IT-Sicherheit in Unternehmen unterschätzt: durchschnittlich 46.000 EUR Schaden

Das unsichtbare Risiko aus dem Netz und ihre Gefahren

IT Sicherheit im Unternehmen

Cyberkriminalität und IT-Sicherheit in Unternehmen wird immer noch häufig unterschätzt. Das gilt ganz besonders für KMUs. Auch bei relativ kleinen Unternehmen beläuft sich der durchschnittliche Schaden durch Cyberkriminalität  auf 46.000 EUR. Im schlimmsten Fall führt eine Attacke auf die IT Systeme direkt in die Insolvenz. Wie es um Cyberkriminalität gegen deutsche Unternehmen steht, welche Folgen ein IT-Sicherheitsleck haben kann und wie Unternehmen sich richtig wappnen, erklärt dieser Beitrag.

In IT-Sicherheit wird in Unternehmen nicht ausreichend investiert

Cyberkriminalität wird immer noch unterschätzt. Wie die Zeitung „Der Mittelstand“ in der August/September Ausgabe 2019 berichtete, werden jährlich mehr als 80.000 Fälle von Angriffen auf Unternehmen registriert. Das Bundesamt für Verfassungsschutz zählt demnach alle 3 Minuten einen Cyberangriff auf ein deutsches Unternehmen. Der jährliche Schaden: Gewaltige 55 Milliarden EUR. Diese Schadenssumme ist dabei nach Einschätzung des Bundeskriminalamts nur das Hellfeld. Da viele Unternehmen IT-Sicherheitslecks, gehackte Server und Datendiebstähle geheim halten, dürfte die Dunkelziffer noch weitaus höher liegen.

Die Unternehmen reagieren auf die Bedrohung durch Cyberkriminalität paradox. Einerseits geben 72 % der Manager im Mittelstand an, das Risiko durch Cyberkriminalität für hoch zu halten. Andererseits investieren zu viele Unternehmen nicht ausreichend in Maßnahmen für die IT-Sicherheit. Viele Betriebe glauben, selbst gar nicht gefährdet bzw. interessant genug für Kriminelle zu sein. Dies ist ein Trugschluss: Der durchschnittliche Schaden durch Cyberkriminalität bei Unternehmen mit weniger als 500 Mitarbeitern belief sich im Jahr 2018 auf 46.000 EUR. Investitionen in die IT-Sicherheit im Unternehmen kann sich deshalb schnell auszahlen.

Vielleicht ist vielen Unternehmen nicht klar, worin das konkrete Risiko für die IT-Sicherheit im Unternehmen besteht. Die Folgen von Ausfällen der IT können sehr viel gravierender sein als es sich in den ersten Stunden absehen lässt. Drohende Konsequenzen betreffen die Produktion und die Lieferkette bei Zulieferern. Einige Unternehmen leisten sogar hohe Lösegeldzahlungen an Kriminelle, um auf ihre Daten wieder zugreifen zu können. Im schlimmsten Fall führt ein erfolgreicher Angriff auf die IT-Sicherheit im Unternehmen zur Insolvenz.

6 fatale Folgen unzureichender IT-Sicherheit im Unternehmen

Ein Schaden an der IT tritt häufig urplötzlich auf. Dann starten Server oder Desktops nicht. Es kommt zu einem Virenbefall oder zu unerwartetem Datenverlust. Ganz plötzlich funktioniert der Workflow im Unternehmen nicht mehr. Es können keine Bestellungen mehr angenommen, keine Zahlungen mehr getätigt, keine Rechnungen mehr geschickt und keine Vorprodukte mehr bestellt werden. Oft ist auch die Produktion selbst betroffen. Plötzlich funktionieren Maschinen und Roboter nicht mehr wie gewünscht, weil die nachgelagerte IT ihren Dienst versagt.

