Cyberattacken auf deutsche Unternehmen

· Welche Schäden entstehen
· Die Auswirkungen einer Cyberattacke

landscape-extreme-earthquake_grey.jpg

Steuerkanzleien sind ein beliebtes Ziel einer Cyberattacke

Kein Wunder. Kaum ein anderer Berufszweig verarbeitet so viele personenbezogene und sensible Daten wie Steuerberater. Gleichzeitig ist kaum eine Steuerkanzlei ausreichend geschützt und häufig über Wochen komplett lahmgelegt. Die Statistiken über Cyberkriminalität offenbaren schockierende Zahlen.

Die polizeilich erfassten Fälle haben sich seit 2007 fast vervierfacht. Laut einer repräsentativen Studie von CyberDirekt wurden mehr als ein Viertel der befragten Unternehmen bereits Opfer eines Cyber-Angriffs. Durchschnittliche Schadenhöhe: 193.697 Euro.

Hier finden Sie unser Whitepaper über einen Cyberangriff auf eine Steuerberaterkanzlei.

Marc.PNG
Doch wie viel dieser allgemeinen Statistik lässt sich auf eine Steuerkanzlei anwenden? Als IT-Spezialisten haben wir bereits seit 2004 mit Cybersicherheit zu tun. Wir erarbeiten die Cybersicherheit in vielen Unternehmen und haben auch schon die Auswirkungen einer Cyberattacke live gesehen.
Hier werden wir einen beispielhaften Angriff skizzieren. Wie kann es zu einer Cyberattacke kommen? Und vor allem: Zu welchen Konsequenzen führt das? Welche Schäden entstehen wirklich und was ist nur Panikmache?
Cybercrime_Daten.PNG

Fallbeispiel

Wir skizzieren einen fiktiven Fall, der sich zu 100 Prozent so in der Realität abspielen könnte - und sich in den nächsten Jahren auch bei einigen Steuerkanzleien so abspielen wird.

Die Ausgangslage:
Die Steuerberaterkanzlei Müller hat 23 Mitarbeiter und ihren Sitz in Stuttgart. Homeoffice findet selten statt, alle Mitarbeiter arbeiten im Büro an festen Arbeitsplätzen.

Der Angriff:

Über eine Schwachstelle im E-Mail-Server erlangen die Hacker Zugriff auf das gesamte Netzwerk der Kanzlei. Dafür muss kein Mitarbeiter auf eine dubiose Mail klicken oder sonst etwas tun. Die Hacker kommen in das Netzwerk, ohne dass ein Mitarbeiter einen Fehler gemacht hat.

Die Angreifer bleiben unbemerkt und das Tagesgeschäft geht ganz normal weiter. Das vorhandene Antivirenprogramm bemerkt nichts, weil die Angreifer sich darauf vorbereitet haben. Die Datensammlung beginnt: Über die nächsten Wochen und Monate werden alle Dateien (Buchhaltungsbelege, BWAs, Jahresabschlüsse und sonstige Unterlagen) gesammelt und auf den Servern der Angreifer gespeichert.

Nachdem die Hacker genügend Daten gesammelt haben, wird die gesamte IT an einem Freitagabend lahmgelegt. Alle Mitarbeiter sind zu dieser Zeit schon im Feierabend. Der Schaden wird erst am Montagmorgen bemerkt. Die Telefonanlage funktioniert nicht mehr, die Server sind tot und auf den Bildschirmen steht in großen Lettern: WIR HABEN IHRE DATEN. BITTE ÜBERWEISEN SIE 100.00 EURO IN BITCOINS AUF FOLGENDE ADRESSE:

Hacker_Angriff.jpg
Hacker_Angriff2.jpg
Hacker_Angriff3.jpg

Die Auswirkungen:

Die gesamte Hardware der Kanzlei ist nicht mehr funktionsfähig. Alle Server, Computer, Laptops und Tablets wurden von den Angreifern verschlüsselt. Alles muss komplett zurückgesetzt und neu installiert werden. Die gesamte Kanzlei steht still. Die Sicherheit von Mandanten- und Vertragsdaten ist nicht mehr gewährleistet. Eine Einhaltung von Fristen gegenüber dem Finanzamt ist nicht mehr möglich. Die Rücksicherung der Daten ist auch nicht mehr möglich, weil die Angreifer das unmöglich machen. Die Polizei und die Staatsanwaltschaft raten von der Zhlung des Lösegelds ab. Der lokale IT-Dienstleister ist mit der Situation überfordert, es wird ein externer Forensiker für das weitere Vorgehen hinzugezogen.

