IT -

Studie zu IT-Resilienz Hackerangriffe: Problembewusstsein in vielen Firmen gering – trotz 30.000 Attacken pro Minute

Die R+V Versicherung hat eine Studie zum Thema IT-Resilienz erstellt. Die Experten haben untersucht, inwieweit Unternehmen ihren Cyberschutz ernst nehmen – und was sie davon abhält. IT-Sicherheits-Experte Ingo Steinwedel von der R+V erklärt die Kernergebnisse und sagt, wie Betriebe am besten Hackerangriffe abwehren können.

Von Yvonne Döbler
Hacker sind weltweit 24/7 dabei, Schwachstellen in IT-Systemen zu erkennen und für ihre kriminellen Zwecke zu nutzen.
Cyberkriminelle sind weltweit 24/7 dabei, Schwachstellen in IT-Systemen zu erkennen und für Hackerangriffe zu nutzen. - © Ant - stock.adobe.com

„Wir haben eine permanente Bedrohungslage, was die IT-Sicherheit von Unternehmen betrifft“, fasst Ingo Steinwedel die aktuelle Lage zusammen. Eine Statistik der Deutschen Telekom weise 30.000 Hackerangriffe pro Minute aus. Gleichzeitig sei das Problembewusstsein in vielen Betrieben gering, wie eine eigene Studie der R+V Versicherung ergeben hat. „Unternehmer sollten verstehen, dass die finanzielle Widerstandsfähigkeit ihres Betriebs auch von der IT-Sicherheit abhängig ist“, sagt der Experte. Nur 22 Prozent der kleinen und mittelständischen Unternehmen würden sich aktiv um Cyberschutz bemühen. „Doch meist ist der PC halt das notwendige Übel des Handwerks. Die Unternehmer denken, es wird schon gut gehen“, weiß Steinwedel. Doch er gibt zu bedenken, dass die Hacker in einer Branche unterwegs sind, die lukrativer ist als der Handel mit Drogen.

Größere Unternehmen haben die IT ein bisschen stärker im Fokus. Die Eco-Studie 2024 von der Allianz und dem Institut der deutschen Wirtschaft (IW) hat gezeigt, dass auch nur 36 Prozent von ihnen auf die Dienste eines IT-Experten zugreifen. „Das sind nicht viele“, findet Steinwedel. Ein externer IT-Dienstleister sei besonders dann wichtig, wenn die eigene IT-Abteilung klein sei. Denn er könne bei der Planung, Organisation, Umsetzung und Instandhaltung der IT-Infrastruktur der Betriebe unterstützen. Damit ist er ein wichtiger Faktor für die IT-Sicherheit.

Ergebnisse der Studie im Überblick

Für die R+V-Studie wurden 202 Unternehmerinnen und Unternehmer mit mehr als zehn Beschäftigten und 1.000 Beschäftigte aus Deutschland befragt. Dazu wurden repräsentative Online-Interviews durchgeführt. Die wichtigsten Ergebnisse:

  • Bislang fördern nur 22 Prozent der mittelständischen Unternehmen aktiv ihre Widerstandskraft – zum Beispiel, indem sie mit gezielten Maßnahmen Kunden und Personal langfristig halten, IT-Systeme sicherer machen oder Rücklagen bilden und sich gegen Ausfälle versichern. 
  • Das bedeutet auch: Vier von fünf Firmen sind noch nicht umfassend auf Krisen vorbereitet. Entweder blieben sie bislang komplett untätig (33 Prozent) oder wägen aktuell noch geeignete Maßnahmen ab (45 Prozent). Und das, obwohl ein Großteil der Befragten die deutsche Wirtschaft als sehr krisengefährdet einschätzt. Jedes zweite Unternehmen (52 Prozent) sieht sich selbst sogar durch die wirtschaftliche Lage akut bedroht.
  • Mehr als jedes dritte Unternehmen (35 Prozent) investiert nach eigener Aussage zu wenig in Digitalisierung und die eigene IT-Sicherheit.
  • Jedes zweite Unternehmen (50 Prozent) wünscht sich externe Hilfe, um die Widerstandsfähigkeit des eigenen Betriebs zu stärken. Zu den Bereichen, in denen die meisten Unternehmen gerne externe Unterstützung hätten, zählen IT-Sicherheit (49 Prozent), Technikinstandhaltung (47 Prozent), Erneuerbare Energien (43 Prozent) und Liquidität (42 Prozent).

