ie Corona-Pandemie scheint in den Köpfen von Internetkriminellen besondere Kreativität freigesetzt zu haben. Aktuelle Inzidenzzahlen, Angebote für Masken oder der langersehnte Termin für die Impfung: Immer wieder trudeln mal mehr, mal weniger professionell gestaltete Spam-E-Mails ein. Selbst die Grafik, mit der die Johns-Hopkins-Universität über die Ausbreitung der Pandemie informierte, haben Hacker kopiert. Wer sie aufrief, bekam zwar vordergründig auch eine Infografik zu sehen. Im Hintergrund aber installierte die Seite eine Schadsoftware. Das Ziel der Angreifer: Passwörter, Kontoinfos, Daten klauen, um sie dann weiterzuverkaufen.

Angst vor der Attacke aus dem Netz

Ein Aufwand, der sich für die Kriminellen lohnt – und erheblichen Schaden anrichtet. Rund 223 Milliarden Euro sind dadurch in den Jahren 2020 und 2021 per annum zusammengekommen. Das hat eine vom IT-Branchenverband Bitkom durchgeführte Studie ergeben. Damit ist die Schadensumme mehr als doppelt so hoch wie bei der letzten Befragung 2019, damals lag sie bei rund 103 Milliarden Euro. „Schockierend“, sagte Bitkom-Präsident Achim Berg, als er diese Zahlen vorstellte – und „niemand kann sich da mehr wegducken.“ Neun von zehn Unternehmen gaben bei der Bitkom-Befragung an, bereits attackiert worden zu sein. 2017 waren es nur 50 Prozent. Entsprechend groß ist auch die Angst der Unternehmen. Laut KMU-Studie der Gothaer fürchten fast die Hälfte (47 Prozent) der Firmen Attacken aus dem Netz. Mehr noch als einen Betriebsausfall (43 Prozent) oder menschliches Versagen (37 Prozent).

Auch Florian Salm beobachtet die Entwicklung mit Sorge. „Die Frequenz gibt dem Gefühl Recht“, sagt er: „Die Schadenfälle häufen sich.“ Salm ist Risikomanager bei der Gothaer. Wenn eine Maklerin oder ein Makler mit einer Kundenanfrage auf ihn zukommen, kalkuliert er das Risiko und prüft einen Vorschlag für eine Cyber-Police. Schäden, sagt Salm, könnten in zwei Richtungen auftreten: „Die Attacke kann sowohl einen Haftpflicht- als auch einen Eigenschaden für das betroffene Unternehmen auslösen. Haftpflichtschäden können etwa nach dem Diebstahl vertraulich gespeicherter Kundendaten oder aber auch der Weiterleitung eines Virus aus dem eigenen System entstehen. Im Rahmen der Eigenschäden werden Betriebsunterbrechungsschäden, diverse Kosten als auch Lösegelder subsumiert.“ Häufiger und kostspieliger seien in Deutschland und Europa in den letzten Jahren Eigenschäden aufgetreten, erklärt der Experte.

Cyberkriminelle verursachten 2020 und 2021 pro Jahr Schäden in Höhe von 223 Milliarden Euro.

Immer mehr Probleme durch Phishing-Software und fingierte Mails

Den Angreifern ist der Schaden jedoch zunächst mal egal. „Sie haben nur ein Ziel“, sagt Salm: „Sie wollen den Angriff zu Geld machen.“ Das funktioniert etwa, indem sie Systeme von Unternehmen verschlüsseln und erst gegen ein Lösegeld wieder entsperren. Oder Daten klauen und dann weiterverkaufen. Für beides gibt es bereits ganz einfache Möglichkeiten.

Die womöglich billigste Methode ist das sogenannte Phishing. Ein Konstrukt aus den Worten „Password“ und „Fishing“. Das Ziel klingt also bereits im Namen mit: Passwörter abfischen. Und gerne noch ein paar weitere Daten dazu. Das gelingt etwa mit jenen fingierten Mails, wie sie dem Anschein nach auch die Johns Hopkins Universität verschickt haben soll. Die Nutzerin und der Nutzer klicken dann auf einen Link oder Mail-Anhang – und schon hängt sie oder er am Haken der Hacker; meist sogar unbemerkt. Fünf Milliarden solcher Mails werden jeden Tag um die Welt geschickt, das ist etwa die Hälfte des gesamten weltweiten Mailverkehrs.

