Cybercrime, Kleinstunternehmer und Freelancer: So anfällig sind die wirtschaftlich Kleinsten wirklich

Als Digizens und Netizens wisst ihr es wahrscheinlich: Wer online ist, der ist letztendlich automatisch aus unterschiedlichsten Gründen für Cyberkriminelle interessant – und sei es nur, um einen PC zum unfreiwilligen Teil eines Botnets zu machen.

Angesichts dessen darf es nicht verwundern, dass die Black Hats dieser Welt sich besonders gerne Ziele vornehmen, bei denen das Verhältnis zwischen Aufwand und Ertrag besonders günstig ist. Ihr glaubt, damit wären Großunternehmen zwischen Amazon und ZF Friedrichshafen die einzigen „Prime Targets“ der Cyberkriminellen? Mitnichten.

Schon seit Jahren berichten Kriminalitätsbekämpfer aus aller Welt, wie stark der Hacker-Fokus auch in Richtung der wirtschaftlich Kleinsten gerückt sind: Freelancer, die auftragsbezogen für unterschiedlichste Betriebe arbeiten und definitionsgemäße Kleinstunternehmen, bei denen der Gründer häufig sein einziger Angestellter ist.

Doch warum gehen Cyberkriminelle so stark auf diese Kreise los? Und was könnt ihr tun, wenn ihr selbst zu dieser Risikogruppe gehört?

Kleine Firma = kleines Ziel? Falsch gedacht

Warum sollte sich ein Hacker jemanden vornehmen, der höchstens eine oder zwei Millionen Euro Jahresumsatz macht, wenn es viel größere Unternehmen gibt, bei denen nicht nur deutlich mehr zu holen ist, sondern die man überdies, etwa per Ransomware, perfekt erpressen kann?

Wenn ihr euch solche Fragen stellt, dann liegt ihr definitiv nicht falsch. Folgendermaßen sieht das Bundeskriminalamt die Sachlage:

Wie im Jahr 2020 sind größere Unternehmen tendentiell eher
‚Ziele von Cyberangriffen. Grundsätzlich ist allerdings die
Prävalenzrate für alle Unternehmensgrößen angestiegen
.“

Alles also sicher? Sind tatsächlich nur die großen Namen ebenso große Ziele? Klares Nein. Das liegt vor allem daran, weil der Fokus von Hackern auf Kleinstunternehmen und Freelancer schon seit Jahren recht stark ist. Dazu ein etwas älterer Forschungsbericht des kriminologischen Forschungsinstituts Niedersachsen:

„[…] berichtet Bitkom, dass Industrieunternehmen mit mehr als
500 Mitarbeitern mit einem Anteil von 60 % weniger von
Cyberangriffen betroffen sind als kleinere Unternehmen
[…] Das Mobilfunkunternehmen Verizon stellt dar, dass der
überwiegende Teil (58 %) der betrachteten Data Breaches über
alle Branchen hinweg bei den kleinen Unternehmen auftritt […]“

Zusammengefasst: Die wirtschaftlich Kleinsten sind zwar nicht das einzige Primärziel von Cyberkriminellen. Aber sie sind keineswegs zu klein, um völlig unter deren Radar existieren zu können. Dazu vielleicht noch eine weitere Statistik: 64 Prozent des Senior Managements und immerhin 24 Prozent des Freelance Supports sind in Unternehmen die wahrscheinlichsten Positionen für Cyberattacken – beides sind Jobs unabhängig von der Unternehmensgröße.

Warum groß, wenn es klein geht – die Anfälligkeiten der Kleinsten

Selbst, wenn ihr es noch nie mit einem Hacker der kriminellen Sorte zu tun hattet, könnt ihr euch wahrscheinlich vorstellen, dass es bei denen ebenfalls unterschiedlichste Ebenen von technischen Fähigkeiten und allgemein digitalen Skills gibt.