Die EU reagiert auf die gestiegene Bedrohungslage durch Hackerangriffe

Die IT-Sicherheit ist auch ein Anliegen der Europäischen Union. Die Network-and-Information-Security-Richtlinie 2.0, kurz: NIS2-RL der EU, soll schnellstmöglich in nationales Recht umgewandelt werden. Die Richtlinie zielt auf ein hohes gemeinsames Cybersicherheitsniveau in der EU. Kritische Infrastrukturen und wesentliche Einrichtungen sollen so vor Cyberangriffen geschützt werden.

Zu den neuen Vorgaben gehört, dass Unternehmen eine Risikoanalyse, Sicherheitsmaßnahmen und ein Vorfallmanagement implementieren müssen, einschließlich Meldepflichten bei Sicherheitsvorfällen. „Betroffen ist davon beispielsweise das Lebensmittelhandwerk: ab 50 Beschäftigten und zehn Millionen Euro Jahresumsatz, hier gelten die Regelungen auch für Partnerunternehmen in der Lieferkette“, erklärt Steinwedel. „Das Haftungsrisiko für Unternehmer ist aber auch durch neue Anforderungen durch die DSGVO gestiegen. Sie haben nun die Pflicht, ihre Kunden und die Behörden über einen Sicherheitsvorfall zu informieren – letztere innerhalb von 72 Stunden. „80 Prozent der Unternehmer sind über die neuen Anforderungen nicht informiert“, warnt Steinwedel.

So führen Cyberkriminelle ihre Hackerangriffe durch

„Es wird gehackt, bis es gelingt“, fasst Steinwedel die Aktivitäten der Kriminellen zusammen. Datenklau und Erpressung seien meist das Ziel. „Ein Hacker bleibt im Schnitt 200 Tage im Netzwerk einer fremden IT bevor er entdeckt wird“, sagt Steinwedel.

Typisch sei, dass ein Mitarbeiter oder auch der Chef gehackt und dann der allgemeine Zeitdruck ausgenutzt wird. „Damit wird der Mensch dazu gebracht, etwas zu tun, was er unter normalen Umständen nicht tun würde. Ein Beispiel: „Hallo, muss mich leider krankmelden AU im Anhang“. Klickt der Angeschriebene auf den Anhang ist der Cyberkriminelle im Netz des Betriebs.

So schützen sich Unternehmer

Ingo Steinwedel - IT-Experte, mit guten Tipps zur Abwehr von Hackern.
Ingo Steinwedel - IT-Experte, mit guten Tipps zur Abwehr von Hackern. - © R+V Versicherung

Die Unternehmer im Handwerk seien kaum vorbereitet, da sie denken, sie seien zu unbedeutend. „Doch die Betrüger filtern nicht nach Bedeutung, sondern nach IT-Schwachstellen. Deshalb ist es wichtig, dass jeder Unternehmer einen IT-Dienstleister seines Vertrauens hat – das ist die wichtigste Prävention“, so der erste Tipp von Steinwedel.

  • Tipp 2: Unternehmer sollten die richtige Schutzsoftware anschaffen und aktuell halten. Das heißt: Sie brauchen eine Firewall, eine Anti-Virenschutzsoftware und sie sollten regelmäßig Backups durchführen sowie – ganz wichtig – diese auf Funktion testen.

  • Tipp 3: „Wir sind alle viel online und wir wissen nicht, ob ein Externer mitliest. Deshalb ist es wichtig, die Administratorenrechte nur dann zu verwendet, wenn der Unternehmer sie wirklich braucht“, sagt Steinwedel. Die Gefahr: Wenn eine Leitung mit Administratorenrechten steht, kann ein stiller Mitleser alles tun, was der Administrator mit allen seinen Rechten tun kann. „Es kostet ein bisschen Zeit den eingeschränkten Zugriff einzurichten, aber es kostet nicht viel Geld – und es schützt“, wirbt Steinwedel für diese Maßnahme.

  • Tipp 4: „Schulen Sie Ihre Mitarbeiter, testen Sie die Aufmerksamkeit der Mitarbeiter im Umgang mit Emails und Links.“ Hilfreich seien dabei digitale Plattformen, Lernprogrammen, vor Ort- oder Online-Veranstaltungen von IT-Dienstleistern.

  • Tipp 5: Das Passwort-Management beinhaltet Vorgaben über Länge und zu verwendende Sonderzeichen sowie den regelmäßigen Wechsel der Passwörter.
  • Tipp 6: „Auch die Fernwartung ist ein Einfallstor für Kriminelle“, warnt Steinwedel. Und er rät, auf die Email-Adressen zu achten und nur jene zu verwenden, die im Adressbuch sind.

