Die Angriffe auf die Lieferketten haben es spätestens gezeigt: Datenlecks spielen für und in kleinen und mittleren Unternehmen (KMU) eine mindestens ebenso große Rolle wie in größeren Unternehmen. Gehen sensible Daten verloren, sei es durch einen Cyber-Angriff von außen oder durch die versehentliche Weitergabe von Daten an Unbefugte von innen, lassen Probleme nicht lange auf sich warten.

An erster Stelle steht bei Datenlecks der Imageverlust. Darüber hinaus drohen empfindliche Strafen, insbesondere wenn die Daten nicht ausreichend geschützt wurden. So haben die Datenschutzbehörden in Europa seit Beginn der Anwendung der DSGVO im Mai 2018 Bußgelder in Höhe von insgesamt 4 Milliarden Euro verhängt. Dazu kommen diverse Vertragsstrafen und andere negative Auswirkungen.

Es gilt also die gefährdeten Daten so gut wie möglich zu schützen und im Falle eines Datenlecks sofort richtig zu reagieren. Wer hier Fehler macht, verschlimmert die Probleme unter Umständen noch. Reagieren die Verantwortlichen hingegen richtig, sind die zu erwartenden Konsequenzen zumindest überschaubar.

Datenlecks so weit wie möglich vermeiden

Es gibt viele Gründe, warum jedes Unternehmen und unabhängig von seiner Größe Datenpannen verhindern sollte. Neben den offensichtlichen Folgen gibt es weitere mehr, die oft nicht weniger schwerwiegend sind:

  • Kunden verlieren möglicherweise das Vertrauen in ein Unternehmen und wandern zur Konkurrenz ab.
  • Geschäftsgeheimnisse und geistiges Eigentum gelangen in die Hände von unberechtigten Personen.
  • Das Ansehen des Unternehmens nimmt durch negative Berichterstattung in den Medien Schaden.
  • Die Untersuchung und Behebung des Datenlecks führen nicht selten dazu, dass Firmen ihre Geschäftstätigkeit einschränken oder zeitweise ganz einstellen müssen.
  • Es kann zu Klagen seitens betroffener Kunden oder Partner kommen.
  • Geschäftsbeziehungen finden aufgrund des Vertrauensverlustes unter Umständen ein schnelles Ende.
  • Firmen müssen Investitionen in bessere IT-Sicherheitssysteme tätigen, um zukünftige Lecks zu verhindern.
  • Die Zufriedenheit und Loyalität der Mitarbeiter leidet.
  • Kritische Informationen und Daten sind möglicherweise unwiederbringlich verloren oder geraten in falsche Hände.
  • Bewerber zögern, sich bei einem Unternehmen vorzustellen, das als unsicher gilt.

KMU sind von Cyber-Risiken ebenso betroffen wie Großunternehmen. Laut dem Global Risk Report 2023 des Weltwirtschaftsforums gehören Cyber-Kriminalität und Cyber-Sicherheit zu den zehn größten kurz- und langfristigen globalen Risiken.

Gefahr erfolgreicher Cyber-Angriffe auf KMU wächst

Da der Grad der Digitalisierung auch bei kleineren Unternehmen zunimmt, sollten sie zwingend über einen besseren Schutz vor Cyber-Angriffen nachdenken. Die jüngsten Verizon Data Breach Investigations 2023 zeigen, dass KMU heute die gleichen Cloud-Dienste und As-a-Service-Modelle nutzen wie große Unternehmen. Die Angriffsfläche kleiner bis mittelgroßer Firmen ist also nicht unbedingt weniger ausgedehnt, und in aller Regel fehlt eine gut ausgestattete Cyber-Sicherheitsabteilung.

Wenn die Angriffsfläche wächst, ohne dass die Verantwortlichen entsprechende Abwehrmaßnahmen ergreifen, sind erfolgreiche Cyber-Angriffe vorprogrammiert. Laut einer Studie der Cyber Rescue Alliance aus dem Jahr 2022 sind fast alle Unternehmen weltweit Ziel von Phishing-Angriffen geworden. Insgesamt drei Viertel wurden mit Ransomware angegriffen.

Dabei machen die Cyber-Kriminellen keinen Unterschied zwischen großen und kleinen Unternehmen. Die Gefahr für kleine Unternehmen steigt vor allem dann, wenn sie Teil einer Lieferkette sind, deren Produkte für Kriminelle interessant sind.

