Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

Rosalyn Page
von
Contributing writer

6 Wege, gehackt zu werden: Wie sich KMUs angreifbar machen

Analyse
18 Apr 20248 Minuten
Industrie

Kleine und mittlere Unternehmen rücken zunehmend in den Fokus von Cyberkriminellen. Und das nicht ohne Grund.

Lesen Sie, mit welchen riskanten Marotten KMUs (nicht nur) sich selbst gefährden.

Lesen Sie, mit welchen riskanten Marotten KMUs (nicht nur) sich selbst gefährden.

Foto: rudall30 | shutterstock.com

Viele kleine und mittlere Unternehmen (KMUs) haben ihren digitalen Footprint vergrößert. Sie setzen auf Remote und Hybrid Work, nutzen zunehmend vernetzte Devices und stehen oft auch neuen Tools und Technologien offen gegenüber. Das hat jedoch auch ihre Attraktivität für kriminelle Hacker gesteigert.

Zumindest legt das eine aktuelle Online-Umfrage (PDF) des IT-Lösungsanbieters Devolutions nahe, für den weltweit 217 IT-Entscheider und -Führungskräfte aus kleinen und mittleren Unternehmen Input lieferten. Demnach berichten 69 Prozent der befragten Unternehmen, sie hätten im Jahr 2023 mindestens eine Cyberattacke erlebt – ein Anstieg um neun Prozent gegenüber dem Vorjahr. Im gleichen Atemzug begegnen jedoch auch nur weniger als zwei Drittel der Unternehmen den steigenden Cyberrisiken mit geeigneten Maßnahmen. Kommt es dann zu einem IT-Sicherheitsvorfall, verfügen KMUs im Gegensatz zu Großunternehmen in den allermeisten Fällen nicht über die organisatorischen und finanziellen Ressourcen, um den Impact ausreichend abzufedern. Das kann unter Umständen auch direkt in den Konkurs führen.

Im Gespräch mit Cybersicherheitsexperten haben wir sechs gängige Fehler identifiziert, mit denen sich kleine und mittlere Unternehmen regelmäßig selbst gefährden und ihr Attraktivitätslevel für Cyberkriminelle steigern.

1. Sich für zu klein halten

Davon auszugehen, dass Cyberkriminelle nur nach den großen Fischen gieren, greift zu kurz. Schließlich ist die überschaubare Größe einiger Unternehmen genau der Grund, warum sie angegriffen werden. Sadiq Iqbal, Berater für Cybersicherheit bei Check Point erklärt: “Statistiken zeigen, dass kleine und mittlere Unternehmen vor allem deshalb angegriffen werden, weil sie als leichtere Ziele angesehen werden, die nicht über dieselbe Security Posture wie größere Unternehmen verfügen.”

In Organisationen, in denen sich der eingangs beschrieben Irrglaube trotzdem breitmacht, steigt die Wahrscheinlichkeit für Security-Worst-Practices und damit die Gefahr, angegriffen zu werden.

2. Ransomware-Bedrohung unterschätzen

Auch in der Wahrnehmung von Grayson Milbourne, Security Intelligence Director bei OpenText Cybersecurity, unterschätzen viele KMUs die Bedrohungen – insbesondere, wenn es um Ransomware geht. Um das auch mit Zahlen zu untermauern, verweist der Experte auf eine KMU-Umfrage seines Arbeitgebers: Diese kommt zum Ergebnis, dass 67 Prozent der befragten Firmen sich nicht für ein Ransomware-Ziel halten – oder sich diesbezüglich unsicher sind.

“Ransomware ist ein kostengünstiges, relativ einfaches Angriffswerkzeug, das leicht gegen kleine und mittlere Unternehmen eingesetzt werden kann. Speziell in Zeiten von Ransomware-as-a-Service-Angeboten, die nur noch wenig technisches Knowhow erfordern, um eingesetzt zu werden”, erklärt Milbourne und fügt appellierend hinzu: “KMUs müssen ihr Mindset bezüglich möglicher Ransomware-Angriffe dringend ändern und Richtlinien sowie Technologien einführen, um ihr Schutzniveau zu optimieren.”