Cyberversicherungen schützen bereits im Vorfeld

Wer die Folgen eines Hackerangriffs absichern möchte, sollte über eine Cyberversicherung nachdenken. Gute Policen decken sowohl Eigenschäden als auch Drittschäden ab. Eigenschäden umfassen die finanziellen Auswirkungen eines Cyberangriffs für das Unternehmen selbst, so beispielsweise Kosten für die Datenrettung, Systemwiederherstellung oder Ertragsausfälle. Drittschäden sind Ansprüche Dritter, die durch einen Cyberangriff entstanden sein können, wie etwa Ansprüche wegen Datenschutzverletzungen oder Verletzung von Geheimhaltungspflichten. Zudem beinhalten die meisten Policen eine Hotline mit IT-Spezialisten, über die der betroffene Unternehmer sofort Empfehlungen erhält, wie er sich verhalten sollte, wenn er gehackt wurde. „Betrug und unvorhersehbare Schäden sollten in einer guten Police ebenfalls versichert sein“, rät Steinwedel.

Doch eine Cyberversicherung bekommen heute nur Betriebe, die gewisse Anforderungen erfüllen. „Wir haben uns auf vier Zugangsvoraussetzungen beschränkt“, informiert Steinwedel. Diese seien:

  1. Administratorenrechte werden nur getrennt vergeben

  2. Zwei-Faktor-Authentifizierung

  3. verfügbare Updates müssen sofort genutzt werden

  4. bekannte Sicherheitslücken dürfen nicht ohne zusätzliche Maßnahmen zur Absicherung eingesetzt werden.

„Sicherheitslücken lassen sich meist mithilfe eines IT-Dienstleisters schnell erledigen und dieser kann auch die wöchentlichen Backups einem Funktionstest unterziehen“, erklärt Steinwedel. Wer diese Anforderungen erfülle, habe bereits einen großen Schritt hin zur IT-Sicherheit unternommen.

Was tun bei einem Cyberangriff?

„Die Abläufe bei einem Cyberangriff spricht der Versicherer mit dem Versicherten im Vorfeld ab“, so Steinwedel. Grundsätzlich werde der IT-Experte des Versicherers sofort nach einer Angriffsmeldung aktiv. „Stellt sich dann im Lauf des Prozesses heraus, dass es sich nicht um einen versicherten Schaden handelt, geht nach der Erstversorgung eine Meldung an den Versicherten raus, dass künftig nichts mehr geleistet wird. Alles, was der IT-Support des Versicherers bis dahin geleistet hat, muss nicht zurückgezahlt werden.“

KI kämpft gegen KI-Hackerangriffe

„Es ist keine Frage: Stimmerkennungs- und Reproduktionsprogramme werden kriminell genutzt, das ist Fakt“, weiß der IT-Experte. Es müsse also darum gehen, die Risiken der KI beherrschbar zu machen, um die Chancen der KI zu nutzen. Die Fähigkeiten der KI werden ständig besser, es gäbe bereits künstliche Intelligenz, die automatisiert nach Viren scannt und Unregelmäßigkeiten und Angriffsmuster erkennt und meldet. „Aber bisher sind die Hacker immer einen Schritt voraus“, dämpft Steinwedel die Erwartungen.

En Vogue sei aktuell der Identitätsdiebstahl. Ein prominentes Beispiel ging kurz vor Weihnachten 2024 viral: „Damals gab es eine Werbekampagne, bei der die Stimme von Olaf Scholz verwendet wurde - das war KI“, warnt Steinwedel.

Unternehmer sollten auch achtsam sein, wenn unter dem Deckmantel einer angeblichen Handwerk-Organisation Fortbildungen angeboten und so Daten abgegriffen werden. „Auch Auftraggeber können gefaket sein. Es handelt sich dann um Bestellbetrug oder Lieferbetrug. Man glaubt mit einem echten Menschen zu sprechen, aber es ist ein Avatar“, weiß der IT-Experte. Und er erzählt von einem besonders krassen Fall mit 750.000 Euro Schaden: „Es ging um eine Teams-Sitzung, in der ausschließlich Avatare waren – der einzig echte Mensch war der Geschädigte.“

Zugehörige Themenseiten:
Datenschutz, Digitalisierung, Geschäftsinhaltsversicherung, IT-Sicherheit, Künstliche Intelligenz (KI, AI) und Risikomanagement
keyboard_arrow_left Zurück zur Startseite