1. Stillstand bei der Produktion

Ein kompletter Stillstand bei der Produktion ist das greifbarste Risiko für die IT Sicherheit in Unternehmen. Fabriken sind immer wieder Gegenstand von Cyberangriffen. Fällt die Produktion aus, sind die Folgekosten enorm. Für produktionsnahe IT sollten deshalb besonders hohe Standards in der IT Sicherheit gelten. Längere Ausfälle können hier verheerende Konsequenzen nach sich ziehen.

Produktionsnahe IT ist häufig an den Schnittstellen zur restlichen IT des Unternehmens bedroht. Viele Maschinen wie zum Beispiel Fertigungsroboter tauschen unzählige Informationen mit anderen Maschinen und Servern aus. Dazu müssen Maschinen jedoch mit der restlichen Unternehmens IT verbunden sein. Häufig betreffen diese Schnittstellen zwei verschiedene Systeme, die in Kombination besonders anfällig sind.

2. Lücken in der Wertschöpfungs- und Lieferkette

Ein vollständiger Produktionsstopp erfordert keinen vollständigen Ausfall sämtlicher Produktionsmaschinen. Schon wenn ein Glied in der Wertschöpfungskette nicht mehr funktioniert, kann die Produktion gefährdet sein. Das Funktionieren der Wertschöpfungs- und Lieferkette ist dabei wichtiger denn je, da Unternehmen Vorprodukte von internationalen Partnern erhalten und von einer Vielzahl von Lieferanten abhängig sein können.

Wer mit diversen Lieferanten und Partnern kooperiert, liefert die IT-Sicherheit im eigenen Unternehmen ein Stück weit auch diesen Partnern aus. Experten sprechen in diesem Zusammenhang gerne von sogenannten Backdoors. Dies sind Funktionen von Geräten, die mit der eigentlichen Funktion des Geräts nichts zu tun haben. So könnte zum Beispiel ein Bildschirm, der eigentlich zur Überwachung einer Produktionshalle benötigt wird, zusätzlich Daten via Bluetooth sammeln. Hacker können solche Geräte als Einfallstor benutzen und leicht an die gesammelten Daten gelangen.

Unternehmen müssen somit sicherstellen, dass die gesamte eigene Zulieferkette einwandfrei funktioniert und keine solchen Einfallstore geöffnet lässt. Eingekaufte bzw. geleaste Hard- und Software muss die eigenen Anforderungen erfüllen. Dies ist nur durch umfassende Vereinbarungen mit den Zulieferern möglich. Diese Vereinbarungen sollten möglichst die gesamte Wertschöpfungskette entlang gelten.

Unternehmen sollten die IT-Sicherheit ihrer Zulieferer schon vor dem Vertragsabschluss unter die Lupe nehmen. Es bringt wenig, für die Verantwortung für Sicherheitslücken hohe Konventionalstrafen zu vereinbaren. Diese kann ein selbst in Schieflage befindliche Zulieferer womöglich ohnehin nicht bezahlen. Besser ist es deshalb, sich zum Beispiel auf einen IT Servicepartner zu einigen und die IT Landschaft so weit wie möglich zu diesem auszulagern.

3. Hohe Liquiditätsabflüsse: Trouble Shooting, neue IT oder gar Lösegeld

Ist es bereits zu einem erfolgreichen Cyberangriff gekommen, ist die Not bei vielen KMUs groß. Dann müssen viele Aufgaben gelöst werden. Im ersten Schritt gilt es, die IT wieder in Gang zu setzen und Produktionsausfälle soweit wie möglich zu vermeiden bzw. den Stillstand bei der Produktion zu beenden.

Direkt nachdem die Leistungsfähigkeit der IT wiederhergestellt wurde, sollte vorausschauend auf den nächsten Cyberangriff reagiert werden. Dieser kommt bestimmt. Unternehmen sollten ggf. externe Beratung ins Unternehmen holen und systematisch nach Sicherheitslücken suchen. Es gilt, alle bestehenden Sicherheitslücken so weit wie möglich zu schließen und zudem einen Notfallplan für künftige IT Probleme aufzustellen.

