Phishing-E-Mails, Trojaner, Hacker, Ransomware, Cyberkriminelle … – die IT von Unternehmen wird aus vielen Richtungen bedroht. Das kann für Handwerksbetriebe, Arztpraxen, Anwaltskanzleien, Einzelhändler und andere kleine und mittlere Unternehmen (KMU) gefährlich und sogar existenzbedrohend sein. Warum das so ist, welche Kosten Cyberangriffe verursachen und wie man seine IT und seine Daten erfolgreich schützt, erläutert Gerrit Knichwitz, Geschäftsführer von Perseus Technologies, im Interview.
Gerrit Knichwitz
Geschäftsführer / CEO Perseus Technologies
Unser Gesprächspartner Gerrit Knichwitz ist der Geschäftsführer von Perseus Technologies und ein bekennender Cybersicherheitsenthusiast. Er verfügt über mehr als zehn Jahre Erfahrung in der Finanz-/Versicherungsbranche, unter anderem in den Bereichen Finance, Corporate Development & Digital Transformation.
Perseus Technologies hat es sich zur Aufgabe gemacht, Cyberrisiken für seine Partner und Kunden beherrschbar zu machen. Gegründet 2017 in Berlin, hat sich Perseus Technologies schnell zum Komplettanbieter von Lösungen gegen Cyberbedrohungen entwickelt und ergänzt heute fast jede zweite Versicherungspolice auf dem deutschen Markt.
Das ganzheitliche Cybersicherheitsangebot von Perseus umfasst eine technische und organisatorische Risikoprüfung, ein umfassendes Cyberpräventionsangebot (inklusive Online-Trainings für Mitarbeitende und automatisierte Phishing-Simulationen) sowie eine 24/7-Cyber-Notfallhilfe. Auf diese Weise trägt Perseus maßgeblich dazu bei, die Anzahl und das Ausmaß von Cybervorfällen in Unternehmen zu reduzieren.
Vor allem kleine und mittelständische Unternehmen profitieren von den einfach zu integrierenden Lösungen und schaffen so eine nachhaltige Cybersicherheitskultur in ihrer Organisation. Der Firmenname Perseus geht auf die griechische Mythologie zurück. Ähnlich wie Unternehmen im heutigen digitalen Zeitalter täglich mit neuen Cybergefahren konfrontiert werden, musste sich auch der Halbgott Perseus Gefahren aller Art stellen.
In den Medien gibt es immer wieder Berichte über große Unternehmen, die Opfer von Hackern und Cyberkriminellen wurden. Sind kleine und mittelgroße Unternehmen für Angreifer also weniger interessant als die Big Player? Oder sind z. B. Handwerksbetriebe, Einzelhändler oder auch Arztpraxen mit ihren sensiblen Daten sogar besonders gefährdet, weil sie oft weniger in ihre IT-Sicherheit investieren?
Gerrit Knichwitz: Grundsätzlich ist jedes Unternehmen der Gefahr ausgesetzt, Opfer eines Cyberangriffs zu werden. Gerade kleine und mittelständische Unternehmen geraten immer häufiger ins Visier krimineller Hacker. Die Gründe dabei sind vielfältig:
Wie Sie bereits erwähnten, ist die Cyberabwehr bei KMU weniger umfassend aufgestellt, da oftmals der Irrglaube vorherrscht, das eigene Unternehmen sei zu klein oder uninteressant für Cyberangriffe. Folglich wird in geringem Umfang in Prävention und IT-Sicherheit investiert. Ein Umstand, der von Cyberkriminellen bewusst ausgenutzt wird.
Angriffsmuster und Taktiken der Cyberkriminellen entwickeln sich dabei sehr dynamisch weiter. 70 Prozent aller Cyberangriffsversuche starten mit Phishing-E-Mails. Diese werden häufig nach dem sogenannten Gießkannenprinzip verschickt. Das bedeutet, dass sie an eine große Anzahl von Unternehmen und Mitarbeitende versendet werden – unabhängig von der Branche oder der Größe.
