Cyber-Angriffe entwickeln sich zur existenziellen Bedrohung für Unternehmen, zeigt der jüngste 'Cyber Readiness Report' von Hiscox. Versicherungsbote sprach darüber mit Gisa Kimmerle, Head of Cyber bei dem Spezialversicherer. Im Interview geht die ausgebildete Versicherungskauffrau und studierte Versicherungswirtschaftlerin auch auf wirksame Präventionsmaßnahmen ein.
Versicherungsbote: Gibt es Unternehmen, die besonders beliebt sind bei Cyber-Kriminellen – die also häufiger angegriffen werden als andere Unternehmen? Gibt es Branchen, die besonders betroffen sind?
Gisa Kimmerle: Um das zu beurteilen, müssen wir zunächst einen Blick auf die allgemeine Entwicklung werfen, in unserem Fall speziell für Deutschland: Die Häufigkeit von Cyberangriffen ist hierzulande zweistellig gestiegen, von 46 Prozent im Vorjahr auf jetzt 58 Prozent. Die Gesamtzahl der Angriffe kletterte ebenfalls im Median von 6 auf 10 pro Unternehmen. Deutschland weist damit international die zweithöchste Inzidenzrate auf, lediglich in Irland gab es mehr Angriffe.
Und natürlich werden einzelne, besonders attraktive Wirtschaftsbereiche häufiger zur Zielscheibe von Cyberkriminellen. Drei spezielle Branchen waren in den vergangenen drei Jahren weltweit am stärksten betroffen: die Industrie, die Logistik und der Energiesektor. Im Vergleich zum Vorjahr sind die durchschnittlichen Kosten, die durch Cyberangriffe verursacht wurden, im Bereich Logistik am stärksten gestiegen (um 28 Prozent). Diese Bedrohungslage ist bei den Firmen längst angekommen, Cyberangriffe werden in Deutschland erneut als größtes Geschäftsrisiko angesehen, noch vor drängenden Herausforderungen wie dem Fachkräftemangel.
Was lässt sich über die Höhe der Schäden sagen? Gab es Unternehmen, die in existenzieller Weise geschädigt wurden?
Im Median sind die Kosten etwas gesunken, von etwa 19.000 Euro im Vorjahr auf jetzt 14.800 Euro. Eine von acht Firmen hatte Kosten von mehr als 250.000 Euro durch Cyberangriffe zu verkraften. Und tatsächlich können diese Kosten eine große Bedrohung sein. Jedes fünfte angegriffene Unternehmen (21 Prozent) gab an, dass die Auswirkungen so gravierend waren, dass die wirtschaftliche Existenz bedroht war.
Genau aus diesem Grund ist es gerade für kleinere und mittelständische Firmen essenziell, eine gute Cyber-Versicherung abzuschließen und sich gegen existenzbedrohende Risiken, wie z.B. das eines längeren Betriebsausfalls, abzusichern. Besonders wichtig sind darin enthaltene Assistance-Leistungen, da insbesondere KMU im Notfall oft nicht schnell genug an das nötige Personal oder Dienstleister kommen. Ein kompetenter Partner und die richtige Absicherung können im Schadenfall entscheidend sein, gerade wenn eine Firma über keine ausreichenden finanziellen Rücklagen verfügt.
Haben sich Strategien verändert, mit denen Cyberkriminelle agieren? Gibt es neue Formen von Cyber-Betrug?
Die Cyber-Bedrohungslage entwickelt sich dynamisch, und selbst das beste Sicherheitskonzept kann morgen bereits obsolet sein. Der kriminellen Kreativität sind im Prinzip keine Grenzen gesetzt, und parallel professionalisieren sich die Angreifer wie in den vergangenen Jahren immer weiter. Was die Strategie der Hacker anbelangt: die Kompromittierung von Geschäfts-E-Mails ist die beliebteste Methode der Hacker (35 Prozent), gefolgt vom Hack über einen Unternehmens- oder Cloudserver (31 bzw. 29 Prozent). 43 Prozent der Unternehmen erlitten finanziellen Schaden aufgrund von Zahlungsumleitungsbetrug, wobei Kriminelle etwa über gefälschte E-Mail-Domains angeblich geänderte Bankdaten von Dienstleistern verschicken und sich so Zahlungen erschleichen.