Sollten Unternehmen Lösegeld an kriminelle Erpresser bezahlen? Viele würden diese Frage wohl verneinen. Tatsächlich kommt so etwas häufiger vor. So hat der Hamburger Luxusjuwelier Wempe mehr als 1 Million EUR Lösegeld an Cybererpresser bezahlt. Der Juwelier bezahlte das Lösegeld in der Kryptowährung Bitcoin.

Der Juwelier berichtete von einer Blockade des Computersystems durch eine spezielle Software. Durch diese Erpressungssoftware (Ransomware) hatten die Erpresser die Daten des Juweliers verschlüsselt. Der Betrieb könnte so nicht weitergehen. Die Erpresser boten an, ein Passwort zur Verfügung zu stellen, mit denen der Zugriff auf die eigenen Server wieder möglich sein sollte. Dafür wollten sie das Lösegeld erhalten. Der Juwelier willigte ein und konnte kurz darauf wieder auf seine Daten zugreifen.

4. Fehlende IT-Sicherheit im Unternehmen: Produktionsausfall und Stornierung von Aufträgen

Hält ein Produktionsausfall länger an, kann dies zur Stornierung von Aufträgen durch Kunden führen. Dann brechen auch die Einnahmen weg. Ein kurzer Ausfall lässt sich durch eine Verringerung der Lagerbestände, schnellere Auslieferungen und andere Maßnahmen noch abfedern. Bei längeren Ausfällen drohen neben Auftragsstornierungen auch Konventionalstrafen. Schließlich können bei Abnehmern durch die ausbleibende Lieferung hohe wirtschaftliche Schäden entstehen. Solche Schäden können unter Umständen Gegenstand einer betrieblichen Versicherung sein. Voraussetzung für diese sind jedoch konsequente Maßnahmen für IT Sicherheit im Unternehmen.

5. Liquiditätsengpass endet schlimmstenfalls in der Insolvenz

Stornierungen, Strafzahlungen, ausbleibende Zahlungseingänge: Ein anhaltender Produktionsausfall führt rasch zu einem Liquiditätsengpass. Ist eine schnelle Abhilfe nicht absehbar, werden Banken bei der kurzfristigen Kreditvergabe sehr zurückhaltend agieren. Im schlimmsten Fall gerät ein durch Cyberkriminalität bedrohtes Unternehmen in den Verzug. Dann verschlechtert sich das Rating, wodurch eine weitere Kreditaufnahme zusätzlich erschwert wird. Schlimmstenfalls endet eine Attacke auf die betriebliche IT in der Insolvenz.

6. Vertrauens- und Imageverlust

In jedem Fall resultiert aus einem bekannt gewordenen Sicherheitsproblemen ein Vertrauensverlust. Dieser betrifft Kunden, Zulieferer, Mitarbeiter und Investoren gleichermaßen. Aus diesem Grund versuchen viele Unternehmen, IT Angriffe geheim zu halten. Auch darin besteht jedoch ein Risiko. Gelingt die Geheimhaltung nicht vollständig, gelangt ein verheerender Cyberangriff womöglich mit einiger Verzögerung ans Tageslicht. Dann ist der Vertrauensverlust umso größer.

Sind die Manager zu sorglos bezüglich der IT-Sicherheit in Unternehmen?

Ein häufiger Vorwurf gegenüber Managern lautet, dass sie zu sorglos seien und noch nicht genug in die IT-Sicherheit im Unternehmen investierten. Tatsächlich halten sich unter Unternehmenslenkern diverse Verharmlosungen und Missverständnisse.

„Mein Unternehmen ist doch für die gar nicht interessant“

Eine weit verbreitete, aber fatale Fehleinschätzung geht davon aus, dass das eigene Unternehmen für Kriminelle gar nicht interessant sei. Was können Kriminelle mit den eigenen Daten schon anfangen? Die Konkurrenz, so mag mancher sich selbst gegenüber argumentieren, würde für solche Daten nicht viel zahlen und könnte dieselben Erkenntnisse mit eigener Marktforschung erwerben. Und zuschulden kommen lassen hat sich das Unternehmen doch auch nichts – was also kann ein Zugriff auf die Daten auf dem Server schon anrichten?

