Nahezu jedes dritte der insgesamt rund 3,5 Millionen kleinen und mittleren Unternehmen in Deutschland hat in den vergangenen Jahren Cyberangriffe erlebt – mit durchschnittlichen Schäden im hohen fünfstelligen Bereich. Das zeigen die Ergebnisse einer jetzt veröffentlichten Studie.
Vor allem mittelständische Firmen mit 50 bis 250 Mitarbeitern sind offenbar Ziel digitaler Angriffe: Mit 57 Prozent waren mehr als die Hälfte schon mindestens einmal betroffen. Die Zahlen gehen auf eine repräsentative Befragung von mehr als 500 Unternehmen in Deutschland zurück. Durchgeführt wurde sie im Auftrag des hannoverschen Versicherers HDI vom Forschungs- und Beratungsinstitut Sirius Campus.
Kommen die Angreifer zum Ziel, wird es teuer: Fast drei Viertel der erfolgreichen Angriffe (72 %) verursachten Schäden von im Durchschnitt 95.000 Euro. Laut Studie verzeichnen größere Mittelstandsfirmen dabei in der Spitze noch deutlich höhere Beträge von bis zu 500.000 Euro. Interessant auch: Bei freiberuflich Tätigen liegen die Schäden über dem Durchschnitt aller Unternehmen bei rund 120.000 Euro.
Dass laut Untersuchung der Mittelstand überdurchschnittlich betroffen waren, heißt jedoch nicht, dass kleinere und Kleinstunternehmen aus Schneider sind. Im Gegenteil: Auch fast ein Drittel (31 %) der Firmen mit bis zu neun Beschäftigten und 37 Prozent mit zehn bis 49 Mitarbeitern sind in den letzten Jahren bereits Opfer von Cyber-Attacken geworden. Und je besser sich größere Unternehmen gegen Cyberangriffe schützen, desto mehr geraten die kleineren in den Fokus. Dabei sind sie nicht nur selbst als Ziel im Mittelpunkt, sondern die Angreifenden nutzen sie als Einfallstor – auch Point of Entry genannt – für weitere Angriffe. Dafür dienen dann häufig IT-Schnittstellen zu anderen, auch großen Unternehmen.
Angriffe zielen zumeist auf menschliche Fehler
Obwohl technische Angriffsmethoden über erweiterte Computer- oder IoT-Netze oder über Wartungsschnittstellen von Druckern oder Kopierern immer ausgefeilter werden, setzen Cyberkriminelle nach wie vor auf menschliches Fehlverhalten. Rund 20 Prozent der Unternehmen wurden durch das Vortäuschen falscher Identitäten, durch Spam- oder Phishing-Mails attackiert. Fast genauso viele traf es durch verseuchte Anhänge in E-Mails. Unter dem Strich führen damit in erster Linie Unaufmerksamkeit, Neugier oder Arglosigkeit von Beschäftigten zu Schäden, heißt es beim Versicherer HDI.
Betrieb unterbrochen – Kundendaten gestohlen
Bei Angriffen auf ihre IT fürchten Unternehmen vor allem zwei Dinge: den Diebstahl von Kundendaten (45 %) Betriebsunterbrechungen (43 %). Erwischt hat es dabei jeweils fast ein Viertel der Unternehmen. Ebenfalls etwa 22 Prozent beklagen Image- und Reputationsschäden infolge der Cyberangriffe, bei etwa 15 Prozent gab es Schadenersatzforderungen. Den Verlust geheimer Unterlagen oder Industriespionage mussten 16 Prozent der Firmen hinnehmen.
Um die Folgen konkret zu machen: Unternehmen können aufgrund befallener IT-Systeme Kundinnen und Kunden vorübergehend nicht beliefern, Beschäftigte haben keinen Zugriff auf E-Mails oder das Firmennetzwerk. Buchführung und Kundenservice waren lahmgelegt. Bei mehr als der Hälfte der betroffenen Unternehmen war der Betrieb laut Studie für mindestens zwei Tage eingeschränkt. Rund 15 Prozent mussten sogar mit vier bis sieben Tagen Betriebsstörungen klarkommen. Wie schwierig die Beseitigung solcher Schäden sein kann, zeigt ein Beispiel aus der Studie: “Eine als legal propagierte Software stellte sich als Schadsoftware heraus und war extrem schwierig zu entfernen. Sämtliche Softwaretools zur Behebung waren unwirksam. Die Beseitigung war nur möglich im abgesicherten Modus des Betriebssystems und durch manuelles Entfernen jeder einzelnen Datei.“
Angriffe häufig nur zufällig entdeckt
Häufig werden Cyberangriffe bei kleinen und mittleren Unternehmen nur zufällig entdeckt. Dabei gilt: Je größer die Firma, desto eher fällt Schadsoftware durch systematisches Screening auf. Kleinere Unternehmen hätten hier oft erheblichen Nachholbedarf, so der HDI. Besonders schlecht für Unternehmen sei es dagegen, wenn Cyberangriffe erst durch die Schäden, die sie anrichten, bemerkt werden.
Die Einsicht kommt nachher
Nach einem Angriff steigt die Bereitschaft zu Gegenmaßnahmen. Zwei von drei Unternehmen nutzen neue Soft- und Hardware setzen auf zusätzliche Präventionsmaßnahmen. Konsequenzen hat eine Cyberangriff nach den Ergebnissen der Umfrage oft auch für die IT-Dienstleistungsfirmen: In gut 20 Prozent aller Fälle bedeutete eine Computerattacke auch das Ende der Zusammenarbeit mit dem betroffenen Unternehmen. Und für den Versicherer HDI wichtig: Nur bei einem Viertel der Fälle war der Schaden umfassend durch eine entsprechende Police abgesichert. Dagegen vergüten 30 Prozent keinen einschlägigen Schutz. Allerdings schloss über ein Viertel der betroffenen Unternehmen nach einem Anschlag auf die IT-Systeme eine Cyber-Versicherung ab.