Wenn ihr diese Tatsache mit den Zielqualitäten und Abwehrfähigkeiten je nach Unternehmensgröße abgleicht, liegt die Lösung auf der Hand:

  • In großen Unternehmen gibt es oftmals viel in Sachen Finanzmittel und ebenfalls geldwerten Plänen zu stehlen. Außerdem sind diese Firmen meist liquide genug, um bei Ransomware-Attacken selbst höhere Forderungen problemlos bezahlen zu können. Jedoch: Wer so groß ist, der ist sich seiner herausragenden Situation bewusst und hat das Geld, eigene Abteilungen nur mit IT-Sicherheitsprofis zu beschäftigen.
  • In kleinen Unternehmen gibt es oftmals insgesamt weniger zu holen. Aber: Erstens haben diese „Zwerge“ vielfach dennoch überraschend hohe Mittel; einige Zehn- oder Hunderttausend Euro sind schließlich ebenfalls eine gute Beute. Zweitens sind für Datendiebe interessante Ideen, Pläne und andere Datensätze in Sachen Wertigkeit nicht an die Unternehmensgröße geknüpft. Und drittens fehlt gerade diesen Kleinen oftmals die nötige Awareness für die Gefahr, in der sie schweben.
Ein Ingenieur arbeitet am Rechner an einer Skizze.
Absolut jeder Selbstständige hat etwas von Wert für Hacker. Zu wenige sind sich jedoch dieser Tatsache bewusst.
stock.adobe.com © lenetsnikolai
  • Die wirklich großen Unternehmen kann nur eine Hacker-Elite angreifen. Kleinstbetriebe und Freelancer hingegen können „von jedem“ attackiert werden, der sich halbwegs darauf versteht. Selbst, wenn ein einzelner Hack keine Millionensummen beschert (was, wie erwähnt, kein Automatismus ist), so macht es spätestens die Masse – mehrere Attacken auf verschiedene kleinste Ziele.
  • Bei den Freelancern kommt zudem noch eine Besonderheit hinzu: Viele von ihnen arbeiten für große Auftraggeber; teilweise sogar in deren Räumlichkeiten. Oftmals jedoch sind die Freischaffenden nicht so stark in die strenge Inhouse-Sicherheit eingebunden wie die Festangestellten.

Sicher werden, sicher bleiben: 6 goldene Regeln für Kleinstunternehmen und Freelancer

Ihr gehört zu einer der genannten Gruppen von Selbstständigen? Haben die vorangegangenen Zeilen ein ungutes Gefühl ausgelöst? Dann hat der Artikel ein wichtiges Zwischenziel erreicht: Awareness schaffen.

Denn die wichtigste Basis, um in Sachen Cybercrime ein weniger lohnenswertes Ziel zu werden ist, sich überhaupt seiner Bedrohung bewusst zu sein. Auf einen Merksatz heruntergebrochen klingt das so:

Völlig gleich, wie klein euer Unternehmen ist oder in welcher Branche es operiert. Wenn ihr auch nur geringste digitale Mittel verwendet, Umsätze erwirtschaftet und verwertbare Daten besitzt, dann seid ihr für Hacker interessant und werdet früher oder später angegriffen.

Das soll euch keine Angst machen, bloß ein sicherheitsbewusstes Mindset erwecken. Ihr schließt ja schließlich selbst dann die Haustür ab, wenn bei euch keine paar Tausend Euro in der Wohnung liegen.

Doch was könnt ihr als Kleinstgewerbetreibende oder Freelancer tun, wenn die Awareness geweckt ist? Im Höchstmaß empfehlenswert wäre es, alle der folgenden Punkte restlos anzusprechen.

#1 Lasst euch analysieren und beraten:

Cybercrime ist ein Business, das zigtausende Angriffsvektoren kennt. Es ist für Einzelpersonen weitgehend unmöglich, alle davon nicht nur zu kennen, sondern ihre Systeme obendrein ständig gegen sämtliche Bedrohungen zu sichern.

Dringend solltet ihr deshalb nicht nur eure unternehmerische Bedrohungslage, sondern ebenso die Stärken und Schwächen eurer genutzten Systeme analysieren lassen. Was Fachleute euch raten, solltet ihr deshalb dringend umsetzen – und sie je nach Bedrohungslage sogar generell anheuern, um eure Cybersicherheit dauerhaft zu gewährleisten.

#2: Vermischt niemals Privates und Berufliches – in digitaler Hinsicht:

Schutz gegen Cybercrime besteht darin, so viele Einfallstore wie möglich gänzlich zu verschließen, damit man sich nur noch auf einige wenige Vektoren konzentrieren muss.

Diesbezüglich solltet ihr im Digitalen Beruf und Privatleben strikt trennen. Eure Kundendaten liegen auf demselben Notebook, auf dem ihr nach Feierabend surft? Euer Arbeitshandy ist eurer einziges Handy? Ob ihr für euch oder einen Kunden programmiert, hängt lediglich von der Tageszeit ab, nicht dem Programm oder gar dem Rechner?