Die Kosten:

Der Forensiker beginnt mit der Ermittlung und dokumentiert den Angriff. Er arbeitet eng mit dem IT-Verantwortlichen der Kanzlei zusammen. Es dauert 5 Werktage, bis der Trojaner gefunden und komplett aus dem System entfernt wird. Somit ist die Basis für die Wiederherstellung und der Neuinstallation der Geräte geschaffen. Lokale Dateien auf den Laptops sind nicht mehr da. Der Großteil der Daten ist für immer verloren - es droht die Insolvenz. Ein Speziallabor schafft es nach mehreren Tagen, die Verschlüsselung der Datensicherung aufzuheben. Der großteil der Datensicherung ist nun wieder lesbar.
(
Kosten ca. 50.000 €)

Hacker_Kosten1.jpg
Hacker_Kosten2.jpg
Hacker_Kosten2.jpg

Der IT-Partner unterstützt den Forensiker mit allen Mitteln. Das beschleunigt den Vorgang, führt aber dazu, dass IT-Techniker für die Kanzlei abgestellt werden und viele Überstunden ableisten. Nachdem das GO durch den Forensiker erfolgt ist, werden die einzelnen PCs und Server neu installiert und das Netzwerk wieder von Grund auf neu aufgebaut. Die Programme und Anwendungen werden mit Hochdruck neu installiert und die noch vorhandenen Daten werden wieder in die neue Umgebung zurück gesichert. Nach diesem Kraftakt ist die Kanzlei endlich wieder handlungsfähig. Mandanten kommen jetzt auch wieder per Telefon durch und fragen ganz erstaunt, was in den letzten Tagen vorgefallen ist.
(
Kosten ca. 25.000 €)


Der ganze Vorfall hat jetzt mehr als 3 Wochen gedauert. Während dieser Zeit stand die gesamte Kanzlei still und war nicht zu erreichen. Die Mitarbeiter wurden für diese Zeit freigestellt und müssen alle Aufgaben wieder aufarbeiten. Sowohl die Lohnkosten, als auch die Überstunden fallen an. Eine große Menge an Fristen wurde versäumt. Für die Säumniszuschläge muss die Kanzlei haften.
(
Kosten ca. 90.000 €)


Da es nicht auszuschließen ist, dass Mandanten- und Vertragsdaten entwendet wurden, wird ein Rechtsanwalt beauftragt, um die dateschutzrechtlichen Konsequenzen abzuschätzen. Dieser koordiniert das weitere Vorgehen. Es müssen alle Mandanten über die Abläufe des Vorfalls informiert werden. Es wird über den möglichen Verlust von Mandantendaten gesprochen. Die Gespräche sind schwierig und werden teilweise sehr emotional geführt. Mehrere Mitarbeiter der Kanzlei sind mit der Aufgabe über viele Tage beschäftigt.
(Kosten ca. 18.000 €)


Der Verlust der sensiblen Mandantendaten hat zu einer massiven Verunsicherung der Mandanten geführt. Bestandskunden möchten weiterhin sehr genau über die Vorgänge informiert werden. Der Kanzlei-Inhaber führt in den folgenden Wochen immer wieder Gespräche und Meetings mit den verunsicherten Mandanten. Durch die in der Presse erwähnten Berichte sind neue Mandanten sehr zurückhaltend und erwägen, einen anderen Berater zu kontaktieren. Der Cyberangriff hat sich mittlerweile in der Branche herumgesprochen. Der Ruf der Kanzlei ist massiv geschädigt. auf Anraten von externen Beratern investiert die Kanzlei in ein Marketing, das den Imageverlust wieder ausgleicht. Es wird offen über den Vorfall gesprochen und es gibt klare und transparente Kommunikation. Der Aufbau einer positiven Reputation dauert Monate an.
(
Kosten ca. 15.000 €)

