Mittelständische Unternehmen sind die Treiber der deutschen Wirtschaft. Sie sind oft innovativ und haben eine starke Marktposition – und sind daher ein beliebtes Ziel von Cyberattacken. Einen Angriff von außen erlebte auch die MediaMarktSaturn Holding. Anfang November 2021 gelang es Cyberkriminellen, die Server des Unternehmens mit einem Verschlüsselungstrojaner zu attackieren. Dazu verwendeten die Hacker die Ransomware Hive. Die Filialen konnten zwar offen bleiben, die Auswirkungen waren dennoch massiv: Kassen und Warenwirtschaftssysteme waren betroffen, Kunden konnten nur noch mit Bargeld zahlen. Warenbestellungen, Retouren und Abholungen waren nicht mehr möglich.

Viele mittelständische Unternehmen glauben, dass sie nicht im Fokus von Cyberkriminellen stehen, weil sie nicht bekannt oder so bedeutend sind wie große Konzerne. Dies führt dazu, dass sie allzu oft den Schutz vor Cyberattacken vernachlässigen. „Hacker wissen das und greifen diese Unternehmen gezielt an, weil sie von diesen wenig Gegenwehr erwarten“, sagt Alpar Fendo, Senior Manager der Independent Consulting & Audit Professionals GmbH, ein Unternehmen der Ecovis-Gruppe, aus Berlin. Wer seinen Betrieb gegen diese Angriffe schützen will, muss verstehen, wie sie ablaufen und über welche verschiedenen Wege die Angreifer in die IT der Firmen gelangen können.

Diese Wege nutzen Cyberkriminelle

„Cyberkriminelle sind technisch auf sehr hohem Niveau. Unternehmen kommen häufig mit dem Nachrüsten ihrer IT kaum nach“, sagt Fendo. Denn die Wege, die die Angreifer nutzen, sind äußerst vielfältig. Dazu gehört beispielsweise Schadsoftware, die häufig per E-Mail, über Datenspeicher, etwa USB-Stick, über Smartphones oder via Internet in die IT kommt. Oder die Angreifer dringen über Social Engineering ein, bei dem sie Mitarbeiter ausspionieren, oder über Webserver-Angriffe, bei denen sie beispielsweise eine E-Commerce-Website lahmlegen und Lösegeld erpressen. Aber auch ein Einbruch via Fernwartung oder Sabotage frustrierter und entlassener Mitarbeiter spielt eine nicht unbedeutende Rolle.

Die Top 3 der Angriffsarten

Schon aus der Auswahl der Angriffe lässt sich erkennen, dass besonders bei Schadsoftware die Bandbreite groß ist. Häufig genutzte Angriffsarten sind Malware, Trojaner und Ransomware.

• Malware sind Computerprogramme, die meist unbemerkt eine entsprechend manipulierte Website aufrufen und im Hintergrund Schadsoftware auf dem Computer installieren. Die meisten Schäden im Unternehmen entstehen durch solche Schadsoftware, die Computer, Passwörter oder Unternehmensdaten manipuliert, ausspäht oder sie durch Verschlüsselung unbrauchbar macht.
• Trojaner: Das sind getarnte Programme, die dem Anwender eine nützliche Funktion vorspiegeln. Sie geben zum Beispiel an, nicht mehr gebrauchte Dateien aufzuräumen oder den Computer schneller zu machen.
• Ransomware ist Schadsoftware, die oft als schädlich erkennbar ist, denn Betroffene werden aufgefordert, Lösegeld mit virtueller Währung, etwa Bitcoins, zu zahlen. Diese Währung ermöglicht eine anonyme Zahlung über das Internet. Ransomware kommt meist über E-Mails und blockiert den Zugriff auf Dateien oder Programme. Sie verschlüsselt Dateien und macht diese unbrauchbar. Wird gezahlt, erhalten die Attackierten – zumindest häufig – einen Code, mit dem sich die Daten entschlüsseln lassen.

