Denn schließlich warten neben jedem Auftrag noch administrative Aufgaben wie Buchhaltung, Personalmanagement und Marketing. Für Cybersicherheit bleibt da wenig Zeit, zumal sich die wenigsten kleinen Organisationen einen eigenen IT-Spezialisten leisten wollen (oder können), der sich um die Sicherheit kümmert.

Viele Kleinunternehmer denken zudem: Cyberkriminelle suchen sich nur die „dicken Fische“ für ihre digitalen Raubzüge aus. Kleinere Betriebe scheinen nicht interessant für sie zu sein. Dabei handelt es sich um eine Fehlannahme. Zahlreiche erfolgreiche Cyberangriffe aus der Vergangenheit zeigen, dass Unternehmen mit wenigen Mitarbeitern sehr wohl lukrative Ziele darstellen. Jedes zweite kleine und mittelständische Unternehmen ist mittlerweile Ziel von Hackerangriffen geworden. Sogar Kleinstbetriebe mit weniger als 9 Mitarbeitern finden sich häufiger (39 %) im Fadenkreuz wieder.

Diese Daten wirken auf den ersten Blick erschreckend. Das ist aber kein Grund, alle elektronischen Geräte zum Wertstoffhof zu bringen und Schreibmaschine & Co. aus dem Ruhestand zu holen. Denn die Methoden der Gauner sind bekannt. Und zahlreiche Cybersicherheitshersteller wie ESET arbeiten ständig daran, den Kriminellen den Tag zu vermiesen.

Darüber hinaus können Kleinbetriebe schon mit wenigen (auch kostenlosen) Handgriffen ihre Computersysteme vor Cyberangriffen härten. Wie das geht, lesen Sie in diesem Blogpost.

Auch kleine Unternehmen speichern wertvolle Daten

Wie eingangs erwähnt schützt auch eine geringe Größe nicht vor Hackern. Natürlich verspricht der erfolgreiche Hack eines Großkonzerns eine fette Beute. Aber auch kleinere Betriebe verfügen über Werte, die sie für Cyberkriminelle interessant machen. Insbesondere sensible Daten wie Mitarbeiterinformationen, Zahlungs- und Kundendaten sind für Hacker wertvoll – ganz egal, wie groß das Unternehmen ist, aus dem sie stammten.  

Aus den Augen von Hackern betrachtet sind diese Daten äußerst wertvoll. Sie lassen sich mit geringem Aufwand im Darknet zu schnellem Geld machen.

Darüber steht hinter jedem Cyberangriff deutlich weniger Aufwand, als man vermuten könnte: Dank Künstlicher Intelligenz lassen sie sich weitestgehend automatisieren, von der Recherche potenzieller Opfer bis hin zur Phishing-Mail. Besonders Kleinunternehmen mit rudimentärer Cyberversicherung sind für Angreifer leicht zu knacken.

Das sind die Waffen der Hacker

Cyberkriminalität ist so alt wie das Internet selbst. Mit der Zeit haben sich einige Begriffe etabliert, um die Methoden der Hacker zu beschreiben. Das hier sind die gängigsten:

Phishing und Spearphishing

Phishing-Betrüger verleiten ihre Opfer dazu, Schadsoftware herunterzuladen oder sensible Daten wie Kontozugangsdaten oder Bankinformationen preiszugeben. Die Ganoven geben sich oft als vertrauenswürdige Quellen aus und erzeugen ein falsches Gefühl der Dringlichkeit – beispielsweise durch Warnmeldungen über abgelaufene Konten –, um schnelle Maßnahmen zu veranlassen. Zu den Varianten gehören QR-Code-Phishing (Quishing), SMS-Phishing (Smishing) und Voice-Phishing per Telefon (Vishing).

Screenshot_Smishing
Ein Beispiel für eine Smishing-Nachricht (Quelle: ESET)

Eine weiterentwickelte Form des Phishing ist das sogenannte Spear-Phishing,. Dabei recherchieren Angreifer ganz gezielt Informationen über das Opfer, um dieses anschließend mit maßgeschneiderten Nachrichten zu überlisten.

Betrug mit gefälschten Rechnungen/Lieferanten/Anbietern

Betrüger versenden Rechnungen, die echt aussehen und reale Lieferanten oder Anbieter imitieren. Ihr Ziel: Unternehmen dazu zu bringen, für Waren oder Dienstleistungen zu bezahlen, die nie geliefert wurden. Diese Rechnungen nutzen oft hektische Umgebungen aus, in denen Zahlungsgenehmigungen schnell erfolgen müssen.