Cyberkriminelle setzen bei der Erstellung und Durchführung von Phishing-Angriffen zudem vermehrt auf künstliche Intelligenz (KI). Im Jahr 2022 stieg das Volumen von Phishing-E-Mails durch den Einsatz von KI im Vergleich zum vorherigen Betrachtungszeitraum um 47 Prozent. Phishing-E-Mails können mithilfe von KI so gestaltet werden, dass sie von legitimen E-Mails kaum zu unterscheiden sind. KI-gesteuerte Bots erhöhen auch die Geschwindigkeit, indem Phishing-E-Mails automatisch an eine sehr große Zahl von Empfängern gleichzeitig versendet werden.
Diese Entwicklung senkt die Einstiegshürden zur erfolgreichen Durchführung von Attacken für Kriminelle enorm und wird insbesondere KMU mit fehlender Cybersicherheitskultur vor große Herausforderungen stellen.
Auch kleinere Unternehmen, Handwerker, Heilberufler & Co. müssen sich also um Ihre IT-Sicherheit kümmern. Was kann einem Unternehmen denn passieren, wenn es nicht ausreichend geschützt ist?
Gerrit Knichwitz: Laut dem Risikobarometer der Allianz gelten Cybervorfälle und Betriebsunterbrechungen im zweiten Jahr in Folge als die größten Geschäftsrisiken weltweit. Vor allem Phishing, Angriffe auf Passwörter und Infizierung mit Schadsoftware gehörten zu den häufigsten Cyberangriffsarten im Jahr 2022. Die aus diesen Angriffen resultierenden Betriebsunterbrechungen und der Verlust von Kundendaten werden bei kleinen und mittelständischen Unternehmen als besonders heikel angesehen.
Um auf Ihr Beispiel konkret zurückzukommen: Handwerker sind zumeist im Besitz von Kundendatenbanken mit sensiblen Informationen, wie den Kontaktdaten oder auch Bankverbindungen ihrer Kundinnen und Kunden. Heilberufler verfügen darüber hinaus noch über Informationen über den Gesundheitszustand ihrer Patienten. Wenn diese vermeintlich kleinen Betriebe beispielsweise einem Cyberangriff mit Erpressersoftware (Ransomware) zum Opfer fallen, werden die Betriebssysteme und somit auch alle dort gespeicherten und abgelegten Daten von den Bedrohungsakteuren verschlüsselt und nur gegen Zahlung eines Lösegeldes herausgegeben. Die Folge eines solchen Angriffs sind daher häufig Betriebsausfälle – im Zweifel über einen längeren Zeitraum – und massive finanzielle Schäden, die für KMU existenziell sein können. Darüber hinaus können Datenschutzverletzungen entstehen, welche häufig schwere Reputationsschäden bei Kunden und Partnern zur Folge haben.
Kommen wir zur praktischen Seite: Wie läuft ein typischer Cyberangriff ab?
Gerrit Knichwitz: Die größten Cyberbedrohungen für die deutsche Wirtschaft waren im Jahr 2022 Angriffe mit Ransomware, die Ausnutzung von Schwachstellen in der IT-Infrastruktur von Unternehmen sowie Angriffe auf Lieferketten.