Warum sind selbst kleine Unternehmen trotz ihrer Größe nicht von Cyberangriffen ausgenommen?
Tatsächlich ist der Anteil an kleinen Unternehmen (bis 49 Mitarbeitende), die angegriffen wurden, um die Hälfe gestiegen und liegt inzwischen bei 38 Prozent. Die Firmen werden vor allem Opfer von ungezielten Angriffswellen, die zum Ziel haben, möglichst viele Unternehmen gleichzeitig zu schädigen. Bei dieser Form des Angriffs wird gleich ein Bündel unterschiedlicher Schadsoftware verschickt, um so eine Vielzahl von IT-Systemen durchdringen zu können. Bei einer hohen Anzahl von Angriffszielen ist die Trefferquote zwar vergleichsweise gering, in der Masse aber durchaus ergiebig. Wenn eine E-Mail millionenfach versendet wird, genügt bereits eine Öffnungsrate von einer aus 1.000 Mails mit Schadsoftware. Fehlt es dann an effektiven Präventionsmaßnahmen und Abwehrmechanismen, ist es für Hacker-Gruppierungen ein Leichtes, in unterschiedliche IT-Systeme einzudringen und kritische Daten zu entwenden.
Gerade kleine Unternehmen verfügen über geringere finanzielle Mittel für die Absicherung der IT-Infrastruktur und sind somit oft ein leichteres Ziel. Diesen Nachteil haben viele Firmen bereits erkannt und investieren deutlich mehr in Sicherheitsmaßnahmen. Die durchschnittlichen Ausgaben für Cybersicherheit stiegen innerhalb von drei Jahren um 39 Prozent auf 155.000 Euro. Bei Unternehmen mit weniger als zehn Mitarbeitern haben sie sich innerhalb von zwei Jahren vervierfacht. Deutsche Unternehmen geben im internationalen Vergleich mit 179.437 Euro am meisten für IT-Sicherheit aus.
Wie viele Unternehmen Lösegeld zahlen
Noch immer ist der Angriff mit Ransomware ein hohes Risiko. Wie viele Unternehmen, die hiervon betroffen waren, zahlen Lösegeld?
In etwa ein Fünftel der gehackten Unternehmen (22 Prozent) wurden mit Ransomware angegriffen und zur Lösegeldzahlung aufgefordert. Die häufigste Methode, über die Ransomware in Unternehmen gelangt ist, war die Nutzung von Phishing-E-Mails – wie auch in den drei vorangegangenen Jahren. Insgesamt wurden 74 Prozent der Firmen auf diese Weise angegriffen. Dahinter reiht sich der Diebstahl von Zugangsdaten ein, der 2023 für knapp die Hälfte (51 Prozent) der Fälle verantwortlich ist.
Der Anteil der Firmen, die auf Lösegeldforderungen eingingen, lag im vergangenen Jahr bei 55 Prozent und damit höher als im Vorjahr (46 Prozent). Deutschland liegt damit aber noch weit über dem globalen Durchschnitt von 63 Prozent. Gleichzeitig sind die Summen gestiegen, die gezahlt wurden – im Median auf 9.844 Euro. Als häufigste Gründe wurden der Schutz von sensiblen Unternehmens- und Kundendaten (jeweils 43 und 42 Prozent) angegeben. Letzteres war vor allem bei größeren Unternehmen der Grund für die Zahlung. 40 Prozent der Unternehmen gaben zudem als Grund an, den Betrieb so schnell wie möglich wieder aufnehmen zu können. Bei 37 Prozent der Unternehmen war die Wahrung des eigenen Rufs das ausschlaggebende Argument.
