Sicherheit für kleine Unternehmen 2025

Shownotes

Kleine Unternehmen unterschätzen immer wieder ihr eigenes Risiko in Bezug auf digitale Sicherheit.

Das soll sich in diesem Jahr ändern!
Denn Hacker lieben kleine Unternehmen und suchen sie sich gerne aus, um dort ihre bösen Spiele zu spielen. Und das hat mehrere Gründe, die du in diesem Podcast erfährst.

Links

Sind meine Email und mein Passwort noch sicher?: Have I been pwned?

eRecht24 – Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?: 

Transkript

Zuerst einmal ein frohes neues Jahr. Ich weiß nicht, wie es dir geht, aber ich habe das Gefühl, dass 2024 mega schnell an mir vorbeigegangen ist. Mit ein Grund für die ungeplante Pause bei HackerFrei.

Aber nun ist ein neues Jahr angebrochen und ich habe mit HackerFrei und den Hacker-Geschichten viel vor.

Zum Jahresbeginn gibt es heute einen etwas anderen Podcast. Keine Geschichte, sondern ein paar Hintergrundinformationen. Denn ich habe in den letzten Monaten oft festgestellt, dass es viele Missverständnisse zum Thema digitale Sicherheit gibt. Und mit denen sollten wir mal aufräumen:

Von Zeit zu Zeit hört man in den Nachrichten von Cyber-Angriffen. Oft handelt es sich dabei um groß angelegte Angriffe, die eine Vielzahl von Geräten betreffen. Wenn es sich um gezielte Angriffe handelt, sind die Opfer meist große Unternehmen, manchmal Mittelständler und ab und zu ein paar Behörden, die Hackern zum Opfer gefallen sind.

Dann wird ein bisschen über IT-Sicherheit geredet, dass wir besser werden müssen, und dann ist das Thema für die meisten wieder vergessen.

Und genau hier liegt das Problem.

IT-Sicherheit in Unternehmen und zu Hause

Im Internet ist es wie in der realen Welt.

Wenn man sich das Internet wie eine Stadt vorstellt, dann gibt es schöne Einkaufsstraßen, tolle Dienstleistungen und Angebote, gemütliche Café und Parks.

Aber es gibt auch das Bahnhofsviertel, in dem Kriminalität an der Tagesordnung ist, den einen Park, in dem man nach Einbruch der Dunkelheit nicht spazieren gehen sollte, und jede Menge zwielichtige Gestalten, die einem meistens nicht Gutes wollen.

Es gibt keine wirkliche Aufklärung über die Gefahren des Internets

Versteh mich nicht falsch, ich liebe das Internet. Ich verbringe die meiste Zeit des Tages im Internet und genieße die vielen Vorteile, die diese “neuen” Technologien mit sich gebracht haben.

Aber ich mache mir auch keine Illusionen.

Das Internet hat vielen Kriminellen eine völlig neue Einnahmequelle eröffnet. Eine globale, was die Sache noch schwieriger macht. Viele Betrüger, Hacker oder Kriminelle sitzen im Ausland, was Verhaftungen natürlich erschwert und immer neue Kriminelle anlockt, da sie wenig bis keine Konsequenzen zu erwarten haben.

Gleichzeitig sitzen wir im “reichen Westen”, was uns zu einem beliebten Ziel macht.

Leider haben wie oft eine sehr naive Vorstellung von Digitalisierung und Internet. Nach meinen Erfahrungen denken mindestens 90% aller Internetnutzer, wenn sie das Internet nutzen, “mir wird schon nichts passieren”.

Wer würde, übertragen auf die reale Welt, jeden Morgen seine Haustür offen lassen und denken, “es wird schon gutgehen”?

Das Fiese an Angriffen im Internet ist, dass man es oft gar nicht merkt. Vielleicht hast du schon Schadsoftware auf deinem Computer oder dein Laptop ist ein Teil eines Botnetzes? Oft merken Nutzerinnen und Nutzer gar nicht oder erst viel später, dass sie Opfer eines Hackers geworden sind.