Die E-Mail ist aber nicht nur beliebtes Transportmittel für Phishing-Software. Auch Viren, Trojaner oder sogenannte Ransomeware werden immer häufiger per Mail verschickt. Das sind dann jene Attacken, durch die Computersysteme lahmgelegt oder Datensätze gesperrt und erst gegen Lösegeld wieder freigegeben werden. „Das Problem ist jedoch nicht nur das Lösegeld“, sagt Salm. „Durch den Angriff können sowohl Störungen im Betriebsablauf als auch schwerwiegende Schädigungen innerhalb des IT-Systems auftreten, diese Schäden sind erfahrungsgemäß noch viel größer.“ Fachleute gehen deshalb davon aus, dass die Kosten durch eben diese Betriebsausfälle die Schadensumme durch Lösegeldzahlungen bei vielen Unternehmen bald deutlich übersteigen werden. Umso wichtiger für Betriebe, sich auch dagegen zu schützen.

Der Datenklau aus dem Netz nimmt zu.

Die Phishing-Mail ist bei Cyberkriminellen besonders beliebt.

Mitarbeitende für Cyberangriffe sensibilisieren

Dieser Schutz beginnt bereits bei den Angestellten. „Häufig sind es die Fehler von Menschen, die Cyberattacken überhaupt erst ermöglichen“, sagt Salm. Bestes Beispiel: Der Klick auf den Link oder Anhang einer Mail. Tatsächlich gelingen zwei von drei Cyberattacken auf genau diese Art und Weise, hat das Forsa-Institut in einer Umfrage herausgefunden. „Deshalb müssen Unternehmen ihre Mitarbeitenden für solche Mails sensibilisieren“, erklärt der Experte. „Awareness“ sagt er dazu.

Zweiter Schritt ist die technische Infrastruktur. Systeme müssen mit aktueller Software geschützt, Verbindungen mit sogenannten Keys, also Verschlüsselungen, gesichert werden. Corona und der plötzliche Umzug ins Homeoffice hat diese Voraussetzungen nicht gerade verbessert. In vielen Firmen haben die Angestellten ihre Computer einfach mit nach Hause genommen. Dort sitzen sie aber nicht hinter der betriebseigenen Firewall, sondern ihrer Fritz-Box. Und auch die Hardware ist selten ausreichend gesichert, verfügt häufig nicht einmal über ein Passwort, geschweige denn Multi-Faktor-Authentifizierung.

Wege für besseren Schutz im Internet

Das Risikomanagement eines Unternehmens kann über ein Cyber-Police sinnvoll ergänzt werden. Das Produkt der Gothaer zum Beispiel schützt dabei nicht nur vor den direkten Folgen eines Angriffs und hilft dabei, den Schaden technisch zu lösen und finanziell zu beheben, sondern unterstützt auch bei der Prävention, etwa durch die Schulung der Mitarbeiterinnen und Mitarbeiter.

Bisher machen Unternehmen beim Cyberschutz aber noch zu wenig, beobachtet Gothaer Experte Salm. Man könnte auch sagen: Die Angst ist groß, der Schutz gering. Gerade einmal 22 Prozent der mittelständischen Unternehmen planen laut KMU-Studie, in den kommenden zwei Jahren eine entsprechende Police abzuschließen. Salm erklärt sich das mit der Abstraktheit der Gefahr. „Viele können sich unter Hacker-Attacken noch immer nichts vorstellen“, sagt er. „Ein Sturm ist da schon eingängiger, dagegen sind sie alle versichert.“ Beraterinnen und Beratern gibt der Fachmann deshalb einen einfachen Tipp. „Sie sollten ihre Kundschaft fragen, wer im Umkreis von 50 Kilometern gegen Feuer versichert ist und bei wem es tatsächlich bisher gebrannt hat. Brände hat es sicher nicht viele gegeben, Policen dagegen schon. Und dann sollten sie fragen, wer in diesem Umkreis gegen Cyberattacken versichert ist und bei wem es einen Angriff gab. Ich sage: Da wird es deutlich mehr Fälle gegeben haben – und deutlich weniger Schutz.“