Wenn Lösegeld gezahlt wird – erhalten dann die Unternehmen, was ihnen von den Kriminellen versprochen wurde? Und auf welches Verhalten würden Sie plädieren – gibt es Gründe, zu zahlen?
Gerade, wenn sensible Daten im Spiel sind, oder der Cyber-Angriff ein existenzgefährdendes Ausmaß annimmt, stellt eine Lösegeldforderung Unternehmen vor eine schwere Entscheidung. Die Angreifer vermitteln den Eindruck, dass Firmen sich die verlorenen Daten einfach „zurückkaufen“ können. Die Situation gleicht aber einem Glücksspiel, denn die Zahlen sprechen eine eindeutige Sprache: Lösegeldzahlungen führten nur in etwas mehr als ein Drittel der Fälle (37 Prozent) tatsächlich wieder zur vollständigen Wiederherstellung der Daten. Wer Lösegeld als einen schnellen und unkomplizierten Weg aus der Ransomware-Attacke wahrnimmt, sieht seine Hoffnungen oft enttäuscht: 24 Prozent der deutschen Unternehmen, die sich 2023 auf die Forderung eingelassen haben, wurden sogar Opfer eines weiteren Angriffs. In 34 Prozent der Fälle wurden die gestohlenen Daten zudem trotz Zahlung veröffentlicht.
Eine Garantie für einen glimpflichen Ausgang gibt eine Lösegeldzahlung also nicht, weswegen wir auch prinzipiell davon abraten, auf solche Forderungen einzugehen. Um sich davor zu schützen, müssen Unternehmen besser verstehen, welche Einfallstore die Angreifenden für die Verbreitung von Ransomware nutzen. Ein regelmäßiges Back-up sensibler Daten ist ein viel wirksameres Mittel, um sich nicht durch Cyberkriminelle erpressbar zu machen.
In welchen Bereichen könnten Unternehmen besser vorbereitet sein, um sich vor Ransomware-Angriffen zu schützen?
Um Angriffspotenziale zu minieren, sollte der erste Schritt die Stärkung und Schutz der eigenen IT-Infrastruktur sein. Neben einer sicheren Firewall ist hier auch die ständige Wartung der IT-Systeme und die Aufrechterhaltung des aktuellen Technologiestandards zu berücksichtigen. Mithilfe einer Netzwerksegmentierung, also der Unterteilung in isolierte Bereiche, ist es darüber hinaus möglich, kritische Daten schnell abzuschotten und gezielt vor Schadsoftware zu schützen.
Ansonsten ist eine wirkungsvolle IT-Sicherheit ist immer nur so stark wie ihre größte Schwachstelle. Um diese aufzuspüren und zu schließen, ist es unabdinglich, im Rahmen eines breit aufgestellten Patch-Managements das System regelmäßig auf eventuelle Lücken in Softwareanwendungen zu scannen. Diese Patches werden vom Hersteller bereitgestellt und müssen auf ihre Verfügbarkeit überprüft werden.
Bei allen Sicherheitsvorkehrungen ist nicht minder wichtig, das eigentliche Ziel von Hackerangriffen im Blick zu behalten: die Daten. Um sich nicht erpressbar zu machen, sollten Unternehmen daher Vorkehrungen zur Datensicherung treffen. Aber aufgrund komplexerer Angriffsmethoden sind Back-ups, die rein online und ohne wirksame Isolierung vom Produktivsystem gespeichert werden, keine Garantie mehr für Datensicherheit. Bei der Entwicklung einer wirksamen Back-up-Strategie empfiehlt es sich daher auch auf analoge Datenträger zurückzugreifen. Die externe Offlinespeicherung auf einer – vom System getrennten – USB-Festplatte oder einem Tape ist häufig sicherer als die Datensicherung auf digitalen Speichermedien.