Screenshot_Rechnungsbetrug
Mit gestohlenen Identitäten verleihen Kriminelle ihren E-Mails Glaubhaftigkeit (Quelle: ESET)

Gefälschte Verlängerungsmitteilungen

Unternehmen erhalten betrügerische Benachrichtigungen über Verlängerungen wie Domain-Registrierungen, Gewerbescheine oder Software-Abonnements. Diese Benachrichtigungen sehen oft offiziell und dringend aus und drängen das Opfer dazu, schnell zu zahlen, ohne die Echtheit geprüft zu haben.

Screenshot_Abonnentbetrug
Gefälschte Abonnementverlängerungsmitteilung, die sich als technischer Support und Reparaturservice von Geek Squad ausgibt. (Bildquelle: Reddit)

Gefakte IHK-E-Mails

Immer wieder machen E-Mails die Runde, die scheinbar von der Industrie- und Handelskammer (IHK) stammen. In ihnen fordern Betrüger ihre Opfer beispielsweise dazu auf, ihre Handelsregisterdaten zu aktualisieren. Andernfalls drohe eine Geldbuße. Fallen Betroffene auf die Masche herein, liefern sie den Cyberkriminellen wertvolle Informationen frei Haus.

Screenshot_IHK
Die Fake-Mails sind sogar für Security-Profis schwer zu erkennen. (Quelle: IHK Wiesbaden)

Support-Betrug

Betrüger geben sich als Support-Mitarbeiter vertrauenswürdiger Unternehmen aus und behaupten, dass Ihr Gerät ein Problem habe. Um „zu helfen“, verlangen sie Fernzugriff. Anstatt aber zu helfen, versuchen die Betrüger, sensible Daten zu stehlen, Schadsoftware zu installieren oder andere Cyberangriffe durchzuführen. Besonders dreist: Oft verlangen sie sogar eine Entlohnung für ihren vermeintlichen Support-Dienst.

Screenshot_Abonnentbetrug
Eine gefälschte Sicherheitswarnung, die den betroffenen Nutzer dazu verleitet, den „technischen Support“ anzurufen.

Lieferbetrug

Bei diesen Betrügereien handelt es sich um gefälschte Nachrichten über Probleme bei der Paketzustellung. Hiermit wollen Kriminelle ihre Opfer dazu verleiten, Daten preiszugeben, bösartige Apps zu installieren oder gefälschte Gebühren zu zahlen, um das „Problem“ zu lösen.

Screenshot_DHL
Von der  ESET Telemetrie gemeldete E-Mail mit Lieferbetrug. Darin wird behauptet, dass die Zustellung fehlgeschlagen ist, und um eine Überprüfung der Lieferadresse gebeten.

So vermeiden Sie den Online-Betrug

Mit diesen Tipps können Sie Ihre Cybersicherheit einfach und messbar verbessern, ohne Ihr Budget zu überlasten:

  • Informieren Sie sich über Betrugsmaschen: Bleiben Sie über neue Bedrohungen auf dem Laufenden und achten Sie auf Warnzeichen wie verdächtige Links oder Anhänge, ungewöhnliche Zahlungsaufforderungen, dringende oder drohende Formulierungen oder Anfragen nach sensiblen Informationen. Der kostenlose, benutzerfreundliche Link-Checker von ESET kann helfen, gefährliche URLs zu vermeiden.
  • Bieten Sie Ihren Mitarbeitern Schulungen zum Thema Cybersicherheit an: Beginnen Sie mit der kostenlosen Version des ESET Cybersecurity Awareness Training.
  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA): Fügen Sie Ihren Konten nach Möglichkeit eine zusätzliche Sicherheitsebene mit MFA hinzu. Verzichten Sie auf Dienste, die grundsätzlich keine MFA unterstützen.
  • Halten Sie Ihre Software auf dem neuesten Stand: Cyberkriminelle verwenden automatisierte Tools, um unermüdlich nach bekannten Schwachstellen zu suchen. Aktualisieren Sie Ihre Software deshalb regelmäßig und schließen Sie solche Einfallstore.
  • Erstellen Sie regelmäßig Backups: So können Sie sich nach einem Cyberangriff schneller wieder erholen und Ihre Arbeit fortsetzen.
  • Nutzen Sie zuverlässige Cybersicherheit: Kostenlose oder kostengünstige Cybersicherheitslösungen mögen attraktiv erscheinen, haben jedoch ihre Grenzen. Suchen Sie nach einem Anbieter, der die Bedürfnisse von kleinen und mittleren Unternehmen kennt und seine Produkte darauf ausgerichtet hat. Vergessen Sie nicht, alle Ihre Geräte abzudecken – PCs, Smartphones, Tablets und Server. 