In solchen und anderen Fällen solltet ihr dringend handeln. Die Kurzversion: Was ihr für die Selbstständigkeit nutzt, sollte niemals für Privatbelange verwendet werden – und umgekehrt.

Tipp: In Sachen Internet kann es niemals schaden, wenigstens wichtige Verbindungen nur über das bekanntlich sehr sichere Tor-Netzwerk aufzubauen.

#3: Seid bei der Software-Aktualisierung sehr penibel:

Ja, Aktualisierungen können stören. Insbesondere, wenn sie einen Neustart verlangen. Dennoch solltet ihr tatsächlich jede Aktualisierung zwischen Betriebssystem und nebensächlichstem Programm immer durchführen, sobald sie verfügbar ist.

Denn praktisch jede Aktualisierung behebt eine Schwachstelle, die zuvor wenigstens theoretisch durch Hacker ausgenutzt werden konnte. Jede Aktualisierung bedeutet daher ein Sicherheitsplus.

#4: Lasst das Thema Passwörter niemals schleifen

Als Kleinstunternehmenstreibende oder Freelancer habt ihr gegenüber allen anderen Unternehmen einen riesigen Sicherheitsvorteil – der leider jedoch nur selten genutzt wird. Bei großen Unternehmen ist ein sicherheitsorientiertes Passwortmanagement ein extrem komplexer Prozess. Schon, weil so viele Menschen die Passwörter kennen müssen.

Bei euch hingegen muss bestenfalls nur ein Akteur diese Passwörter kennen. Das solltet ihr nutzen, um es Angreifern richtig schwer zu machen:

  • Vergesst alles über Passsätze und ähnliche menschlichen Passwörter. Wenn es menschgemacht ist, ist es logisch und daher leichter zu knacken. Nutzt einen verfügbaren Generator und lasst euch von dem mindestens 15-stellige, „unmenschliche“ Passwörter generieren – für jede Anwendung ein anderes.
  • Verwendet einen kommerziellen Passworttresor, um darin all diese Codes abzulegen, dann müsst ihr nur einen Schlüssel besitzen.
  • Wenn ihr für die Arbeit externe Datenträger nutzt, dann verschlüsselt diese ebenfalls mit entsprechenden Tools.

#5: Besitzt stets von allem Kopien:

Ransomware-Angriffe sind deshalb so erfolgreich, weil die Unternehmen nicht mehr an ihre eigenen Systeme und Daten gelangen. Zumindest für eure wichtigsten Datensätze (etwa Kunden-, Finanz- oder Steuerdaten) sollte es deshalb stets aktuelle Kopien geben.

Dazu könnt ihr Programme nutzen, die bei jeder Änderung eine aktualisierte Kopie auf einem angeschlossenen Datenträger erstellen. Achtet jedoch unbedingt darauf, diesen Speicher niemals dauerhaft mit eurem Netzwerk verbunden zu haben. Nur dann ist die Wahrscheinlichkeit niedrig, bei einer Attacke ebenfalls betroffen zu sein.

#6: Haltet euer Wissen stets aktuell

Selbst, wenn ihr eine Firma damit beauftragt, eure Cybersicherheit zu übernehmen, könnt ihr dennoch zum Ziel werden. Der Grund? Längst ist Cybercrime mehr als nur Angriffe auf digitale Systeme durchs Netzwerk.  

Allein, was Phishing anbelangt, gibt es unzählige Maschen und bald täglich kommen weitere hinzu. Und was Hacker schon heute dank KI-Werkzeugen anstellen können, ist erschreckend – etwa die Stimme eines Kunden täuschend echt nachmachen und euch in ein natürlich klingendes Telefongespräch verwickeln, bis ihr im besten Glauben beispielsweise Geld oder Projektunterlagen herausgebt. Lest dazu gerne, was die US National Security Commission on Artificial Intelligence zu sagen hat.

Sowohl IHK als auch HWK und nicht zuletzt die Polizeien veranstalten immer wieder Cybercrime-Info-Veranstaltungen speziell für Gewerbetreibende und geben Briefings heraus – neben anderen Akteuren. Nutzt sowas unbedingt. Denn das Thema Cybersicherheit gehört einfach heute zum normalen Berufswissen ebenso dazu wie das Thema Steuern oder Datenschutzgesetze.


Image via stock.adobe.com © Syda Productions


Artikel per E-Mail verschicken