Gestohlene Daten können erst nach einiger Zeit wieder auftauchen, z.B. weil jemand mit deinen Daten Identitätsdiebstahl begeht. Und eine gehackte Website fällt dir vielleicht erst auf, wenn die Kunden wegbleiben.

Keine Angst – aber ein gesundes Misstrauen

Ich will dir das Internet und die Digitalisierung nicht schlecht machen, im Gegenteil. Ich will dich über die Risiken aufklären, damit du nicht zum Opfer wirst. Und hier kommt die IT-Sicherheit oder digitale Sicherheit ins Spiel.

Unter IT-Sicherheit versteht man den Schutz von IT-Systemen vor Bedrohungen und Schäden. Das reicht von der einzelnen Datei über Computer, mobile Geräte, Netzwerke, Cloud-Dienste bis hin zu riesengroßen Rechenzentren.

Auf der Suche nach IT-Sicherheit stößt man auf viele Informationen, meist recht kompliziert und mit vielen Fachbegriffen. Und das schreckt ab! Ich kann verstehen, dass die meisten Menschen bei diesem Thema schnell abschalten und sich lieber gar nicht damit beschäftigen.

Das führt dann dazu, dass sie immer noch keine Ahnung haben, welche Gefahren da draussen auf sie lauern.

Und ja, IT kann wahnsinnig kompliziert und komplex sein, aber man muss kein IT-Experte sein, um zu wissen, wie man sich online sicherer bewegen kann und welche Fallen es zu vermeiden gilt.

Doch was genau ist IT-Sicherheit

Ich verstehe unter IT-Sicherheit alles, was dich online sicherer macht, damit du dich risikoarm und mit Freude im digitalen Raum bewegen und alle Vorteile nutzen kannst, ohne die Nachteile mitzunehmen.

IT-Sicherheit sollte jeden interessieren, der das Internet nutzt. Unabhängig davon, ob es nur für Emails und Online-Shopping genutzt wird oder ob das gesamte Geschäftsmodell online abgewickelt wird.

Aber zu wissen, wie es funktioniert, welche Betrugsmaschen besonders beliebt sind, wie man seine Geräte frei von Hackern und Viren hält und welche Sicherheitsmaßnahmen besonders wichtig sind, sollte gerade für Unternehmen wichtig sein.

Im Grunde bedeutet IT-Sicherheit nichts anderes, als dass du deine Daten, deine Informationen, vor Diebstahl oder Manipulation schützt.

Damit niemand auf deine privaten und sensiblen Informationen wie Name und Adresse, Finanzinformationen, Kundendaten oder alle anderen digitalen Informationen zugreifen kann, wenn du es nicht ausdrücklich wünschst. Sei es auf deinem Computer, deinem Handy, anderen Geräten oder während du sie über das Internet versendest.

Cybersicherheit ist wie physische Sicherheit.

Wenn du dir deine digitalen Geräte wie ein Haus vorstellst, dann ist IT-Sicherheit der Schutz vor Einbrechern. Wie ein gutes Türschloss, eine Erinnerung, die Fenster zu schließen oder eine Alarmanlage.

Und wie beim physischen Schutz eines Hauses hängt das Maß an Schutz, das du im Internet benötigst, von den Dingen ab, die du schützen möchtest, von deinem Verhalten im Internet und von der Art deines Unternehmens.

Wenn du viele Geräte, Mitarbeiter in einem großen Netzwerk oder viele Kundendaten in einem Online-Shop hast, brauchst du mehr Sicherheitsvorkehrungen als wenn du allein mit einem Laptop deine Website pflegst und Emails beantwortest, aber ansonsten nicht viel Zeit deines Arbeitstages im Internet verbringst.

Was muss also geschützt werden?

Wenn es um IT-Sicherheit geht, denken die meisten Menschen sofort an ihren Computer. Und ja, der sollte geschützt werden.

Computer, Netzwerke, Handys, Tablets, Software, Apps und sogar IoT-Geräte wie smarte Staubsauger oder Fernseher. Alles, was mit dem Internet verbunden ist, kann gehackt werden und sollte geschützt werden.