Kommt es zu einem Angriff mit Erpressungstrojanern, sind die Folgen meist weitreichend, wie zum Beispiel der “Cyber Readiness Report 2023” (PDF) von Hiscox unterstreicht:

  • Lediglich die Hälfte der befragten Unternehmen, die angegriffen wurden und ein Lösegeld bezahlt haben, haben am Ende ihre Daten wiedererlangt. Die andere Hälfte musste ihre Systemlandschaft neu aufbauen.

  • Ganze 27 Prozent der angegriffenen Firmen wurden nach einem Erstangriff erneut attackiert – in 27 Prozent der Fälle wurde dabei ein höheres Lösegeld verlangt.

“Ransomware kostet kleine Unternehmen riesige Summen. Und es ist ganz sicher nicht empfehlenswert, sich auf eine Lösegeldzahlung einzulassen”, konstatiert Christopher Hojnowski, VP und Product Head of Technology and Cyber bei Hiscox.

3. IT-Sicherheit als Technologieproblem sehen

Carlota Sage adressiert mit dem von ihr gegründeten Beratung Pocket CISO gezielt kleine(re) Unternehmen. Sie bringt auf den Punkt, warum sich das Thema IT-Sicherheit nicht alleine mit Technologie bewältigen lässt: “Technologie erleichtert es, Angriffe zu verhindern oder deren Folgen zu beseitigen. Das setzt allerdings einen sachkundigen Menschen voraus, der richtig mit ihr umgehen kann.”

In Kombination mit den im KMU-Umfeld oft besonders knappen (IT-)Budgets und dem vielerorts fehlenden Cybersicherheits-Personal ergeben sich nicht unerhebliche Herausforderungen für die Firmen, wie Iqbal herausstellt. Der Check-Point-Manager empfiehlt KMUs deshalb, sich in erster Linie an staatlichen Ressourcen zu orientieren, wenn es darum Richtlinien und Best Practices zu identifizieren, die ein grundlegendes Schutzniveau realisieren. Um diesem Rat nachzukommen, können Unternehmen in Deutschland auf die “Informationen und Hilfestellungen für KMU” des Bundesamts für Sicherheit in der Informationstechnik zurückgreifen.

Beraterin Sage ergänzt: “Viele Unternehmen nutzen Google Workspace oder Microsoft 365 – die jeweiligen Wissensdatenbanken zu diesen Produkten halten auch eine Fülle von Security-Informationen bereit.”

4. Cyberhygiene missachten

Man sollte meinen, gute Cyberhygiene gehört längst zum A und O jedes Unternehmens. Leider ist das Gegenteil der Fall – etwa mit Blick auf Passwörter. Iqbal – der bei Check Point diverse Kunden aus dem KMU-Umfeld betreut – gibt Insights in die Unternehmenspraxis: “Default-Passwörter, Einheitskennwörter für Security-Server, keine separaten Admin-Logins – alles schon gesehen. Dabei sind Admin-Konten für Angreifer besonders lukrative Ziele: Wird ein solches kompromittiert, stehen Bedrohungsakteuren Tür und Tor offen.”

Ein weiterer Punkt, der in kleinen und mittleren Unternehmen oft unter den Tisch fällt, sind Testing-Prozesse für Backups. Kommt es bei einem Angriff zum Ausfall der Datensicherung, kann das katastrophale Konsequenzen nach sich ziehen. “Sie wollen in der Lage sein, ihre Systeme nach einem Angriff wiederherzustellen und den angerichteten Schaden zu begrenzen. Dazu ist ein zuverlässiges Backup erforderlich. Allerdings muss es auch regelmäßig überprüft werden, um im Ernstfall Datenverluste oder technische Probleme zu vermeiden”, hält Iqbal fest.

Eine Cyberversicherungspolice abzuschließen, kann in diesem Zusammenhang ebenfalls eine Option für KMUs sein. Schließlich riskieren sie ohne, nicht nur für die Kosten aufkommen zu müssen, die dem Unternehmen selbst entstanden sind, wie Hiscox-Experte Hojnowski erläutert: “Kleine Unternehmen, die nicht über ausreichenden Cyberversicherungsschutz verfügen, können unter Umständen für die Folgen eines Angriffs finanziell haftbar gemacht werden.”