Die Folgen eines Cyberangriffs

Erfolgte ein Angriff, kann das unterschiedliche Konsequenzen haben. Hackt sich ein Angreifer beispielsweise in einen Webshop ein und verändert die dort genannten Preise, kann das massive wirtschaftliche und organisatorische Auswirkungen haben. Zum einen sind die Kunden, die beispielsweise zu sehr günstigen Konditionen bestellt haben, zu informieren. Zum anderen ist das System zu durchleuchten, wo genau die Schwachstelle liegt, die der Angreifer ausnutzte.

Gravierende Folgen hat es auch, wenn sich Cyberkriminelle in die Buchführung eines Unternehmens einhacken und in ihrem Namen etwa Rechnungen an Kunden verschicken. Auch in diesem Fall sind verschiedene Schritte nötig, um den Schaden zu beheben. Diese Angriffe betreffen nicht nur den Vertrauensverlust bei Kundinnen und Kunden. Sie wirken sich auch direkt auf die Abschlussprüfung im Unternehmen aus.

Wie lässt sich die IT schützen?

Eine der wichtigsten Maßnahmen, die Unternehmens-IT vor Cyberangriffen zu schützen, sind regelmäßige Updates aller verwendeten Betriebssysteme. „Da Unternehmen Windows-Rechner weltweit am häufigsten verwenden, ist deren Betriebssystem ein besonders beliebtes Ziel von Cyberkriminellen“, weiß Fendo. Geschulte IT-Fachkräfte oder entsprechend qualifizierte externe Dienstleister müssen sich über aktuelle Bedrohungen auf dem Laufenden halten.

Nicht zuletzt sind regelmäßige Updates der Anwenderprogramme erforderlich. Sind diese beispielsweise von Microsoft, lassen sich dessen Office-Programme sowie das Betriebssystem automatisch aktualisieren. Für andere Anwendungen muss die Unternehmens-IT entscheiden, wann und wie oft sie auf den neuesten Stand zu bringen sind. „Es ist sinnvoll, immer die aktuellen Versionen von Betriebssystemen und Anwendungsprogrammen einzusetzen, weil für sie schneller wichtige Sicherheits-Updates zur Verfügung stehen“, erklärt Fendo. „Anbieter versorgen ältere Versionen oft erst verzögert oder gar nicht mehr mit Updates.“

IT-Verantwortliche versäumen es häufig, gute Antivirenprogramme zu installieren. Diese werden oft täglich oder sogar stündlich mit neuen Informationen über Schädlinge versorgt. „Eine 100-prozentige Sicherheit, dass die Programme auch wirklich alle Schädlinge zuverlässig erkennen, gibt es aber nicht“, weiß Fendo. Darüber hinaus sind Desktop Firewalls eine wichtige Ergänzung zu Antivirenprogrammen. Entscheidend ist: Erfahrene IT-Fachkräfte müssen diese korrekt und auf die Unternehmens-IT bezogen einstellen. Und nicht zuletzt sollten Unternehmen ihre Beschäftigten für Cybersicherheit sensibilisieren und schulen.

Risiken definieren und dokumentieren

Ungeachtet der technischen Umsetzung, um Angriffe auf die Unternehmens-IT zu vermindern, sollten Betriebe ein Risikomanagement- System einrichten. Wollen sie etwa eine Versicherung abschließen, müssen sie nachweisen, dass ein Risikomanagement- System eingerichtet ist. Sie bekommen sonst, beispielsweise wegen eines Produktionsausfalls, keine Kosten ersetzt. Zusammen mit der Geschäftsleitung sollten IT-Verantwortliche Notfallmaßnahmen dokumentieren und im Unternehmen kommunizieren. Mitarbeiterinnen und Mitarbeiter oder auch externe Dienstleister müssen ihre Verantwortlichkeiten genau kennen. Dann können sie notwendige Aufgaben, die sich nach einem Angriff ergeben, nach vorgegebenen Prioritäten abarbeiten. Folgende Themen sind dabei zu berücksichtigen:

• Welche Risiken gibt es und wie ist das jeweilige Bedrohungspotenzial zu bewerten?
• Welche Auswirkungen hat ein Angriff auf das Unternehmen? Ist er existenzbedrohend oder nur marginal?
• Welche Kunden, Partner und Behörden sind zu informieren?
• Ist es erforderlich, das Firmennetzwerk zeitweise vom Internet abzukoppeln?
• Sind betroffene Computer und Server zu isolieren, um eine weitere Ausbreitung von Schadsoftware über das Firmennetz zu verhindern?
• Stehen Backups für die Software und Datenwiederherstellung zur Verfügung? Sind diese separat aufbewahrt und vom Firmennetz und vom Internet isoliert gespeichert, sodass sie vor Schadsoftware geschützt sind?
• Ist die IT gegen Stromausfall, Feuer oder Wasserschäden, gegen Einbruch oder Diebstahl gesichert? Verwenden alle Beteiligten sichere Verschlüsselungsverfahren für sensible und vertrauliche Firmen- und Kundendaten?

Ein gutes und umfassendes Risikomanagement dient nicht nur dem eigenen Gewissen. Es ist vom Gesetzgeber vorgegeben und geregelt. Insbesondere Betreiber kritischer Infrastruktur (KRITIS) sind von diesem Gesetz erfasst. Zu diesen Unternehmen zählen beispielsweise Strom-, Gas- oder Wasserversorger, Gesundheitsunternehmen oder Transport- und Verkehrsbetriebe. „Alle Maßnahmen eines guten IT-Managements dienen dazu, den Geschäftsbetrieb schnell wiederherzustellen, um Kosten zu verringern sowie Kunden und Lieferanten zu schützen“, sagt Fendo.

Ordnungsgemäße Buchführung: Was bedeutet ein Cyberangriff für Rechnungslegung und Abschlussprüfung?

Das Institut der Wirtschaftsprüfer (IDW) hat dargestellt, dass die Voraussetzung für die Ordnungsmäßigkeit der IT-gestützten Rechnungslegung die Sicherheit der relevanten Daten ist. Um die IT-Infrastruktur, IT-Anwendungen und IT-gestützten Geschäftsprozesse ausreichend zu schützen, muss Sicherheit gewährleistet sein.

Authentizität: Informationen stammen aus einer vorgegebenen Quelle; es existiert eine eindeutige Zuordnung zum Verursacher. Es muss klar sein, wer Daten erfasst hat.

Autorisierung: Bearbeitung und Weitergabe von Informationen oder Geschäftsvorfällen erfolgen nur durch Berechtigte, also autorisierte Personen.

Vertraulichkeit: Kein Unbefugter kann auf Informationen zugreifen und diese lesen. Daten sind vor unberechtigtem Zugriff zu schützen.

Verbindlichkeit: Die Quelle der Informationen, also das Unternehmen, kann deren Sendung nicht abstreiten.

Verfügbarkeit: Informationen sind dann verfügbar, wenn sie benötigt werden. Die Voraussetzung hierfür sind funktionsfähige Ressourcen.

Nach einem Angriff können

• Daten manipuliert oder nicht mehr verfügbar sein,
• Abrechnungsdaten, etwa beim Web-Shop, nicht korrekt oder Bestellpreise falsch sein,
• Mengen nicht mehr stimmen.

Treffen diese Punkte zu, ist die Ordnungsmäßigkeit der Buchführung gefährdet. Dann stimmen Abrechnungen und Berechnungen nicht mehr. Und wenn die Ordnungsmäßigkeit nicht mehr gegeben und – im schlimmsten Fall – nicht mehr herzustellen ist, können Wirtschaftsprüfer keine uneingeschränkten Bestätigungsvermerke ausstellen.

Cyberattacke: Was Ihre Mitarbeitenden wissen sollten

Unternehmer sollten ihre Mitarbeiterinnen und Mitarbeiter für Cybersicherheit sensibilisieren und entsprechend informieren und schulen.

• Festlegen, wie sichere Passwörter für Firmenapplikationen oder E-Mails zu erstellen und zu verwenden sind.
• Im sicheren Umgang mit in E-Mails enthaltenen externen Links zu fremden Websites oder mit Dateianhängen schulen.
• Exakt definieren, wie private oder fremde Speichermedien einzusetzen oder zu vermeiden sind.
• Genau erklären, was beim Social Engineering abläuft und wie es zu erkennen ist.