Das klingt natürlich nach viel Arbeit.

Und ich will nicht lügen – es braucht ein bisschen Zeit und den Willen, sich um die eigene Sicherheit zu kümmern.

Aber es muss nicht kompliziert sein.

Gerade kleine Unternehmen haben nicht so viele Geräte, die es zu schützen gilt. Hier geht es oft mehr darum, als Person online sicherer zu sein.

Denn auch das ist Teil der IT-Sicherheit.

Der Schutz deiner Geräte ist ein Teil deiner Sicherheitsstrategie. Aber nur ein Teil. Ein anderer wichtiger Teil ist dein Verhalten im Internet.

Denn die meisten Angriffe, vor allem auf kleine Unternehmen, erfolgen nicht durch gezielte Hackerangriffe, sondern durch automatisierte Attacken.

Allen voran sind hier Phishing-Emails oder -Nachrichten zu nennen. Tatsächlich ist Phishing die Hauptursache für Datenverlust, Malware und all die anderen lustigen Dinge.

Deine Geräte können noch so sicher sein, wenn du den Hacker selbst durch die Vordertür reinlässt, nützt auch die teuerste Firewall nichts.

Wissen ist Macht

IT-Sicherheit hat also vor allem mit Wissen zu tun.

Wissen, worauf man achten muss, wenn einem ein Unbekannter eine Email schickt.

Zu wissen, welche Betrugsmaschen häufig vorkommen, um besser darauf reagieren zu können.

Und auch zu wissen, welche deiner Verhaltensweisen und Gewohnheiten ein gefundenes Fressen für Hacker sind und ihnen die Arbeit erleichtern.

Wir haben ein Sprichwort: “Wenn du bei einer Gruppenwanderung im Wald einem Bären begegnest, musst du nicht der Schnellste sein. Du darfst nur nicht der Langsamste sein”.

Das ist ein bisschen sarkastisch, ich weiß, aber es geht darum, dass man nicht alles perfekt machen muss. Perfekt und 100 Prozent gibt es auch in der IT-Sicherheit nicht.

Du musst nur besser abgesichert sein als die meisten anderen, dann reduzierst du dein Risiko enorm.

Wenn du ein kleines Unternehmen hast und viele deiner Arbeitsprozesse online abwickelst, solltest du dich unbedingt mit dem Thema beschäftigen.

Denn auch wenn du es nicht glaubst, dein Unternehmen kann ein Ziel sein.

Kleine Unternehmen sind bei Hackern und Betrügern sehr beliebt. Dafür gibt es einen einfachen Grund. Sie sind weniger auf Angriffe vorbereitet.

Sie haben oft keine IT-Abteilung, machen alles selbst und sind daher meist schlechter geschützt als größere Unternehmen. Es fehlt an Ressourcen, an Zeit, aber auch an Wissen, wie man sich schützen kann.

Und damit sind wir auch schon beim nächsten Thema:
Kleine Unternehmen und Hacker

Die meisten Inhaber kleiner Unternehmen, mit denen ich spreche, glauben, dass sie nicht gehackt werden. Sie sind zu klein, zu unbedeutend, zu arm, zu uninteressant.

Das ist leider ein Irrtum.

Ja, es stimmt, Hacker werden in den meisten Fällen kein direktes persönliches Interesse an einem kleinen Unternehmen haben. Wenn ein Hacker sich die Mühe macht, in ein einzelnes Unternehmen einzudringen, dann muss es sich natürlich lohnen.

Die meisten Angriffe laufen heute aber automatisiert ab.

Denn Cyberangriffe werden in der Regel nicht von einem einzelnen Hacker durchgeführt, der irgendwo sitzt und auf sein nächstes Opfer wartet.

Die meisten Angriffe erfolgen über Phishing oder Social Engineering.

Das heißt, durch das Anklicken eines Email-Anhangs, durch die selbstständige Eingabe von Zugangsdaten oder durch die Preisgabe von Informationen bei einem fingierten Telefonanruf.