Gesamtkosten des Vorfalls: 198.000 Euro

Kostenrechnung.PNG

Die langfristigen Auswirkungen:

Ein Teil der Daten der Kanzlei ist für immer verloren. Alle Betroffenen müssen mit den Lücken leben. Die zeitintensive Nacharbeitung der Mandantendaten durch die Mitarbeiter dauert noch viele Wochen an. Ein Vorfall hat die Kanzlei für Monate aus der Bahn geworfen. Es folgen in der Zeit nach der akuten Bewältigung noch weitere Herausforderungen. Der Vorfall war meldepflichtig. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) untersucht den Vorgang. Zum Glück wurde die Meldefrist durch den Forensiker eingehalten, sonst wäre noch ein hohes Bußgeld fällig geworden. Die Wiederherstellung des guten Images der Kanzlei dauert weiter an. Der Cyberangriff wurde medial bekannt, sodass einige Mandate die Kanzlei verlassen.

Die Akquise von neuen Mandanten gestaltet sich als schwierig. Zu groß ist die Angst eines weiteren Cyber-Angriffs.

Hätte dieser Fall auch anders ausgehen können?

In nahezu allen Fällen wird eine Cyberattacke teuer. Man ist den Angreifern ohne geeignete Vorbereitung haushoch unterlegen. Wäre das Problem vom Tisch, wenn man das Lösegeld bezahlt hätte? Nein, denn...

mixer.svg
In vielen Fällen erhält man trotzdem keine Daten von Hackern. Die Angreifer sind anonym, kommen in den meisten Fällen aus dem Ausland und haben keinen Anreiz für weitere Arbeit.
mixer.svg
Bei Zahlung eines Lösegelds spricht es sich im Darknet herum. Der nächste Cyber-Angriff wird nicht lange auf sich warten lassen, denn es wurde ja schonmal das Lösegeld bezahlt.
Virus_Hacker.jpg

Wie hätte man diese Cyberattacke verhindern können?

Eine gut geplante Cybersicherheits-Strategie hätte einen solchen Angriff im Vorfeld abgewendet.

Zu einem Sicherheitszyklus gehört die regelmäßige Prüfung und Analyse des Netzwerks auf Fehlkonfigurationen und Schwachstellen. Hier wäre die riskante Schwachstelle am E-Mail-Server aufgefallen und umgehend behoben worden. Der Eintrittspunkt für diesen Angriff hätte es dann nicht mehr gegeben.

Buchen Sie sich direkt einen Beratungstermin zum Thema Cyber Risiko Analyse. Wir freuen uns auf Sie!

Cookie Einstellungen
Cookie Einstellungen

Cookie Einstellungen

Wir verwenden Cookies, um die Benutzerfreundlichkeit zu verbessern. Wählen Sie aus, welche Cookie-Kategorien Sie uns erlauben zu verwenden. Sie können mehr über unsere Cookie-Richtlinien lesen, indem Sie unten auf Cookie-Richtlinie klicken.

Diese Cookies ermöglichen unbedingt notwendige Cookies für Sicherheit, Sprachunterstützung und Identitätsüberprüfung. Diese Cookies können nicht deaktiviert werden.

Diese Cookies sammeln Daten, um sich an die Benutzereinstellungen zu erinnern und das Benutzererlebnis zu verbessern. Die Deaktivierung kann dazu führen, dass einige Teile der Website nicht richtig funktionieren.

Diese Cookies helfen uns zu verstehen, wie Besucher mit unserer Website interagieren, sowie den Traffic zu messen & analysieren und allgemein unseren Service zu verbessern.

Diese Cookies helfen uns, Marketinginhalte und maßgeschneiderte Werbung besser zu platzieren.