In Zeiten der Coronakrise greifen viele Cyberkriminelle über Sicherheitslücken im Homeoffice an. Kleine und mittelständische Unternehmen sind oft besonders gefährdet. Wo gibt es Hilfe?
Die E-Mail landet im Postfach des Finanzsachbearbeiters eines mittelständischen Unternehmens mit der dringenden Forderung, eine Rechnung von mehreren 10.000 Euro zu begleichen. Gleichzeitig geht eine weitere E-Mail der Geschäftsführung ein, die die Rechtmäßigkeit der Forderung bestätigt und die Dringlichkeit des Anliegens unterstreicht. Der unter Druck gesetzte Sachbearbeiter sieht keinen Grund, die Mails zu hinterfragen und noch einmal persönlich Rücksprache mit der Geschäftsführung zu halten. Er überweist den Betrag. Mangels weiterer Rücksprache zwischen den Mitarbeitern findet das Unternehmen erst Wochen später heraus, dass ein Hacker sich in die internen Kommunikationskanäle geschlichen, E-Mails im Namen der Geschäftsleitung versendet und so mehrere 10.000 Euro vom Unternehmen abgezweigt hat.
Dieser reale Fall belegt eindrucksvoll, wie sehr Kriminelle in punkto IT-Sicherheit besonders auf die Risikoquelle „Mensch“ setzen – und das ganz besonders in Zeiten von Corona, wo sich ein guter Teil der Arbeitswelt ins Homeoffice zurückgezogen hat. Laut dem ITBranchenverband Bitkom arbeitete im Frühjahr 2020 im Rahmen des Lockdowns etwa jeder zweite von zu Hause aus. Ohne passende Kommunikationskanäle bleiben Rücksprachen möglicherweise aus, was Sicherheitslücken für Cyberkriminelle eröffnet.
Der Fokus liegt auf Technik
Nicht immer sind die Betrugsversuche so elaboriert wie im Eingangsbeispiel. Laut einer Umfrage des Antiviren-Spezialist Bitdefender bestätigen 80 Prozent der über 500 befragten IT-Sicherheitsexperten aus Deutschland, dass in der Krise die Attacken durch Trojaner oder Phishing zugenommen haben. Häufig versuchen Angreifer die Ängste der Mitarbeiter sowie die aktuelle Ausnahmesituation auszunutzen.
Unternehmen berichten etwa von Malware-infizierten Datei-Anhängen im PDF-, MP4- oder Docx-Format, die neue Corona-Informationen versprechen, ebenso wie von Phishing-Versuchen, bei denen sich Betrüger als Behörden ausgeben und angeblich über Themen wie etwa Kurzarbeitergeld informieren wollen. Ein unter Stress getätigter falscher Klick von einem verunsicherten Mitarbeiter kann ein kleines oder mittelständisches Unternehmen bereits in große Schwierigkeiten bringen. Aktuelle Beobachtungen der Mittelstand 4.0-Kompetenzzentren bestätigen die Relevanz gerade dieses Aspekts beim Thema IT-Sicherheit. Die vom Bundesministerium für Wirtschaft und Energie geförderten Zentren unterstützen kleine und mittelständische Unternehmen bei allen Fragen rund um die Digitalisierung – das Thema IT-Sicherheit macht einen wesentlichen Teil ihres Angebotsportfolios aus und wird auch abseits der aktuellen Situation in Informationsveranstaltungen oder Schulungen stark nachgefragt. Der Fokus der Unternehmen liegt oft aber mehr auf technischen Schutzmaßnahmen. Organisatorische Maßnahmen – etwa Personalschulungen für den Umgang mit potenziellen Betrugsversuchen – kommen in kleinen und mittleren Unternehmen nach Beobachtungen der Zentren hingegen oft zu kurz.
Andere Themen erscheinen aktuell wichtiger
Hinzu kommt, dass viele Unternehmen das Thema ITSicherheit zurzeit hintenanstellen. Höchste Priorität hat aktuell für viele, die unsichere wirtschaftliche Situation im Rahmen der Pandemie in den Griff zu bekommen. Dabei ist die Angriffsfläche für Hacker ungebrochen groß. Fast die Hälfte aller Unternehmen in Deutschland (46%) hat in der Vergangenheit schon Cyberangriffe auf ihr Unternehmen erlebt, wie der DsiN-Praxisreport Mittelstand 2020 herausfand. In drei von vier Fällen (74%) führten die Angriffe zu schädlichen Auswirkungen und in vier Prozent der Fälle sogar zu schweren Belastungen innerhalb des Betriebs. Trotz dieser Ausgangslage reagieren nur wenige Unternehmen aktiv mit einer Verbesserung ihrer digitalen Abwehrbereitschaft. Ein Viertel der Betriebe (25%) verfügt über keinerlei Datensicherungen und ein Drittel (35%) hat keine Krisenreaktionspläne. Die Zahl der Unternehmen, die gar keine Schutzmaßnahmen verwenden, ist laut Studie zwar gesunken, doch mit 15 Prozent weiterhin viel zu hoch.