Das Beispiel des Hamburger Juweliers zeigt, dass Kriminelle kein eigenständiges Interesse an den Daten eines Unternehmens aufweisen müssen. Kriminelle, die Personen entführen, interessieren sich nicht für die entführte Person. Vielmehr geht es ihnen darum, mit der Gewalt über diese Person andere zur Zahlung von Geld zu bewegen. Genauso handeln Cybererpresser. Diese verschaffen sich Zugriff auf Daten und blockieren diese dann. Das Unternehmen kann nach einem solchen Angriff nicht auf die eigenen Daten zugreifen.

Cyberkriminalität verursacht bei KMUs durchschnittlich 46.000 EUR Schaden

Möglicherweise glauben einige Manager auch, dass die Maßnahmen für mehr IT-Sicherheit unangemessen teuer seien. Tatsächlich kosten umfangreiche Sicherheitsmaßnahmen schnell einen fünfstelligen Betrag. Doch jeder Cyberangriff kann um Größenordnungen teurer werden. Der durchschnittliche Schaden bei Cyberangriffen auf Unternehmen mit weniger als 500 Mitarbeitern beläuft sich auf rund 46.000 EUR (der Mittelstand August/September 2019). Mit etwas Pech kann der Schaden auch zehnmal so hoch oder noch viel größer ausfallen.

Wie schützen Sie Ihr Unternehmen vor Cybercrime? Diese Maßnahmen helfen

Die beste Maßnahme gegen Cyberangriffen ist ein vorsorglicher Schutz, der regelmäßig aktualisiert wird. Unternehmen sollten versuchen, potentielle Sicherheitslecks zu erkennen und zu schließen. Da gibt es eine Reihe von Ursachen, die sich immer wieder als Ausgangspunkt für Hackerangriffe identifizieren lassen.

Die Ursachen für Sicherheitslecks erkennen und abstellen

Die Fälle von Spectre und Meltdown waren spektakulär und zugleich kompliziert. Hier handelt es sich um Schwachstellen in Prozessoren. Diese ermöglichten Kriminellen erfolgreiche Angriffe auf IT Systeme von Unternehmen und Privatanwendern.

Dies sind nur zwei Beispiele für Schwachstellen der IT-Sicherheit, die eine Vielzahl von Unternehmen betrafen. Cyberkriminelle können Passwörter abphishen, Malware installieren und dadurch Daten abfangen, Browserdaten ausspähen und diverse andere Methoden anwenden. Gelingt der Angriff, gelangen Kriminelle an kritische Informationen. Es gibt Möglichkeiten, die Risiken zu begrenzen.

Disziplin bei Endanwendern durchsetzen

Endanwender sind leider sehr häufig das Einfallstor für Cyberkriminelle. Der Klick auf einen falschen Link oder das Öffnen eines mit Malware verseuchten Anhangs können für Unternehmen verhängnisvolle Folgen haben. Unternehmen sollten im Sinne ihrer IT-Sicherheit deshalb strenge Verhaltensrichtlinien vorschreiben. Mitarbeiter müssen dafür sensibilisiert werden, dass auch vermeintlich harmlose Aktionen erhebliche Konsequenzen haben können.

Ein Tipp: Sehr viel Schatzsoftware gelangt über vermeintliche Bewerbungsmails in Unternehmen. Hier ist besondere Aufmerksamkeit gefragt, weil Anhänge bei diesen Mails keinen Verdacht erregen. Ein Problem im Hinblick auf die IT-Sicherheit im Unternehmen ist die Mobilität der Mitarbeiter. Mitarbeiter nutzen mobile Endgeräte in verschiedenen Netzwerken. Deshalb ist es für die IT-Sicherheit sehr viel schwieriger, die Netzwerke abzusichern. Auch Mobilgeräte an sich sind anfällig für Cyberkriminalität. Unternehmen können ihr Risiko verringern, indem sie jeglichen Download nicht autorisierter Apps untersagen.