Was tun bei einem erfolgreichen Cyberangriff?

Wenn Sie sich mitten in einem laufenden Betrug befinden, geraten Sie nicht in Panik. Es gibt noch Hoffnung, (relativ) unbeschadet davonzukommen. Hier sind einige Sofortmaßnahmen für den Ernstfall:

  • Geben Sie den mutmaßlichen Angreifern keine weiteren Informationen.
  • Trennen Sie alle betroffenen Systeme vom Netzwerk und führen Sie einen Malware-Scan durch.
  • Überprüfen Sie Ihre Konten auf ungewöhnliche Aktivitäten und ändern Sie alle Passwörter.
  • Melden Sie den Vorfall den Behörden. In Deutschland ist dafür die Polizei zuständig. Über die Online-Wache können Sie Anzeige erstatten.
  • Informieren Sie die anderen Mitarbeiter, und wenn Kundendaten betroffen sind, erstellen Sie einen klaren Kommunikationsplan. Beachten Sie zudem die gesetzlichen Meldepflichten bei Datenlecks. Diese beträgt für gewöhnlich 72 Stunden nach Bekanntwerden der Datenpanne.
  • Sammeln und speichern Sie alle Dokumente und elektronischen Mitteilungen im Zusammenhang mit dem Betrugsfall. Diese können dabei Strafverfolgern helfen.
  • Halten Sie Ihre Daten im Auge. Betrüger können gestohlene Daten im Darknet verkaufen und für Identitätsbetrug missbrauchen.
  • Bleiben Sie wachsam. Cyberkriminelle greifen immer wieder an, sobald sie einmal „den Fuß in der Tür“ haben. Sind Sie einmal auf Phishing oder Telefonbetrug hereingefallen, lässt der nächste Angriff für gewöhnlich nicht lange auf sich warten.

Wie ESET kleine Unternehmen schützt

Wie also vorgehen, um sowohl das Tagesgeschäft priorisieren zu können als auch sicher vor Angriffen zu sein? Die Antwort dazu liefert ESET. Mit seinem Lösungspaket ESET Small Business Security gibt der Hersteller Kleinunternehmen genau die Werkzeuge an die Hand, die sie brauchen.

Sicher vor Cybergefahren des Geschäftsalltags

Im täglichen Einsatz zeigt sich der Mehrwert der ESET Small Business Security über mehrere Schutzfunktionen:

  • Anti-Phishing – reduziert das Risiko, auf perfekt gefälschte Login-Seiten hereinzufallen
  • Sicheres Banking & Surfen – schirmt Zahlvorgänge und Browser-Sitzungen ab
  • Datenverschlüsselung – schützt besonders sensible Informationen
  • Unbegrenztes VPN – verschlüsselt alle Verbindungen
  • Cloudbasierte Analyse – erkennt auch neuartige Bedrohungen zuverlässig
  • Ransomware-Behebung – stellt verschlüsselte Dateien bei einem Angriffsversuch wieder her
  • Diebstahlschutz – Sperrung und Ortung vermisster Geräte
  • Verschlüsselung von Dateien & Wechseldatenträgern
  • Kosteneffizient und für beruflich wie privat genutzte Geräte geeignet
  • Alltagstauglich – passt sich dem realen Arbeitstag von Selbständigen und kleinen Betrieben an

Made in EU: Pflicht für kleine Betriebe

IT-Sicherheitsanbieter arbeiten mit vielen Daten, um ihre Kunden zu schützen. Umso wichtiger ist ein konsequenter Datenschutz. Von Entwicklung über Betrieb bis Datenverarbeitung: Alles findet innerhalb Europas statt – unter strengen Datenschutzvorgaben (DSGVO), transparenter Governance und unter Einhaltung europäischer Werte. „Made in EU“ ist bei der ESET Small Business Security also mehr als ein Label. Selbständige und kleine Unternehmen haben gleich mehrere Vorteile:

  • weniger Abhängigkeit von Anbietern außerhalb der EU
  • höhere Planungssicherheit
  • ein Plus an Vertrauen bei Kunden und Partnern

Im Gegensatz zu außereuropäischen Anbietern garantiert ESET Small Security Business keinen unzulässigen Datenabfluss, keine Hintertüren und keine verpflichtenden Zugänge für Dritte. Als Unternehmer behalten Sie die Hoheit über Ihre Daten und Infrastruktur. Gerade in politisch unsicheren Zeiten ist die Herkunft der Sicherheitslösung nicht nur ein strategischer, sondern entscheidender Faktor.