert.

 

2. Spionage-Angriffe zum Abgreifen vertraulicher Daten

Hierbei wird ebenfalls ein Schadcode auf die IT-Systeme des Zielunternehmens eingeschleust, welcher allerdings über einige Zeit unbemerkt vertrauliche Daten an die Hacker übermittelt soll mit unterschiedliche Zielsetzungen:

  1. Industriespionage über Auftrags-Hacker.
  2. Erspähung von Kreditkarten-Daten von Kunden (mit hohen finanziellen Folgeschäden aufgrund von Schadensersatz und Überwachungskosten).
  3. Erpressungsversuche mit der Drohung, vertrauliche Daten zu veröffentlichen. Dies betrifft Lösegeldforderungen, z.B. bei der Veröffentlichung von Patientendaten aus dem Gesundheitssystem, aber auch die Erzwingung gewünschten Verhaltens von kompromitierten Personen.

3. Überlastungsangriffe zur Blockade von Websites oder zum Eindringen in geschützte Netzwerke

Mit gezielten DDoS-Attacken werden Web-Systeme des Zielunternehmens überlastet, sodass die Geschäftsfunktionen (z.B. Online-Handel, Email-Verkehr) nicht mehr möglich sind.

Hierbei sind politische Aktionistengruppen zu unterscheiden von Hackern, die Lösegelder erpressen wollen.

 

4. Identitäts-Diebstahl für Vermögenstransfers

Über Phishing-Attacken werden durch die Hacker persönliche Zugangsdaten in Erfahrung gebracht, mit denen Geldtransaktionen oder Bestellprozesse ausgelöst werden können. Letzteres ist eine besonders perfide Betrugsmasche während der Büroschließungen der ersten Corona-Welle - die online bestellte Ware wurde bei Lieferung vor dem geschlossenen Büro abgefangen.

 

5. Fake-President-Fraud für Vermögenstransfers

Bei der Fake-President-Attacke werden von den Hackern vorab wesentliche handelnde Personen im Unternehmen identifiziert sowie deren Terminpläne und Kommunikationsdaten ausgeforscht. Mitarbeiter aus dem Finanzbereich des Zielunternehmens werden gezielt unter Stress gesetzt, kurzfristige Geldüberweisungen auf - vermeintlichen - Auftrag des Inhabers bzw. des Geschäftsführers zu veranlassen.

Hohe Kosten bei Cyber-Angriffen

Die anfallenden Kosten bei einem Hack setzen sich zusammen aus:

  • Kosten spezialisierter IT-Dienstleister zur Suche der Cyber-Angriffspunkte
  • Wiederherstellung der IT-Systeme - Schadcode beseitigen, Datensicherungen einspielen, beschädigte Hardware ersetzen
  • Betriebsausfallkosten von Angriff bis Wiederherstellung
  • juristische Beratung, z.B. Meldung an die Datenschutzbehörde bei Verlust personenbezogener Daten
  • ggfs. Strafgelder der Datenschutzbehörden bei Verstößen gegen Datenschutzbestimmungen
  • Kosten der vorgeschriebenen Kundeninformation und ggfs. Kreditkarten-Überwachungsaufwände
  • Schadensersatzleistungen an betroffene Geschäftspartner bzw. Kunden
  • ggfs. Zahlung von Erpressungsgeld bei Datenverschlüsselung
  • u.w.