In den Medien gibt es immer wieder Berichte über große Unternehmen, die Opfer von Hackern und Cyberkriminellen wurden. Sind kleine und mittelgroße Unternehmen für Angreifer also weniger interessant als die Big Player? Oder sind z. B. Handwerksbetriebe, Einzelhändler oder auch Arztpraxen mit ihren sensiblen Daten sogar besonders gefährdet, weil sie oft weniger in ihre IT-Sicherheit investieren?

Gerrit Knichwitz: Grundsätzlich ist jedes Unternehmen der Gefahr ausgesetzt, Opfer eines Cyberangriffs zu werden. Gerade kleine und mittelständische Unternehmen geraten immer häufiger ins Visier krimineller Hacker. Die Gründe dabei sind vielfältig:

Wie Sie bereits erwähnten, ist die Cyberabwehr bei KMU weniger umfassend aufgestellt, da oftmals der Irrglaube vorherrscht, das eigene Unternehmen sei zu klein oder uninteressant für Cyberangriffe. Folglich wird in geringem Umfang in Prävention und IT-Sicherheit investiert. Ein Umstand, der von Cyberkriminellen bewusst ausgenutzt wird.

Angriffsmuster und Taktiken der Cyberkriminellen entwickeln sich dabei sehr dynamisch weiter. Im Jahr 2025 hat das Notfall-Managementteam von Perseus zunehmend mit komplexen Ransomware-Angriffen – also Attacken mit Erpressungssoftware – sowie mit der Kompromittierung geschäftlicher E-Mail-Konten zu tun. Auch Phishing bleibt eine erhebliche Bedrohung für Unternehmen. Dabei werden Phishing-E-Mails entweder gezielt an einzelne Firmen verschickt oder nach dem „Gießkannenprinzip“ massenhaft an zahlreiche Unternehmen und Mitarbeitende – unabhängig von Branche oder Größe.

Auch die fortschreitende Entwicklung Künstlicher Intelligenz (KI) trägt zusätzlich dazu bei, dass die allgemeine Cyberbedrohung für Unternehmen angespannt bleibt. Phishing-Angriffe werden durch KI immer raffinierter, professioneller und dadurch schwieriger zu erkennen. Gleichzeitig können Cyberkriminelle bestehende Sicherheitslücken und Schwachstellen schneller aufspüren und ausnutzen. Zudem ermöglicht KI, Schadsoftware deutlich einfacher und schneller zu verändern und anzupassen. Dadurch gelingt es Firewalls und Antiviren-Programmen nicht immer, neue Schadprogramme rechtzeitig zu identifizieren und abzuwehren.

Auch kleinere Unternehmen, Handwerker, Heilberufler & Co. müssen sich also um Ihre IT-Sicherheit kümmern. Was kann einem Unternehmen denn passieren, wenn es nicht ausreichend geschützt ist?

Gerrit Knichwitz: Laut dem Risikobarometer der Allianz gelten Cybervorfälle und Betriebsunterbrechungen auch 2025 nach wie vor als die größten Geschäftsrisiken weltweit. Dabei zählen eben vor allem Phishing, Business E-Mail Compromise und die Angriffe mit Schadsoftware zu den häufigsten Cyberangriffsarten. Die aus diesen Angriffen resultierenden Betriebsunterbrechungen und der Verlust von Kundendaten werden bei kleinen und mittelständischen Unternehmen als besonders heikel angesehen.

Um auf Ihr Beispiel konkret zurückzukommen: Handwerker sind zumeist im Besitz von Kundendatenbanken mit sensiblen Informationen, wie den Kontaktdaten oder auch Bankverbindungen ihrer Kundinnen und Kunden. Heilberufler verfügen darüber hinaus noch über Informationen über den Gesundheitszustand ihrer Patienten. Wenn diese vermeintlich kleinen Betriebe beispielsweise einem Cyberangriff mit Erpressersoftware (Ransomware) zum Opfer fallen, werden die Betriebssysteme und somit auch alle dort gespeicherten und abgelegten Daten von den Bedrohungsakteuren verschlüsselt und nur gegen Zahlung eines Lösegeldes herausgegeben. Die Folge eines solchen Angriffs sind daher häufig Betriebsausfälle – im Zweifel über einen längeren Zeitraum – und massive finanzielle Schäden, die für KMU existenziell sein können. Darüber hinaus können Datenschutzverletzungen entstehen, welche häufig schwere Reputationsschäden bei Kunden und Partnern zur Folge haben.

Kommen wir zur praktischen Seite: Wie läuft ein typischer Cyberangriff ab?

Gerrit Knichwitz: Laut dem aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik zählen Malware - allen voran natürlich auch Ransomware - und Phishing zu den größten Bedrohungen. Ständig entstehen neue Malware-Varianten, die über Phishing-Angriffe in Unternehmen gelangen. Die größte Angriffsfläche bieten darüber hinaus Schwachstellen und bestehende Sicherheitslücken – besonders gefährlich sind sogenannte Zero-Day-Schwachstellen, für die zum Zeitpunkt ihrer Entdeckung noch kein Sicherheitsupdate verfügbar ist. Diese Schwachstellen werden dann vor allem zur Ausführung von Schadcode verwendet.

Spielen wir zur Veranschaulichung einen „Ransomware-Angriff“ praktisch durch: In der Buchhaltung eines Büros geht eine E-Mail ein, vermeintlich eine ausstehende Rechnung eines freien Mitarbeitenden. Verwundert öffnet ein Kollege den Anhang, um die Rechnung zu überprüfen. Was er nicht weiß: Durch das Öffnen der Datei lädt er eine Schadsoftware herunter, die sich auf alle Arbeitsgeräte ausbreitet und das gesamte Netzwerk lahmlegt. Kein Computer ist mehr nutzbar. Auch die Rechner der Kolleginnen und Kollegen im Homeoffice nicht. Die Bildschirme sind schwarz, nur eine Lösegeldforderung ist sichtbar. Der Betrieb steht still. An den aktuellen Projekten kann nicht weitergearbeitet werden, Abgabetermine können nicht eingehalten werden. Kunden und Partnerunternehmen können kaum informiert werden, da auch die E-Mail-Programme betroffen sind und Kontaktdaten verschlüsselt wurden. Insgesamt kommt es zu einem mehrtägigen Betriebsausfall. Fachleute müssen die Schadsoftware von den Computern beseitigen. Zusätzlich müssen sie das System vor erneuten Angriffen absichern. Wenn vorhanden, können einige Daten aus alten Backups wiederhergestellt werden. Wenn personenbezogene Daten betroffen sind, muss der Vorfall der Datenaufsichtsbehörde gemeldet werden, Verzögerungen nachgearbeitet und Kunden beschwichtigt werden.

Der gesamte Schaden durch Cyber-Kriminalität betrug laut Bitkom Research 2024 in Deutschland knapp 266 Milliarden Euro. Wie hoch sind Ihrer Erfahrung nach die Kosten für ein einzelnes Unternehmen, das zum Cyber-Opfer wurde?

Gerrit Knichwitz: Die Kosten, die einzelnen Unternehmen im Rahmen eines Cyberangriffs entstehen, sind sehr fallabhängig. Hier spielen die oben aufgeführten Komponenten, insbesondere die Kosten für die Ausfallzeiten, eine große Rolle. Wie schnell wurde der Vorfall entdeckt? Wie lang und schwerwiegend war die Betriebsunterbrechung? Wie hoch waren die Kosten für IT-Dienstleister und IT-Sicherheitsexperten? Wurde ein Lösegeld gezahlt? Gab es Sanktionen für etwaige Datenschutzverletzungen und Schadensansprüche der Kundinnen und Kunden? Wurden weitere externe Dienstleister, wie Anwälte oder Presseberater, in Anspruch genommen? Und ganz wichtig: Konnten die Hard- und Software wiederhergestellt werden oder mussten neue Geräte und Systeme beschafft werden? Eine Studie eines deutschen Versicherungsunternehmens zeigt aber, dass sich die Kosten einer Cyberattacke durchschnittlich bei kleinen und mittleren Unternehmen auf 99.000 Euro belaufen. (HDI Cyberstudie, 2024).

Ein solcher Angriff kann also ganz schön teuer werden. Wie können sich Unternehmen schützen, damit es gar nicht erst so weit kommt? Und kann ich eigentlich auch als einzelner Mitarbeiter etwas tun oder sind nur die IT-Verantwortlichen gefragt?

Gerrit Knichwitz: Wie so oft sind das Erkennen und Minimieren des eigenen Risikos auch im Bereich Cyber entscheidend. Dabei sind nicht nur die IT-Verantwortlichen oder die Geschäftsführung gefragt, sondern auch jeder einzelne Mitarbeitende. Die Mitarbeitenden eines jeden Unternehmens sind dabei das häufigste Einstiegstor für Cyberangriffe – aber eben auch der stärkste Schutzschild. Durch gezielte Schulungen zum richtigen Verhalten mit Bedrohungen aus dem Internet, dem Bewusstsein dafür, worauf zu achten ist und wie im Falle eines Angriffs richtig zu agieren ist, lässt sich das Risiko, Opfer eines Cyberangriffs zu werden, verringern.

Die Mitarbeiterinnen und Mitarbeiter sind also ein wesentlicher Faktor bei der Cybersecurity. Wie lassen sie sich langfristig sensibilisieren, damit sie z. B. nicht nur bei Trainings oder Workshops, sondern vor allem auch jeden Tag bei der Arbeit wachsam bleiben?

Gerrit Knichwitz: Mitarbeitendensensibilisierungen als Bestandteil der Cyberprävention sind das Herzstück einer nachhaltigen Cyberstrategie. Es ist nicht mehr die Frage, ob das eigene Unternehmen Zielscheibe eines Angriffs wird, sondern, wann. Und hier kommt es auf das richtige Verhalten der Mitarbeitenden an, die den Verlauf und das Ausmaß des Angriffs bestimmen. Durch regelmäßige Trainings im Umgang mit Cybergefahren, flankiert durch die praktische Anwendung des erworbenen Wissens, durch z. B. Phishing-Simulationen, lässt sich die Sensibilisierung für Cybergefahren aufbauen und nachhaltig festigen. Mitarbeitende müssen über die Cybergefahrenlage auf dem Laufenden bleiben, wissen, wo Lücken bestehen und wie mit ihnen umzugehen ist, und nicht davor zurückschrecken, etwaige Missstände aktiv aufzuzeigen.

Worauf müssen Unternehmen darüber hinaus ihren Fokus legen, um gut gegen Cyberkriminalität aufgestellt zu sein?

Gerrit Knichwitz: Eine ganzheitliche Sicherheitsstrategie baut auf vier ineinandergreifende Dimensionen auf: Mensch, Technik, Notfallmanagement und Absicherung des Restrisikos.

Die menschliche Komponente wurde bereits thematisiert, hier steht die nachhaltige Sensibilisierung der Mitarbeitenden im Vordergrund. Ein gut aufgestelltes technisches und organisatorisches IT-Sicherheitskonzept spielt zusätzlich eine tragende Rolle in der Vermeidung von Cybervorfällen. Wir empfehlen Unternehmen, eine Bewertung der technischen und organisatorischen IT-Sicherheitsrisiken durchzuführen. Diese Analyse mit konkreten Handlungsempfehlungen ist der ideale Ausgangspunkt, um sein IT-Sicherheitslevel kontinuierlich zu verbessern.

Ein weiterer wichtiger Punkt ist, eine Strategie für den Notfall zu entwickeln, diese in einem Notfallplan festzuhalten und darauf zurückzugreifen, sollte es zum Ernstfall kommen. Ansprechpartner und Prozesse sollten definiert und Abläufe klar abrufbereit sein. Da es eine hundertprozentige Sicherheit vermutlich nie geben wird, ist die Absicherung des Restrisikos durch eine Cyberversicherung die letzte Dimension einer ganzheitlichen Cybersicherheitsstrategie.