Kleine Unternehmen als Einfallstor für Hacker

Sie schicken fingierte Mails oder zapfen Mitarbeiterdaten an. So wollen Betrüger aus der ganzen Welt an Geld oder geheime Daten von Schweizer Unternehmen kommen – und das immer öfter. Zwar versuchen die Firmen, sich gegen Hackerangriffe zu schützen. Doch gerade die KMU tun sich oft schwer damit.

Zwei Hände auf einer Laptoptastatur, viele grün leuchtende Zahlen auf dem Display.

Bildlegende: Ist ein Netzwerk eines KMU ungeschützt, reiben sich Cyberkriminelle die Hände. Reuters

Ohne Internet geht in der Wirtschaftswelt heute nichts mehr. Das wissen auch Cyberkriminelle. Und sie nutzen das aus. Martin Eling vom Institut für Versicherungswirtschaft der Universität St. Gallen hat untersucht, wer am stärksten gefährdet ist: «Wir haben uns das im Rahmen unserer aktuellen Studie angeschaut und grosse und kleine Unternehmen miteinander verglichen. Wir sehen verstärkt, dass gerade KMU von Cyberkriminalität betroffen sind.» Dabei werden die Kriminellen im Netz immer raffinierter.

Auch wenn heute den meisten Internetnutzern bewusst ist, dass überall Gefahren lauern, schaffen es die Betrüger meistens doch, sagt Tobias Bolliger von der Koordinationsstelle zur Bekämpfung der Internetkriminalität des Bundes (Kobik): «Die Cyberkriminellen spionieren die sozialen Netzwerke nach Informationen über Mitarbeiter eines Unternehmens aus. Mit diesen Informationen gewinnen sie das Vertrauen von Stellen, die ihnen Finanzdienstleistungen auslösen oder weitere Vorteile verschaffen können.»

Den KMU fehlen technische Möglichkeiten

Das heisst, sie leiten Geld aufs eigene Konto um oder bekommen Zugang zu Daten, die sie dann für Erpressungsversuche benutzen. Im letzten Jahr hat die Kobik eine Rekordzahl von Meldungen bekommen: Über 10'000 Fälle – davon fast 70 Prozent Wirtschaftsdelikte.

Auch hier bestätigt sich: Betroffen sind zunehmend kleine und mittlere Firmen, die sogenannten KMU: «KMU haben im Gegensatz zu grossen Unternehmen nicht die gleichen Möglichkeiten, sich einen technischen Schutz zu leisten. Andererseits sind die Mitarbeiter oftmals nicht gleich sensibilisiert punkto Datensicherheit.»

Die Firma Netstal in Näfels im Kanton Glarus kennt das Problem. Die High-Tech-Firma stellt hochpräzise Maschinen für die Spritzgiesstechnik her. Angriffe auf Firmengeheimnisse gab es bis jetzt zwar noch nicht. Aber verschont blieb die Firma trotzdem nicht, sagt Pressesprecherin Christine Grob: «Das waren zum Beispiel Phishing-E-Mails, die aussahen wie E-Mails von Postfinance zum Beispiel, die beim Öffnen einen Virus aktiviert haben oder ähnliches.»

Via Zulieferer in die grossen Unternehmen

Netstal konnte bis jetzt immer rechtzeitig reagieren, auch wenn das KMU aus dem Glarnerland nicht so viele Computer-Spezialisten beschäftigen kann wie ein grosses Unternehmen. Eling von der Uni St. Gallen sagt, Internetkriminelle nutzen genau deshalb die schlechter geschützten KMU sozusagen als Einfallstor: «Was die Kriminellen versuchen, ist über die Zulieferer an Daten in grösseren Unternehmen heranzukommen. Da scheint es aktuell so zu sein, dass die KMU das leichteste Ziel sind.»

Dabei kommt den Angreifern ein Umstand entgegen: Bei vielen KMU laufen heute immer mehr Informationen über Apps auf den Mobiltelefonen. «Diese sind besonders anfällig auf Hackerattacken und werden sehr häufig, gerade bei KMU, für den Zugang zu sensiblen Daten gebraucht.»

Bei Netstal ist man sich bewusst, dass Cyberkriminelle über private Handys und Computer der Mitarbeiter angreifen, sagt Grob: «Unsere Mitarbeiter werden grundsätzlich sensibilisiert, dass sie sich bewusst sind, welche E-Mails sie öffnen. Wir versuchen auch Facebook und so weiter zu unterbinden, damit keine Möglichkeit besteht, uns zu schädigen.»

Versicherungen in der Schweiz kein Renner

Firmen können sich in der Schweiz seit einiger Zeit auch gegen Cyberkriminalität versichern. Doch noch machen davon nur wenige Gebrauch. Lediglich für fünf Millionen Franken wurden letztes Jahr Versicherungen abgeschlossen, während in den USA bereits Cyberversicherungen für 1,3 Milliarden Dollar verkauft wurden.

Für den Gewerbeverband sind Versicherungen aber nicht unbedingt nötig, sagt Direktor Hans-Ulrich Bigler: «Ich glaube, viel sinnvoller, als das Risiko abzusichern, ist die Vorsorge, dass der Schaden gar nicht erst eintritt.» Doch das ist nicht einfach: Internetkriminelle ändern ständig ihre Methoden. Bereiten sich die Unternehmen nicht vor und wird der private Zugang auf Firmendaten nicht laufend angepasst, dann werden KMU auch in Zukunft vermehrt Opfer von Angriffen.