Die bittere Wahrheit: Deine Sicherheit war bisher wahrscheinlich Glückssache.

Vielleicht bist du noch nicht angegriffen worden, weder als Privatperson noch als Unternehmen. Oder vielleicht hast du es nur nicht bemerkt.

Besonders wenn du eine Website hast, gibt es wahrscheinlich ständig Angriffsversuche. Wahrscheinlich sogar gerade jetzt.

Und wenn du jetzt sagst, dass du noch nie Opfer eines Hackerangriffs geworden bist, dann hast du es entweder noch nie bemerkt oder die Angriffe waren bis jetzt nicht erfolgreich – und das ist meistens reines Glück.

Man schätzt zum Beispiel, dass rund 40 Prozent aller Internetnutzerinnen und -nutzer schon mindestens einmal Opfer eines Leaks geworden sind – das heißt, dass ihre Email-Adresse, Passwörter oder andere sensible Daten von Hackern gestohlen wurden.

Wenn du wissen möchtest, ob deine Email-Adresse oder dein Passwort bereits in den Tiefen des Dark Web verschwunden ist, kannst du dies auf der Website : Have I been pawned überprüfen. Den Link findest du auf meiner Website HackerFrei.de in dem Post zu dieser Episode. Den Link dazu findest du in den Shownotes.

Aber warum sind gerade kleine Unternehmen ein so beliebtes Ziel für Hacker?

Hacker lieben kleine Unternehmen, weil…

Wie viele Gründe brauchst du?

Fangen wir mit den Sicherheitsmaßnahmen deines Unternehmens an. Klar, ein Hacker bekommt mehr Daten und je nach Angriff auch mehr Geld, wenn er mittlere oder große Unternehmen angreift.

Aber die sind auch besser bewacht. Hier ist das Risiko viel höher, dass der Angriff an den Abwehrmechanismen scheitert oder der Hacker sogar erwischt wird.

Kleine Unternehmen haben dafür oft weder die Zeit noch das Geld. Die Chance, dass ein Cyberangriff unentdeckt bleibt, ist also groß.

Und das kann man den meisten Kleinunternehmen nicht verübeln. Zum einen weiß jeder Selbstständige, wie viel Arbeit es heutzutage macht, selbstständig zu sein, wie viel Zeit allein die Bürokratie verschlingt. Und Geld wächst eben nicht auf Bäumen.

Das wissen aber auch Hacker und nutzen dieses geringe Sicherheitsbewusstsein aus.

Bei Ransomware-Angriffen zum Beispiel zahlen kleine Unternehmen viel häufiger als große.

Sie haben keine Erfahrung mit solchen Angriffen und Experten sind auf die Schnelle nur schwer oder sehr teuer zu bekommen. Und Hand aufs Herz: Wenn du heute betroffen wärst, wüsstest du, dass du beim Bundesamt für Sicherheit in der Informationstechnik Hilfe bekommst oder dich einfach an deine örtliche Polizei wenden kannst?

Hinzu kommt, dass kleinere Unternehmen meist schlechter aufgestellt sind, was Backups oder andere Vorsichtsmaßnahmen angeht.

Also wird oft einfach gezahlt.

Auch dein Unternehmen hat wichtige Informationen.

Wenn ich jedes Mal einen Euro bekäme, wenn mir jemand sagt, dass er keine sensiblen oder wertvollen Daten hat, wäre ich im Dauerurlaub.

Gerade Inhaber kleiner Unternehmen unterschätzen oft den Wert ihrer Daten.

Natürlich ist die Kundendatenbank nicht so groß wie die von Siemens oder BMW. Aber wie oben bereits erläutert, ist der Diebstahl viel erfolgversprechender und wahrscheinlich auch schneller. Schneller bedeutet mehr Angriffe und damit mehr Daten für den Hacker.

Auch kleine Unternehmen verarbeiten oft sensible Kundendaten, Geschäftsinformationen und Finanzdaten. Wenn jemand diese Daten stiehlt und veröffentlicht, kann das schwerwiegende Folgen für dein Unternehmen haben.

Es gefährdet nicht nur dich, sondern auch deine Kunden. Sie könnten Opfer von Identitätsdiebstahl werden oder selbst gehackt werden, und zwar mit den Daten, die der Hacker von dir erhalten hat.

Es kann aber auch sein, dass sich jemand Zugang zu deinem Mitgliederbereich verschafft und all deine mühsam gesammelten Informationen stiehlt, um sie selbst anzubieten und dir damit Kundenaufträge wegzunehmen.

Daten sind die neue Währung und müssen geschützt werden.

Automatisierte Angriffe nehmen zu

Hacker sind oft faul! Mit Vorliebe führen sie groß angelegte, automatisierte Angriffe durch.

Dabei lassen sie einfach Programme oder Skripte nach Schwachstellen in schlecht geschützten Systemen suchen.

Gerade in kleinen Unternehmen werden sie oft fündig, denn hier wird gerne vergessen, Updates oder Aktualisierungen durchzuführen.

Das Tückische daran: Viele Angriffe bleiben (zumindest eine Zeit lang) unentdeckt. Und wenn sie entdeckt werden, werden sie oft nicht gemeldet oder genauer untersucht.

So kann der Hacker vielleicht sogar mehrmals digital bei dir einbrechen.

Außerdem können die Daten deines Unternehmens auch als Einstiegspunkt dienen, um andere, größere Organisationen oder Netzwerke anzugreifen. Du bist dann eine Art Aufstiegshilfe zum nächsten, besseren Ziel.

Es kann jeden treffen!

Gerade Inhaberinnen und Inhaber kleiner Unternehmen schätzen ihr eigenes Risiko oft falsch ein.

Und das liegt fast immer daran, dass sie nicht wissen, was alles passieren kann und welche Folgen ein Cyberangriff haben kann.

Man schließt die Tür ab, wenn man das Büro oder die Wohnung verlässt, oder lässt Laptop, Handy oder Brieftasche nicht auf dem Tisch im Café liegen, wenn man auf die Toilette geht.

Aber leider haben sich viele Internetnutzer noch nicht daran gewöhnt, dass mit dem “neuen” Medium Internet auch ein neues Sicherheitsbedürfnis entstanden ist.

Und Hacker und Betrüger nehmen keine Rücksicht darauf, dass die meisten Menschen noch nicht wirklich wissen, wie sie sich im Internet schützen können.

Im Gegenteil, sie nutzen dies aus.

Folgen eines Hackerangriffs

Als Inhaber eines kleinen Unternehmens oder als Soloselbständiger ist der gute Ruf meist dein wichtigste Verkaufsargument.

Ein Sicherheitsvorfall kann das Vertrauen deiner (potenziellen) Kunden schwer erschüttern. Zum Beispiel, wenn sie seltsame Emails von deinem gehackten Email-Konto erhalten.

Schlimmer noch, wenn sie beim Besuch deiner Website von Google oder ihrem Browser gewarnt werden, dass deine Website nicht sicher ist.

Der Verlust deiner Daten oder eine gehackte Website kann deinem Ruf sehr schaden. Kunden wenden sich möglicherweise von dir ab, und potenzielle Kunden kommen wahrscheinlich nicht wieder.

Du hast hart für deinen guten Ruf gearbeitet, den du nicht leichtfertig aufs Spiel setzen solltest.

Finanzielle Folgen

Wenn es um die finanziellen Folgen eines Hackerangriffs geht, denken die meisten Unternehmer an ihr Bankkonto.

Die Kosten können jedoch an ganz anderen Stellen entstehen.

Stell dir vor, deine Website ist für einige Zeit nicht erreichbar. Möglicherweise musst du sie wiederherstellen. Während dieser Zeit gehen dir Verkäufe verloren. Vielleicht verlierst du fertige Arbeiten, die du nicht wie geplant verkaufen kannst.

Und wenn deine Website als “nicht sicher” eingestuft wird, kann es sehr lange dauern, bis du bei Google wieder ganz oben stehst und Kunden zu dir kommen.

Und zack… alles weg!

Je nachdem, wo du angegriffen wirst, kannst du deine Daten verlieren. Für die Daten auf deinem Computer und deiner Website hast du hoffentlich Backups.

Aber was passiert, wenn jemand zum Beispiel deinen Notion-Account, deine Canva-Seite oder deine Buchhaltungs-App hackt? Hast du da auch Backups?

Und noch wichtiger: Was ist mit deinen Kundendaten? Denn wenn du die verlierst, kann es richtig schlimm werden. Unter Umständen musst du das melden. In diesem Artikel von eRecht24 erfährst du mehr.

Hier kann die Datenschutzgrundverordnung eine Rolle spielen. Denn wenn bei einem Angriff personenbezogene Daten gestohlen werden, bist du unter Umständen verpflichtet, den Angriff zu melden und eventuell sogar alle deine Kunden oder Interessenten über den (möglichen) Diebstahl ihrer Daten zu informieren.

Das kann unangenehm sein. Und im schlimmsten Fall auch teuer werden.

Last but not least: Kannst du eine Zeit lang ohne deinen Computer, dein Handy oder deine Website Geld verdienen?

Hand aufs Herz: Wenn du ohne deine Geräte (und/oder deine Daten) nicht arbeiten kannst, wie lange hält dein Unternehmen ohne Einnahmen durch? Vor allem, wenn zusätzliche Kosten anfallen, um einen Cyberangriff abzuwehren oder eine gehackte Website oder einen infizierten Computer wieder zum Laufen zu bringen.

Ausgang der Geschichte

Das sind alles Fragen, mit denen du dich beschäftigen solltest.

Ich weiß, dass Sicherheit im Internet kein sexy Thema ist. Und die meisten Selbstständigen und Unternehmer haben sowieso schon zu wenig Zeit für zu viel Arbeit.

Aber ein Hackerangriff kann wirklich schlimme Folgen haben und dich viel Geld und Zeit kosten. Deshalb solltest du dich mit dem Thema auseinandersetzen.

Ein guter Anfang ist dieser Podcast. Jede Woche schauen wir uns einen Cybervorfall, eine Betrugsmasche oder einen Hackerangriff an und erklären genau, was schief gelaufen ist und wie man es hätte verhindern können. Einfach erklärt, ohne unnötiges Fachchinesisch und mit einer gehörigen Portion Spannung.

Cyberkrimis mit Lerneffekt!

Außerdem gibt es immer wieder neue Tipps auf meinem Instagram-Kanal und natürlich auf meiner Website HackerFrei.de.

Werde sicherer im Internet und gib Hackern keine Chance!

Abschluss

Damit sind wir am Ende dieser etwas anderen Episode angelangt. Ich hoffe, du hattest Spaß beim Zuhören und hast etwas für deine Sicherheit gelernt.

Wenn du jetzt noch weitere Fragen hast und zum Beispiel mehr darüber wissen möchtest, wie du dich oder deine Firma im Internet schützen kannst, dann schau doch einfach mal auf meiner Webseite HackerFrei.de vorbei.

Dort findest du auch meine Angebote, wie du dich vor Hackern schützen kannst und dich sicherer im Internet bewegen kannst.

Und natürlich kannst du dir dort auch weitere Folgen meines Podcasts anhören. Zu den meisten Folgen gibt es übrigens ein PDF zum kostenlosen Download mit allen wichtigen Informationen zu dem jeweiligen Thema.

Außerdem bin ich auf Instagram zu finden – unter dem Namen HackerFrei. Hier kannst du mir Fragen stellen oder ein Feedback hinterlassen. Ich freue mich darauf, dich kennenzulernen.

In diesem Sinne wünsche ich dir einen schönen Tag und hoffe, wir sehen uns nächste Woche wieder.

Deine Frida

Hey, ich bin Frida, dein Podcast-Host bei den Hacker-Geschichten.

Wenn du Fragen oder Anregungen hast, schreibe mir gerne eine Nachricht!

Weiterhören

Weitere Folgen