Es ist möglich, den Download von Apps und andere Funktionen auf Smartphones zu sperren. Genauso ist es möglich, eine Software für die Löschung von Daten per Fernzugriff zu installieren. Dies ist wichtig, wenn ein mobiles Endgerät verloren geht. Es ist sehr wichtig, alle Systeme regelmäßig einem Update zu unterziehen.

Mobilität der Mitarbeiter Problem für IT Sicherheit

Darüber hinaus ist ein redundantes Onlinebackup zu empfehlen. Mit diesem lässt sich das unbeschädigte System nach einem Vorfall wiederherstellen. Das Backup muss für Cyberkriminelle auch nach dem Eindringen ins unternehmenseigene Netzwerk unzugänglich sein.

IT-Notfallplan entwickeln

Unternehmen sollten im Sinne ihrer IT-Sicherheit einen IT-Notfallplan entwickeln. Dies ist eine Art Handbuch oder Leitfaden. Der Notfallplan enthält für den Fall der Fälle Handlungsanweisungen. Dadurch sollen Reaktions- und Ausfallzeiten verkürzt und dadurch die Schäden so weit wie möglich minimiert werden.

Ein IT-Notfallplan sollte Checklisten und Handlungsanweisungen für verschiedene Szenarien beinhalten. Dazu gehören zum Beispiel Hackerangriffe, der Ausfall wichtigen Personals, Anwendungsfehler, Stromausfälle etc. Im Notfallplan werden Verantwortlichkeiten definiert, Informationsketten festgelegt, Kontaktinformationen hinterlegt etc. Der IT-Notfallplan beinhaltet somit technische Informationen und Lösungshilfen und organisatorische Ablaufinformationen. Ein IT-Notfallplan kann durch die hauseigene IT-Abteilung erarbeitet werden. Hat ein Unternehmen seine IT ausgelagert, kann der IT-Dienstleister einen solchen Notfallplan erarbeiten.

Versicherung gegen Cyberangriffe: lohnt sich das?

Jedes Unternehmen kann allen Sicherheitsmaßnahmen zum Trotz Opfer eines Hackerangriffs werden. Da die potentiellen Schäden unkalkulierbare Höhen erreichen können, kann ein Versicherungsschutz in Betracht gezogen werden. Mittlerweile gibt es verschiedene Anbieter von Cyberversicherungen. Versicherungsunternehmen führen dabei eine Risikoanalyse durch und ermitteln die Prämie.

Damit ein Versicherer den Versicherungsschutz gewährt, müssen Unternehmen bereits vor dem Vertragsabschluss verschiedene Anforderungen an die IT-Sicherheit erfüllen. Auch nach dem Vertragsabschluss sind bestimmte Maßnahmen Obliegenheitspflichten des Versicherungsnehmers. Dies allein kann ein Vorteil sein. Vorgesetzte können Sicherheitsmaßnahmen gegenüber Mitarbeitern sehr viel besser verargumentieren, wenn durch eine Missachtung der Maßnahmen der Versicherungsschutz in Gefahr geriete.

Cyberversicherungen zahlen Entschädigungen bei Betriebsausfällen und kommen auch für Drittschäden auf. Dann gibt es mitunter eine Kostenerstattung für notwendige Rechtsberatung infolge von Datenschutzverletzungen. Auch Kosten für eine nach einem Cyberangriff notwendige Datenwiederherstellung werden je nach Versicherungsvertrag übernommen. Bislang hat nur recht kleiner Teil der Unternehmen eine solche Versicherung abgeschlossen. Es kann sich jedoch lohnen, über eine solche Police nachzudenken.

Ihr wöchentliches Update zur Finanzbranche!

Erhalten Sie jede Woche die aktuellsten Meldungen zur Finanzwelt sowie exklusive Tipps und Tricks rund um das Thema Unternehmen und Finanzierung – kostenlos.

Ja! Ich möchte den FinCompare Newsletter erhalten.

Die Hinweise zum Datenschutz habe ich gelesen

Zusätzliche Information