Die Folgen sind oft existenzbedrohend

Laut einer Hiscox-Studie aus dem Jahr 2021 belaufen sich die durchschnittlichen finanziellen Kosten eines Cyber-Angriffs für ein kleines Unternehmen in den USA auf 25.612 Dollar – genug, um die Geschäftskontinuität zu gefährden. Dazu kommt kostspielige Wiederherstellungsmaßnahmen, die den Betrieb oft monatelang beeinträchtigen.

Viele Unternehmen überleben das Ganze nicht, wie verschiedene Studien zeigen. Die „Aufräumarbeiten“ nach einem erfolgreichen Cyber-Angriff werden auch für die Belegschaft zur Herausforderung, wenn Mitarbeiter das beim Kunden verloren gegangene Vertrauen wieder aufbauen müssen, Daten unwiederbringlich verloren sind und gleichzeitig die Arbeitsbelastung steigt.

Wie entstehen Datenlecks?

Drei Viertel aller Datenlecks gehen auf menschliches Versagen zurück oder sogar ein kriminelles Verhalten von Mitarbeitern, die Daten an Unbefugte weitergegeben haben. Falsche Konfigurationen, fehlende Sicherheitseinstellungen und schwache Passwörter sind ebenfalls oft Grund für erfolgreiche Cyber-Angriffe.

Die drei häufigsten Angriffsmethoden von Cyber-Kriminellen sind gestohlene Zugangsdaten, Phishing-Angriffe und Sicherheitslücken in Anwendungen und Betriebssystemen. Dabei macht Ransomware mittlerweile 25 Prozent aller Datenlecks aus. Ransomware-Angriffe sind in sehr vielen, wenn nicht den meisten Fällen die Folge erfolgreicher Phishing-Attacken in Verbindung mit Software-Schwachstellen in Unternehmen.

Vor allem E-Mail-Systeme sind nicht selten das Einfallstor, oft in Verbindung mit kompromittierten Office-Dokumenten. Den Makroschutz in Office-Programmen zu aktivieren, hilft hier schon lange nicht mehr: moderne Malware/Ransomware arbeitet mittlerweile ohne Makros.

Gestohlene Login-Daten

Mit gestohlenen Anmeldeinformationen lassen sich zudem Daten aus Webanwendungen stehlen. Dies ist bei fast 90 Prozent aller Angriffe dieser Art der Fall. Mittels Social Engineering versuchen Cyber-Kriminelle beispielsweise, das Verhalten von Mitarbeitenden zu manipulieren, um an Anmeldeinformationen zu gelangen. Dabei kommen zuvor gesammelte Informationen über das Unternehmen und die Mitarbeiter zum Einsatz, um glaubhaft zu erscheinen.

Häufig geben sich die Angreifer als vertrauenswürdige Person aus, die per E-Mail, Deep Fake Call oder Videokonferenz versucht, Informationen abzugreifen. Dabei erzeugen die Kriminellen oft ein Gefühl der Dringlichkeit, das eine schnelle Reaktion erfordert.

Phishing und Business E-Mail Compromise-Angriffe (BEC) gehören in diese Kategorie, wobei BEC und Phishing mittlerweile die Hälfte aller Social Engineering-Angriffe ausmachen. BEC wird vermutlich „dank“ der Fähigkeiten generativer KI eher zu- als abnehmen. In diesen Fällen geben die Nutzer unbeabsichtigt Daten preis, gefährden damit aber das gesamte Unternehmen. Dazu kommt, dass Fehler aus Angst vor arbeitsrechtlichen Konsequenzen oft nicht offengelegt werden.

Missbrauch von Privilegien – aber auch eigene Privilegien innerhalb der Firma zu missbrauchen ist eine gängige Methode. Solche internen Angriffe sind vor allem dann möglich, wenn die Nutzung von Zugriffsberechtigungen nicht überwacht wird und Mitarbeiter mehr Rechte innehaben, als sie für ihre Arbeit tatsächlich benötigen. Unerlaubte Datenzugriffe dieser Art sind meist finanziell motiviert.

