Am gefährdetsten sind Unternehmen mit 10 bis 50 Mitarbeitenden: Sie sind gross genug, um für Hacker interessant zu sein – aber nicht gross genug, um einen eigenen IT-Spezialisten zu beschäftigen. Nach einer aktuellen Studie von Zurich haben bereits zwei von fünf kleinen und mittleren Unternehmen (KMU) einen Cyber-Angriff erlebt. 27 Prozent sind einem Computervirus zum Opfer gefallen. Und bei 9 Prozent wurde die E-Mail-Adresse von Hackern missbraucht, um zum Beispiel Phishing-E-Mails abzusenden.
Warum sind Cyber-Attacken so häufig? Weil das grosse Geld lockt. Ein wichtiges Ziel der Hacker ist, sich in interne Netzwerke einzuschleusen und dort Daten zu stehlen. Diese können beispielsweise für Konkurrenten hochinteressant sein. Oder auch für den Hacker selbst, wenn er die Identität eines Kunden annimmt und mit dessen Kreditkarte shoppen geht. Eine andere beliebte Methode ist die moderne Lösegelderpressung, erläutert Zurich-Cyber-Experte Stephan von Watzdorf: «Man entführt nicht mehr die Tochter des Firmenchefs, sondern nimmt stattdessen alle Daten als Geisel – diese werden so lange gesperrt, bis das Unternehmen eine entsprechende Summe zahlt.» Schliesslich gibt es auch Hacker-Angriffe, bei denen es nicht ums Geld geht, sondern um einen bösartigen Spieltrieb oder um politische Anliegen.
Erschreckend: Wie die Zurich-Studie ergeben hat, verursachten die Hacker-Attacken bei 39 Prozent der betroffenen KMU einen kompletten Stillstand im Betrieb. Aufträge blieben liegen, Kunden mussten warten oder die Produktion war unterbrochen. Das allein kann fatale Folgen für das Image und die finanzielle Situation des Unternehmens haben. Wenn aber beispielsweise die Kreditkartendetails der Kunden, persönliche E-Mails oder geheime Informationen auf einschlägigen Internetseiten auftauchen, kann ein noch weit grösserer Schaden entstehen – finanziell und auch für die Glaubwürdigkeit.
Hacker-Angriffe können buchstäblich jedes Unternehmen treffen: Bekannte Grossbetriebe können aus politischen Gründen ins Visier geraten – wie das Bauunternehmen, das für eine umstrittene Religionsgemeinschaft den Hauptsitz errichtet hat und deshalb von einem Hacker-Kollektiv angegriffen wurde. Mittelgrosse «Hidden Champions» werden zum Opfer von Industriespionage oder von Erpressungsattacken. Und die ganz kleinen Unternehmen sind gefährdet, weil ihre Sicherheitsvorkehrungen oftmals schlechter sind als die der grösseren. Bei allen Unternehmenstypen sind E-Mails das häufigste Einfallstor für gezielte Cyber-Angriffe: So wird der Mitarbeitende ungewollt zum Mittäter. «Der Mensch ist das schwächste Glied», erläutert Cyber-Experte Stephan von Watzdorf.
Auch Privatpersonen sind gefährdet: Sobald die eigene E-Mail-Adresse irgendwo im Internet abrufbar ist, folgt in kürzester Zeit eine Flut von Spam-E-Mails. Darin wird für dubiose Produkte geworben – eine exotische Prinzessin bittet um Geld oder es ist ein Virus versteckt, der beim Anklicken aktiviert werden kann. Die heutigen Phishing-E-Mails imitieren Geschäfts-E-Mails hochprofessionell in Text und Gestaltung und sind deshalb schwer als solche zu erkennen. Die Kriminellen profitieren auch von der Bereitschaft der Menschen, Informationen mit Freunden und der Welt im Internet zu teilen. Ein mögliches Beispiel: Ich interessiere mich auf Facebook für die Teilnahme an einem Marathon und erhalte von einem anderen Teilnehmer einen Link zum kostenlosen Vorbereitungstraining. Doch der nette Sportler ist ein Hacker: Ein Klick auf diesen Link – und schon beginnt der Download der Schadsoftware.
Traurig, aber wahr: Hacker werden praktisch nie bestraft. Denn meistens verliert sich ihre Identität in den Weiten des Internets. Der Täter mag aus einem «Schurkenstaat» stammen und im Auftrag seiner Regierung aktiv sein. Er könnte Teil eines Hacker-Kollektivs sein, das vom organisierten Verbrechen bezahlt wird. Oder es ist das 15-jährige «Script Kiddie» aus der Nachbarschaft, das seine Attacke aus Wut über den neuen Firmenparkplatz angezettelt hat: Schliesslich kann es dort nun nicht mehr Skateboard fahren. Es ist also müssig, den Verursacher einer Cyber-Attacke zur Verantwortung ziehen zu wollen.
«Einen absoluten Schutz vor Hacker-Angriffen gibt es nicht», stellt Cyber-Experte von Watzdorf klar. «Auch die besten Massnahmen bieten keine hundertprozentige Sicherheit.» Das Risiko lässt sich aber durch ein professionelles IT-Management und eine entsprechende Schulung der Mitarbeitenden verringern. Wo Schweizer Unternehmen noch viel Aufholbedarf haben: Sie müssen sich nicht nur so gut wie möglich vor Cyber-Attacken schützen, sondern sie können auch deren Folgen abmildern. Dazu gehört, dass man Daten konsequent sichert, am besten täglich. Das Back-up muss anschliessend vom Netzwerk getrennt werden und sollte eine gewisse Zeit lang nicht überspielt werden; sonst sind die historischen Daten verloren. Ausserdem benötigt jede Firma einen Notfallplan. Dazu gehört neben der Frage nach dem Versicherungsschutz auch ein Kommunikationskonzept für den Fall der Fälle. Das Thema «Cyber» betrifft eben nicht nur die IT, wie Stephan von Watzdorf betont: «Die Folgen von Angriffen können die Existenz von Unternehmen gefährden. Deshalb muss das Thema Cyber-Attacken Chefsache sein – oder zumindest in der Verantwortung der Geschäftsleitung liegen.»
Cyber-Attacken lassen sich nie vollständig verhindern – doch die Folgen lassen sich absichern: Die neue Zurich Cyber-Versicherung für KMU kommt für bestimmte Kosten infolge eines Hacker-Angriffs auf, zum Beispiel im Zusammenhang mit der Bereinigung der Computergeräte nach einem Virenbefall oder der Wiederherstellung von beschädigten Daten. Zudem erhalten die Versicherten Zugang zu erfahrenen Juristen, welche beispielsweise bei der Geltendmachung von Schadenersatzansprüchen oder der Umsetzung rechtlicher Sofortmassnahmen beratend zur Seite stehen. Optional können sie sich auch gegen Schadenersatzansprüche von Kunden und Geschäftspartnern aufgrund gestohlener Daten absichern sowie gegen die finanziellen Folgen eines Betriebsunterbruchs nach einer Attacke.