Spielen wir zur Veranschaulichung einen „Ransomware-Angriff“ praktisch durch: In der Buchhaltung eines Büros geht eine E-Mail ein, vermeintlich eine ausstehende Rechnung eines freien Mitarbeitenden. Verwundert öffnet ein Kollege den Anhang, um die Rechnung zu überprüfen. Was er nicht weiß: Durch das Öffnen der Datei lädt er eine Schadsoftware herunter, die sich auf alle Arbeitsgeräte ausbreitet und das gesamte Netzwerk lahmlegt. Kein Computer ist mehr nutzbar. Auch die Rechner der Kolleginnen und Kollegen im Homeoffice nicht. Die Bildschirme sind schwarz, nur eine Lösegeldforderung ist sichtbar. Der Betrieb steht still. An den aktuellen Projekten kann nicht weitergearbeitet werden, Abgabetermine können nicht eingehalten werden. Kunden und Partnerunternehmen können kaum informiert werden, da auch die E-Mail-Programme betroffen sind und Kontaktdaten verschlüsselt wurden. Insgesamt kommt es zu einem mehrtägigen Betriebsausfall. Fachleute müssen die Schadsoftware von den Computern beseitigen. Zusätzlich müssen sie das System vor erneuten Angriffen absichern. Wenn vorhanden, können einige Daten aus alten Backups wiederhergestellt werden. Wenn personenbezogene Daten betroffen sind, muss der Vorfall der Datenaufsichtsbehörde gemeldet werden, Verzögerungen nachgearbeitet und Kunden beschwichtigt werden.
Der gesamte Schaden durch Cyberkriminalität betrug laut Bitkom Research 2022 in Deutschland knapp 203 Milliarden Euro. Wie hoch sind Ihrer Erfahrung nach die Kosten für ein einzelnes Unternehmen, das zum Cyberopfer wurde?
Gerrit Knichwitz: Die Kosten, die einzelnen Unternehmen im Rahmen eines Cyberangriffs entstehen, sind sehr fallabhängig. Hier spielen die oben aufgeführten Komponenten, insbesondere die Kosten für die Ausfallzeiten, eine große Rolle. Wie schnell wurde der Vorfall entdeckt? Wie lang und schwerwiegend war die Betriebsunterbrechung? Wie hoch waren die Kosten für IT-Dienstleister und IT-Sicherheitsexperten? Wurde ein Lösegeld gezahlt? Gab es Sanktionen für etwaige Datenschutzverletzungen und Schadensansprüche der Kundinnen und Kunden? Wurden weitere externe Dienstleister, wie Anwälte oder Presseberater, in Anspruch genommen? Und ganz wichtig: Konnten die Hard- und Software wiederhergestellt werden oder mussten neue Geräte und Systeme beschafft werden? Durchschnittlich belaufen sich die Kosten einer Cyberattacke bei kleinen und mittleren Unternehmen auf 67.000 Euro. Bei Unternehmen mit einem Umsatz über 25 Millionen Euro liegt der Wert sogar bei 217.000 Euro (HDI Cyberstudie).
Ein solcher Angriff kann also ganz schön teuer werden. Wie können sich Unternehmen schützen, damit es gar nicht erst so weit kommt? Und kann ich eigentlich auch als einzelner Mitarbeiter etwas tun oder sind nur die IT-Verantwortlichen gefragt?
Gerrit Knichwitz: Wie so oft sind das Erkennen und Minimieren des eigenen Risikos auch im Bereich Cyber entscheidend. Dabei sind nicht nur die IT-Verantwortlichen oder die Geschäftsführung gefragt, sondern auch jeder einzelne Mitarbeitende. Die Mitarbeitenden eines jeden Unternehmens sind dabei das häufigste Einstiegstor für Cyberangriffe – aber eben auch der stärkste Schutzschild. Durch gezielte Schulungen zum richtigen Verhalten mit Bedrohungen aus dem Internet, dem Bewusstsein dafür, worauf zu achten ist und wie im Falle eines Angriffs richtig zu agieren ist, lässt sich das Risiko, Opfer eines Cyberangriffs zu werden, verringern.
Die Mitarbeiterinnen und Mitarbeiter sind also ein wesentlicher Faktor bei der Cybersecurity. Wie lassen sie sich langfristig sensibilisieren, damit sie z. B. nicht nur bei Trainings oder Workshops, sondern vor allem auch jeden Tag bei der Arbeit wachsam bleiben?
