Ob unbemerkter Datenklau oder Lösegeld-Erpressung: Cyberangriffe werden zunehmend zur Gefahr – auch für kleine und mittelständische Unternehmen. Wie sich Betriebe schützen können und wo sie Hilfe finden.

Cyberangriffe sind eine der größten Sorgen für Unternehmen weltweit, das attestiert das im Frühjahr veröffentlichte „Risk Barometer“ der Allianz-Versicherung. Und das Gefühl der Unternehmer trügt nicht: Die Bedrohungslage ist tatsächlich hoch – Tendenz steigend. Laut dem Branchenverband Bitkom verursachten Cyberattacken im vergangenen Jahr allein in Deutschland Schäden in Höhe von 223 Milliarden Euro. Zwei Jahre zuvor waren es noch weniger als die Hälfte.

Kliniken, die keine Patienten mehr aufnehmen können, oder Fabriken, deren Produktion gestört ist. Banken, bei denen das Onlinebanking stillsteht, oder Stadtverwaltungen, die nicht mehr erreichbar sind. Cyberattacken auf Behörden und Unternehmen machen immer öfter Schlagzeilen. „Das Risiko für Cyberangriffe nimmt zu. Derartige Attacken sind zuletzt nicht nur häufiger geworden, sondern auch professioneller“, sagt Friederike Schneider, die am Horst Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum den Bereich Transfer verantwortet.

Risiko für Cyberangriffe steigt

Durch die fortschreitende Digitalisierung bieten sich Hackern heute mehr und mehr Einfallstore in Unternehmensstrukturen. Entwicklungen wie der Trend zum mobilen Arbeiten eröffnen neue Angriffsmöglichkeiten. Seit Beginn des Ukrainekriegs scheint die Bedrohungslage für die europäische Wirtschaft zudem noch einmal gestiegen zu sein.

„Damit wird auch das Thema Cyber-Sicherheit immer wichtiger“, betont die IT-Expertin. Bei den Stadtwerken Bochum steht es schon lange auf der Agenda. Aus gutem Grund: „Als Betreiber einer kritischen Infrastruktur hat das Thema für uns seit Jahren eine große Bedeutung“, sagt Talal El-lahib, Beauftragter für Informationssicherheit und Datenschutz bei dem Energieversorger. „Um die Wahrscheinlichkeit eines Angriffs zu reduzieren, haben wir umfängliche Sicherheitsmechanismen etabliert, die wir ständig überprüfen und anpassen. Neben speziellen Angriffserkennungstools gehören dazu zum Beispiel auch Schulungen für unsere Mitarbeiter.“

Von Phishing bis Ransomware

Doch nicht überall sind die Barrieren für Betrüger so hoch: „Die IT von Wirtschaftsunternehmen ist oft zu schlecht geschützt. Gerade kleine und mittelständische Betriebe neigen dazu, das Thema zu unterschätzen. Dabei kann es jeden treffen: Kriminelle greifen längst nicht mehr nur große Unternehmen an“, sagt IT-Sicherheitsexpertin Schneider.

Von Phishing-Mails, mit denen Kriminelle Geschäftsgeheimnisse ausspähen, bis hin zu sogenannten Denial-of-Service-Angriffen, die ganze Systeme lahmlegen: Die Gefahren aus dem Netz sind vielfältig. Hoch im Kurs steht bei Hackern auch sogenannte Ransomware. Dabei infizieren die Täter einen Computer mit Schadsoftware, die wichtige Firmendaten verschlüsselt, um dann eine Lösegeldforderung zu stellen.

Einfache Schutzmaßnahmen

Die gute Nachricht: Es muss nicht so weit kommen. „Schon mit vergleichsweise einfachen Maßnahmen lässt sich das Risiko deutlich minimieren“, erklärt Schneider. Wer in einen guten Virenschutz investiert, seine Programme regelmäßig aktualisiert und sicher mit Passwörtern umgeht, hat bereits den ersten Schritt getan.

Ein weiterer wichtiger Baustein ist der Expertin zufolge die Sensibilisierung der Mitarbeiter: „Menschen gelten meist als Sicherheitsrisiko, sie können aber auch ein Abwehrschirm sein“, meint Schneider. „Mit einem gut geschulten Team lassen sich viele Angriffe verhindern.“

Förderprogramm gegen Sicherheitslücken

Angesichts steigender Energiepreise, Lieferengpässe und Co. mag das Thema Cybersicherheit für viele Unternehmen aktuell zweitrangig erscheinen. „Doch gerade in schwierigen Zeiten kann niemand eine zusätzliche Krise gebrauchen, weil die IT ausfällt. Es lohnt sich daher, aktiv zu werden“, betont Schneider.

Die NRW-Landesregierung sieht das genauso: Im Rahmen des Programms „Mittelstand Innovativ & Digital“ unterstützt sie kleine und mittlere Unternehmen dabei, Sicherheitslücken zu schließen. Gefördert werden Beratungen, Schulungen für Mitarbeiter sowie Software für einen Basisschutz. Weitere Hilfestellungen bieten Anlaufstellen wie „Digital sicher NRW“: „Die Initiative berät Unternehmen zu allen Belangen der digitalen Sicherheit und bietet zum Beispiel eine offene Sprechstunde an“, erklärt Schneider.

Erste Hilfe im Cyber-Notfall

Kommt es trotz aller Vorsicht zum Notfall, leisten sogenannte Cyberwehren Unterstützung. Gefördert von der EU und dem Land NRW, baut der Verein Eurobits IT-Feuerwehren in Bochum, Essen und Gelsenkirchen auf. Das Ziel: kleinen und mittelständischen Unternehmen eine kostenfreie Erstberatung bieten. Für weitere Unterstützung vermitteln die Stellen Hilfesuchende bei Bedarf an passende Dienstleister.

„Man merkt, dass gerade ein Umdenken stattfindet und das Thema in der Öffentlichkeit präsenter wird“, so Schneider. Ihre Hoffnung: dass sich dieses Umdenken in Zukunft nicht nur im Mittelstand manifestiert, sondern auch bei den Softwareentwicklern niederschlägt: „Wir brauchen mehr Security by Design. Also Software, in die der Cyberschutz bereits integriert ist. Der Mensch ist schließlich immer nur so gut wie die Maschine, die er bedient.“