Leitfäden bieten Unterstützung

Viele Behörden stellen Leitfäden zur Verfügung. Wenn KMU die Informationen beherzigen, senken sie das Risiko erfolgreich verlaufender Cyber-Angriffe erheblich. Häufig ist die Einhaltung der empfohlenen Schutzmaßnahmen auch Voraussetzung für die Teilnahme an öffentlichen Ausschreibungen.

Das britische National Cyber Security Centre (NCSC) stellt dazu die UK Cyber Essentials zur Verfügung, nach denen sich Unternehmen auch zertifizieren lassen können. Die in den USA ansässige Cyber-Security and Infrastructure Security Agency (CISA) hat einen Leitfaden veröffentlicht, der einen anderen Ansatz verfolgt, indem er die Aufgaben nach Rollen aufschlüsselt.

Die Europäische Agentur für Cyber-Sicherheit (ENISA) hat wiederum eine Analyse der Kapazitäten von kleinen und mittleren Unternehmen in Europa durchgeführt. Der Bericht enthält Empfehlungen und Vorschläge für Maßnahmen, die die EU-Mitgliedstaaten ergreifen können, um KMU bei der Verbesserung ihrer Cyber-Sicherheit zu unterstützen. Darüber hinaus gibt es einen kurzen Leitfaden mit 12 praktischen Schritten für KMU zur Verbesserung der Sicherheit ihrer Systeme und des Geschäftsbetriebs.

So können sich KMU vor Datenlecks schützen: E-Mail-System abdichten

Anwendungen sollten für KMU einfach zu bedienen und schnell einsetzbar sein. In kleinen Unternehmen fehlt es oft an Personal und Fachwissen für hochprofessionelle Cyber-Sicherheit. Hinzu kommen begrenzte Budgets und die Abhängigkeit von standardisierter Hard- und Software. Hier ist ein mehrstufiger Ansatz sinnvoll.

Durch modulare Anwendungen können flexible Sicherheitsmaßnahmen für unterschiedliche Anspruchsprofile umgesetzt werden. Besonderes Augenmerk sollte man auf das E-Mail-System legen, nachweislich eines der wichtigsten Einfallstore für Cyber-Angriffe. Der Grundschutz der Anwendungen wie zum Beispiel von Microsoft, reicht oft nicht aus, um das System vollständig zu schützen. Folgende Faktoren spielen eine zentrale Rolle:

  • Anti-Spam-, Anti-Phishing- und Malware-Scans, um das Potenzial ungezielter Massenangriffe zu senken.
  • Erweiterter Link-/URL-Schutz in Form von Link-Isolation (Rewriting) plus Deep-Content-Analyse während der Klickzeit mittels Safe Cloud Sandboxing.
  • Erweitertes Attachment Sandboxing, um eingehende Nachrichten auf infizierte Anhänge in einer isolierten Umgebung zu analysieren, ohne die Betriebsumgebung zu gefährden.
  • E-Mail-Verschlüsselung, um die Integrität der E-Mail-Kommunikation mit Kunden zu gewährleisten.
  • Prüfung ausgehender Nachrichten, um sicherzustellen, dass nur legitime Informationen das Unternehmen verlassen und die beabsichtigten Empfänger erreichen.

Mit diesen Maßnahmen erzielen Firmen bereits einen soliden Grundschutz, der die häufigsten Risiken zumindest senkt. Dazu kommen Schulungsmaßnahmen, die der veränderten Angriffslage Rechnung tragen. Jeder sollte wissen, was Phishing heute ausmacht, wie die Angriffe ablaufen und wie man am besten reagiert. Ein erhöhtes Sicherheitsbewusstsein, insbesondere in Bezug auf Phishing und Social Engineering, ist gerade angesichts dessen, wie Cyber-Kriminelle beispielsweise ChatGPT einsetzen, ein wichtiger Sicherheitsfaktor.

Eine weitere Sicherheitsebene zieht die Endpoint Detection and Response (EDR) ein. Wenn ein Cyber-Krimineller in das Netzwerk eindringt, erkennen solche Systeme die Bedrohung und tragen dazu bei, sie direkt an der Quelle zu bekämpfen. Idealerweise ist ein solches System mit einer robusten Malware-Erkennung ausgestattet, einschließlich KI/ML-basierter Technologien, die Angriffe ihrerseits intelligent erkennen.

Jörn Koch, VIPRE Security Group

VIPRE Security Group