Gerrit Knichwitz: Mitarbeitendensensibilisierungen als Bestandteil der Cyberprävention sind das Herzstück einer nachhaltigen Cyberstrategie. Es ist nicht mehr die Frage, ob das eigene Unternehmen Zielscheibe eines Angriffs wird, sondern, wann. Und hier kommt es auf das richtige Verhalten der Mitarbeitenden an, die den Verlauf und das Ausmaß des Angriffs bestimmen. Durch regelmäßige Trainings im Umgang mit Cybergefahren, flankiert durch die praktische Anwendung des erworbenen Wissens, durch z. B. Phishing-Simulationen, lässt sich die Sensibilisierung für Cybergefahren aufbauen und nachhaltig festigen. Mitarbeitende müssen über die Cybergefahrenlage auf dem Laufenden bleiben, wissen, wo Lücken bestehen und wie mit ihnen umzugehen ist, und nicht davor zurückschrecken, etwaige Missstände aktiv aufzuzeigen.
Worauf müssen Unternehmen darüber hinaus ihren Fokus legen, um gut gegen Cyberkriminalität aufgestellt zu sein?
Gerrit Knichwitz: Eine ganzheitliche Sicherheitsstrategie baut auf vier ineinandergreifende Dimensionen auf: Mensch, Technik, Notfallmanagement und Absicherung des Restrisikos.
Die menschliche Komponente wurde bereits thematisiert, hier steht die nachhaltige Sensibilisierung der Mitarbeitenden im Vordergrund. Ein gut aufgestelltes technisches und organisatorisches IT-Sicherheitskonzept spielt zusätzlich eine tragende Rolle in der Vermeidung von Cybervorfällen. Wir empfehlen Unternehmen, eine Bewertung der technischen und organisatorischen IT-Sicherheitsrisiken durchzuführen. Diese Analyse mit konkreten Handlungsempfehlungen ist der ideale Ausgangspunkt, um sein IT-Sicherheitslevel kontinuierlich zu verbessern.
Ein weiterer wichtiger Punkt ist, eine Strategie für den Notfall zu entwickeln, diese in einem Notfallplan festzuhalten und darauf zurückzugreifen, sollte es zum Ernstfall kommen. Ansprechpartner und Prozesse sollten definiert und Abläufe klar abrufbereit sein. Da es eine hundertprozentige Sicherheit vermutlich nie geben wird, ist die Absicherung des Restrisikos durch eine Cyberversicherung die letzte Dimension einer ganzheitlichen Cybersicherheitsstrategie.
Vielen Dank für das Gespräch.
Wir, als Ihre BW-Bank, verwenden Cookies, die unbedingt erforderlich sind, um Ihnen unsere Website zur Verfügung zu stellen. Wenn Sie Ihre Zustimmung erteilen, verwenden wir zusätzliche Cookies, um zum Zwecke der Statistik (z.B. Reichweitenmessung) und des Marketings (wie z.B. Anzeige personalisierter Inhalte) Informationen zu Ihrer Nutzung unserer Website zu verarbeiten. Hierzu erhalten wir teilweise von Google weitere Daten. Weiterhin ordnen wir Besucher über Cookies bestimmten Zielgruppen zu und übermitteln diese für Werbekampagnen an Google. Detaillierte Informationen zu diesen Cookies finden Sie in unserer Erklärung zum Datenschutz. Ihre Zustimmung ist freiwillig und für die Nutzung der Website nicht notwendig. Durch Klick auf „Einstellungen anpassen“, können Sie im Einzelnen bestimmen, welche zusätzlichen Cookies wir auf der Grundlage Ihrer Zustimmung verwenden dürfen. Sie können auch allen zusätzlichen Cookies gleichzeitig zustimmen, indem Sie auf “Zustimmen“ klicken. Sie können Ihre Zustimmung jederzeit über den Link „Cookie-Einstellungen anpassen“ unten auf jeder Seite widerrufen oder Ihre Cookie-Einstellungen dort ändern. Klicken Sie auf „Ablehnen“, werden keine zusätzlichen Cookies gesetzt.