5. Cybersecurity keine Priorität einräumen

Wenn kleine und mittlere Unternehmen neue Technologien nutzen, berücksichtigen sie die Risiken nicht in gleichem Maße wie Großunternehmen, obwohl sie mit einer Vielzahl derselben Risiken konfrontiert sind. Davon berichtet zumindest Raj Samani, Chief Scientist beim Cybersicherheitsanbieter Rapid7. Er spezifiziert: “Enterprises neigen eher dazu, alles durch die Risk-Management-Brille zu betrachten. Kleinere Unternehmen stellen hingegen oft die Effizienz über die Security. So kann es zum Beispiel dazu kommen, dass sich KMUs über zugekaufte Remote-Access-Protokolle angreifbar machen, weil ihnen nicht bewusst ist, dass diese für Ransomware-Banden einen gängigen Einfallsvektor darstellen.”

Um die richtigen Prioritäten zu setzen, rät Hojnowski kleinen und mittleren Unternehmen, zunächst die aktuelle Cybersicherheitslage zu analysieren – möglichst, ohne dabei potenzielle Schwachstellen zu übersehen: “Prüfen Sie, ob das Budget ausreicht und welche besonderen Anforderungen Ihr Unternehmen hat. Arbeiten Sie in, mit oder für eine Branche, die als besonders risikoreiches Ziel gilt? Was brauchen Sie konkret, wenn es zum Angriff kommt?”, meint Hojnowski. Sobald dieser Ausgangspunkt festgelegt sei, sollte laut dem Experten ein systematischer Ansatz zur Anwendung kommen, um die Schutzmaßnahmen des Unternehmens zu optimieren und Best Practices zu adaptieren. Das könnte etwa beinhalten:

  • sämtliche Systeme und Softwarelösungen automatisiert zu aktualisieren und ordnungsgemäß zu patchen.

  • Mitarbeiter (nicht nur) darin zu schulen, sichere Passwörter zu erstellen und Social-Engineering-Taktiken zu erkennen.

  • ein umfassendes Sicherheits-Toolset zum Einsatz zu bringen – das unter anderem Firewalls sowie EDR-Tools enthalten sollte.

  • Daten sowohl in der Cloud als auch On Premises zu schützen, eine angemessene Verschlüsselung sicherzustellen und Backups zu überprüfen.

  • Policies und Prozesse aufzusetzen, um sich gegen Angriffe abzusichern.

6. Budget und Risikoprofil auseinanderdriften lassen

KMUs benötigen ein Budget, das ihrem Risikoprofil entspricht – also ihre jeweiligen Bedürfnisse, wichtige Geschäftsinformationen sowie eventuell vorhandene, sensible Daten berücksichtigt. Oder wie Hojnowski es ausdrückt: “Jedes Unternehmen sollte für sich selbst abwägen, wie viel es bereit ist zu investieren, um mögliche Betriebsunterbrechungen zu verhindern.”

Auch Beraterin Sage ist der Überzeugung, dass Sparen im Bereich IT-Sicherheit der falsche Ansatz ist: “Ein Unternehmen weiß genau, wie viel Tools und Lizenzen pro Mitarbeiter kosten und wie viel es in Vertrieb und Marketing steckt. Um die Arbeit der Mitarbeiter sowie die Kunden, Interessenten und Produkte zu schützen, sollten Sie ebenfalls einen angemessenen Betrag investieren. Dieser ist mit Bezug auf den jeweiligen Markt und seine Komplexität zu errechnen.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Rosalyn Page
von
Contributing writer

Rosalyn Page has been writing about technology long enough to remember when the only thing to worry about was Y2K. Since then, the dot-com boom became the dot-com bubble, technology fundamentally altered our lives, and everything has become about security. With a particular interest in privacy, data, and security, Rosalyn has covered social media, AI, IoT, deepfakes, marketing tech, the cloud, enterprise tech, consumer tech, and digital transformation. Her side gig is an arts and culture blog, ‘Some Notes from a Broad’. And when not wrangling bits and bytes into words, Rosalyn enjoys low-fi hobbies like reading books, walking her Whippet Sketch, and having one too many coffees at her favourite café.

Mehr von diesem Autor

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild