Cyberattacken auf deutsche Unternehmen
- Welche Schäden entstehen
- Die Auswirkungen einer Cyberattacke
- Welche Schäden entstehen
- Die Auswirkungen einer Cyberattacke
Kein Wunder. Kaum ein anderer Berufszweig verarbeitet so viele personenbezogene und sensible Daten wie Steuerberater. Gleichzeitig ist kaum eine Steuerkanzlei ausreichend geschützt und häufig über Wochen komplett lahmgelegt. Die Statistiken über Cyberkriminalität offenbaren schockierende Zahlen.
Die polizeilich erfassten Fälle haben sich seit 2007 fast vervierfacht. Laut einer repräsentativen Studie von CyberDirekt wurden mehr als ein Viertel der befragten Unternehmen bereits Opfer eines Cyber-Angriffs. Durchschnittliche Schadenhöhe: 193.697 Euro.
Hier finden Sie unser Whitepaper über einen Cyberangriff auf eine Steuerberaterkanzlei.
Wir skizzieren einen fiktiven Fall, der sich zu 100 Prozent so in der Realität abspielen könnte - und sich in den nächsten Jahren auch bei einigen Steuerkanzleien so abspielen wird.
Die Ausgangslage:
Die Steuerberaterkanzlei Müller hat 23 Mitarbeiter und ihren Sitz in Stuttgart. Homeoffice findet selten statt, alle Mitarbeiter arbeiten im Büro an festen Arbeitsplätzen.
Über eine Schwachstelle im E-Mail-Server erlangen die Hacker Zugriff auf das gesamte Netzwerk der Kanzlei. Dafür muss kein Mitarbeiter auf eine dubiose Mail klicken oder sonst etwas tun. Die Hacker kommen in das Netzwerk, ohne dass ein Mitarbeiter einen Fehler gemacht hat.
Die Angreifer bleiben unbemerkt und das Tagesgeschäft geht ganz normal weiter. Das vorhandene Antivirenprogramm bemerkt nichts, weil die Angreifer sich darauf vorbereitet haben. Die Datensammlung beginnt: Über die nächsten Wochen und Monate werden alle Dateien (Buchhaltungsbelege, BWAs, Jahresabschlüsse und sonstige Unterlagen) gesammelt und auf den Servern der Angreifer gespeichert.
Nachdem die Hacker genügend Daten gesammelt haben, wird die gesamte IT an einem Freitagabend lahmgelegt. Alle Mitarbeiter sind zu dieser Zeit schon im Feierabend. Der Schaden wird erst am Montagmorgen bemerkt. Die Telefonanlage funktioniert nicht mehr, die Server sind tot und auf den Bildschirmen steht in großen Lettern: WIR HABEN IHRE DATEN. BITTE ÜBERWEISEN SIE 100.00 EURO IN BITCOINS AUF FOLGENDE ADRESSE:
Die gesamte Hardware der Kanzlei ist nicht mehr funktionsfähig. Alle Server, Computer, Laptops und Tablets wurden von den Angreifern verschlüsselt. Alles muss komplett zurückgesetzt und neu installiert werden. Die gesamte Kanzlei steht still. Die Sicherheit von Mandanten- und Vertragsdaten ist nicht mehr gewährleistet. Eine Einhaltung von Fristen gegenüber dem Finanzamt ist nicht mehr möglich. Die Rücksicherung der Daten ist auch nicht mehr möglich, weil die Angreifer das unmöglich machen. Die Polizei und die Staatsanwaltschaft raten von der Zhlung des Lösegelds ab. Der lokale IT-Dienstleister ist mit der Situation überfordert, es wird ein externer Forensiker für das weitere Vorgehen hinzugezogen.
Der Forensiker beginnt mit der Ermittlung und dokumentiert den Angriff. Er arbeitet eng mit dem IT-Verantwortlichen der Kanzlei zusammen. Es dauert 5 Werktage, bis der Trojaner gefunden und komplett aus dem System entfernt wird. Somit ist die Basis für die Wiederherstellung und der Neuinstallation der Geräte geschaffen. Lokale Dateien auf den Laptops sind nicht mehr da. Der Großteil der Daten ist für immer verloren - es droht die Insolvenz. Ein Speziallabor schafft es nach mehreren Tagen, die Verschlüsselung der Datensicherung aufzuheben. Der großteil der Datensicherung ist nun wieder lesbar.
(Kosten ca. 50.000 €)
Der IT-Partner unterstützt den Forensiker mit allen Mitteln. Das beschleunigt den Vorgang, führt aber dazu, dass IT-Techniker für die Kanzlei abgestellt werden und viele Überstunden ableisten. Nachdem das GO durch den Forensiker erfolgt ist, werden die einzelnen PCs und Server neu installiert und das Netzwerk wieder von Grund auf neu aufgebaut. Die Programme und Anwendungen werden mit Hochdruck neu installiert und die noch vorhandenen Daten werden wieder in die neue Umgebung zurück gesichert. Nach diesem Kraftakt ist die Kanzlei endlich wieder handlungsfähig. Mandanten kommen jetzt auch wieder per Telefon durch und fragen ganz erstaunt, was in den letzten Tagen vorgefallen ist.
(Kosten ca. 25.000 €)
Der ganze Vorfall hat jetzt mehr als 3 Wochen gedauert. Während dieser Zeit stand die gesamte Kanzlei still und war nicht zu erreichen. Die Mitarbeiter wurden für diese Zeit freigestellt und müssen alle Aufgaben wieder aufarbeiten. Sowohl die Lohnkosten, als auch die Überstunden fallen an. Eine große Menge an Fristen wurde versäumt. Für die Säumniszuschläge muss die Kanzlei haften.
(Kosten ca. 90.000 €)
Da es nicht auszuschließen ist, dass Mandanten- und Vertragsdaten entwendet wurden, wird ein Rechtsanwalt beauftragt, um die dateschutzrechtlichen Konsequenzen abzuschätzen. Dieser koordiniert das weitere Vorgehen. Es müssen alle Mandanten über die Abläufe des Vorfalls informiert werden. Es wird über den möglichen Verlust von Mandantendaten gesprochen. Die Gespräche sind schwierig und werden teilweise sehr emotional geführt. Mehrere Mitarbeiter der Kanzlei sind mit der Aufgabe über viele Tage beschäftigt.
(Kosten ca. 18.000 €)
Der Verlust der sensiblen Mandantendaten hat zu einer massiven Verunsicherung der Mandanten geführt. Bestandskunden möchten weiterhin sehr genau über die Vorgänge informiert werden. Der Kanzlei-Inhaber führt in den folgenden Wochen immer wieder Gespräche und Meetings mit den verunsicherten Mandanten. Durch die in der Presse erwähnten Berichte sind neue Mandanten sehr zurückhaltend und erwägen, einen anderen Berater zu kontaktieren. Der Cyberangriff hat sich mittlerweile in der Branche herumgesprochen. Der Ruf der Kanzlei ist massiv geschädigt. auf Anraten von externen Beratern investiert die Kanzlei in ein Marketing, das den Imageverlust wieder ausgleicht. Es wird offen über den Vorfall gesprochen und es gibt klare und transparente Kommunikation. Der Aufbau einer positiven Reputation dauert Monate an.
(Kosten ca. 15.000 €)
Ein Teil der Daten der Kanzlei ist für immer verloren. Alle Betroffenen müssen mit den Lücken leben. Die zeitintensive Nacharbeitung der Mandantendaten durch die Mitarbeiter dauert noch viele Wochen an. Ein Vorfall hat die Kanzlei für Monate aus der Bahn geworfen. Es folgen in der Zeit nach der akuten Bewältigung noch weitere Herausforderungen. Der Vorfall war meldepflichtig. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) untersucht den Vorgang. Zum Glück wurde die Meldefrist durch den Forensiker eingehalten, sonst wäre noch ein hohes Bußgeld fällig geworden. Die Wiederherstellung des guten Images der Kanzlei dauert weiter an. Der Cyberangriff wurde medial bekannt, sodass einige Mandate die Kanzlei verlassen.
Die Akquise von neuen Mandanten gestaltet sich als schwierig. Zu groß ist die Angst eines weiteren Cyber-Angriffs.
In nahezu allen Fällen wird eine Cyberattacke teuer. Man ist den Angreifern ohne geeignete Vorbereitung haushoch unterlegen. Wäre das Problem vom Tisch, wenn man das Lösegeld bezahlt hätte? Nein, denn...
Eine gut geplante Cybersicherheits-Strategie hätte einen solchen Angriff im Vorfeld abgewendet.
Zu einem Sicherheitszyklus gehört die regelmäßige Prüfung und Analyse des Netzwerks auf Fehlkonfigurationen und Schwachstellen. Hier wäre die riskante Schwachstelle am E-Mail-Server aufgefallen und umgehend behoben worden. Der Eintrittspunkt für diesen Angriff hätte es dann nicht mehr gegeben.