Einfallstore Mail, Remote-Desktop-Protokoll und Videokonferenz
Dabei hakt gerade die Sicherheit beim E-Mail-Verkehr und anderen digitalen Kommunikationstools – also Aspekten, denen im Homeoffice eine besonders hohe Relevanz zukommt. Nur etwas mehr als die Hälfte (52%) der im Rahmen der Studie befragten Unternehmen treffen Sicherheitsvorkehrungen für den Versand von Nachrichten. Nur jedes fünfte Unternehmen achtet auf verschlüsselte E-Mails (22%). Lediglich elf Prozent versenden keine Anhänge, sondern laden die Dateien nur auf dedizierten Austauschplattformen hoch. 19 Prozent schützen übertragene Daten mit einem Passwort – eine überraschend geringe Zahl, da eine Passwortverschlüsselung in der Regel sehr einfach umzusetzen ist. Derweil haben Cyberkriminelle neben dem E-Mail-Verkehr weitere Homeoffice-Schwachstellen ausfindig gemacht, zum Beispiel das Remote-Desktop-Protokoll (RDP). Dieses wird verwendet, um grafische Inhalte entfernter Rechnersysteme zu übertragen oder um Computer fernzusteuern.
Letztere Funktion wird aktuell besonders häufig genutzt, wenn zum Beispiel die IT-Abteilung eines Unternehmens auf einen Rechner im Homeoffice zugreift, um diesen aus der Ferne zu warten. Hacker können sich in diese Sessions einschleichen und Schadsoftware auf dem Rechnersystem installieren sowie sensible Daten auslesen. Laut dem Threat Report des IT-Sicherheitssoftwareherstellers ESET hat sich die Angriffsrate auf das RDP seit März in Deutschland, Österreich und der Schweiz um fast 400 Prozent erhöht. Ebenso ist Vorsicht geboten bei Kommunikationsmitteln wie Videokonferenz-Tools, die im Homeoffice immer häufiger auch im geschäftlichen Rahmen genutzt werden. Das Problembewusstsein für möglicherweise eher unsichere Softwareprogramme oder Services, das im normalen Betriebsablauf bei vielen Unternehmen schon etabliert war, scheint bei einigen Betrieben durch die angespannte Corona-Situation verändert, beobachten einige Kompetenzzentren. So ermöglichte Zoom beispielsweise lange Zeit keine Ende-zu-Ende-Verschlüsselung, also eine abgesicherte Übertragung von Daten. Erst seit Ende Oktober wird diese Funktion angeboten.
Zahlreiche Anlaufstellen helfen – auch digital
Mit professioneller Hilfe können Sicherheitslücken in kleinen und mittelständischen Unternehmen erkannt und vor allem effektiv geschlossen werden. Doch externe Unterstützung wird noch zu selten in Anspruch genommen. Mehr als die Hälfte der befragten mittelständischen Unternehmen verlässt sich bislang weitgehend auf die eigene Expertise, wenn es darum geht, die Unternehmens- IT vor Angriffen zu schützen. Bei kleinen und kleinsten Betrieben fehlen Zuständige für IT-Sicherheitsfragen meist gänzlich. In jedem zweiten Betrieb unter 10 Mitarbeitern kümmert sich die Geschäftsleitung selbst um IT-Fragen. Es wird vermutet, dass hier die Kosten externer Berater als zu hoch eingeschätzt werden, während die Höhe etwaiger Schäden durch IT-Sicherheitslücken unterschätzt wird.
Dabei steht Unterstützung sogar oft kostenfrei zur Verfügung. Sie muss von kleinen und mittelständischen Unternehmen lediglich angefragt werden: Die regionalen Mittelstand 4.0-Kompetenzzentren unterstützen kleine und mittlere Unternehmen und haben im Zuge von Corona ihr Angebot noch stärker ins Digitale verlagert sowie dem aktuellen Bedarf angepasst. Die starken Zugriffszahlen auf Webinare wie „IT-Sicherheit im Homeoffice“ zeigen, dass viele Betriebe sich dieser Schwachstellen durchaus bewusst sind. Vermehrt genutzt werden auch Selbsttests, die dabei helfen, den Status der IT-Sicherheit im eigenen Unternehmen zu erfassen und zu bewerten, wie etwa das Sicherheitstool-Mittelstand (SITOM). Mit der neuen Transferstelle IT-Sicherheit im Mittelstand (TISiM) will das Bundeswirtschaftsministerium Betrieben, Selbstständigen, dem Handwerk sowie Freiberuflern darüber hinaus zu mehr IT-Sicherheit verhelfen. Die Transferstelle wurde Anfang des Jahres ins Leben gerufen und startete im Oktober eine Pilotphase für mehr Cybersicherheit im Mittelstand. Zudem arbeiten auch Landesregierungen an Initiativen, die kleinen und mittelständischen Unternehmen Unterstützung an die Hand geben, wenn sie bereits Opfer einer Cyberattacke geworden sind: In Baden-Württemberg befindet sich etwa die „Cyberwehr“ in einer Pilotphase. Dabei handelt es sich um eine Kontakt- und Beratungsstelle, die im Falle von Hackerangriffen zwischen Sicherheitsbehörden, Wirtschaft und Wissenschaft vernetzt.
Kleine und mittlere Unternehmen werden demnach weder bei der Prävention noch bei der akuten Bekämpfung von Cyberangriffen alleingelassen – auch wenn sich das in der Isolation des Homeoffice manchmal so anfühlen kann.
Organisatorische Maßnahmen zur IT-Sicherheit kommen in KMU nach Beobachtungen der Mittelstand 4.0-Zentren oft zu kurz.
Martin Lundborg ist Leiter der Begleitforschung von Mittelstand-Digital. Mit Mittelstand-Digital unterstützt das Bundesministerium für Wirtschaft und Energie kleine und mittlere Unternehmen kostenfrei bei der Digitalisierung.
