· Cybersecurity · 3 min read
Cyberkriminalität: Arten, Schäden und Schutz für KMU
Phishing, Ransomware, Botnets, Darknet-Marktplätze: Cyberkriminalität verursachte 2024 rund 266 Milliarden Euro Schaden in Deutschland. Taxonomie, BSI-Daten und Schutzmaßnahmen für KMU.
Cyberkriminalität: Arten, Schäden und Schutz für KMU
Cyberkriminalität bezeichnet Straftaten, die mithilfe von Informations- und Kommunikationstechnologie begangen werden oder sich gegen solche Systeme richten. Laut BSI-Lagebericht 2024 verursachte Cyberkriminalität in der deutschen Wirtschaft rund 266 Milliarden Euro Schaden. Die Grundtaxonomie der Angriffsformen ist seit Jahren stabil. Was sich verändert hat: Angriffswerkzeuge sind als Dienst buchbar (Ransomware-as-a-Service), Automatisierung senkt die Einstiegshürde erheblich.
Rechtlicher Rahmen
In Deutschland sind die einschlägigen Straftatbestände im StGB verankert:
- §202a (Ausspähen von Daten)
- §263a (Computerbetrug)
- §303b (Computersabotage)
NIS2 (seit Oktober 2024 in deutschem Recht) und das IT-Sicherheitsgesetz 2.0 haben Meldepflichten und Mindestanforderungen für Unternehmen in regulierten Sektoren erheblich verschärft.
Angriffsformen im Überblick
Phishing
Täter versenden gefälschte E-Mails, die Empfänger auf täuschend echte Webseiten leiten, um Zugangsdaten oder Zahlungsinformationen zu stehlen. 2024 bleibt Phishing laut BSI der häufigste Erstzugangsvektor bei KMU. Verbreitet sind insbesondere Spear-Phishing-Angriffe, die auf einzelne Führungskräfte oder Buchhaltungsteams zugeschnitten sind.
Technischer Schutz:
- E-Mail-Filterung mit Anti-Phishing-Modul
- Zwei-Faktor-Authentifizierung für alle Cloud-Dienste (Microsoft Entra ID)
- Regelmäßige Mitarbeiterschulungen
Trojaner und Malware
Schadsoftware erfasst Zugangsdaten, Tastatureingaben und Bildschirminhalte. Moderne Varianten nutzen Living-off-the-Land-Techniken und missbrauchen legitime Windows-Bordmittel (PowerShell, WMI), um Virenschutz zu umgehen.
Technischer Schutz:
- Endpoint Detection and Response (EDR) statt klassischem signaturbasiertem Antivirus
- Anwendungs-Whitelisting auf kritischen Systemen
Ransomware
Ransomware verschlüsselt Daten und fordert Lösegeld. Seit 2020 kombinieren Täter Verschlüsselung mit Datendiebstahl und drohen zusätzlich mit Veröffentlichung (Double Extortion). Laut BSI-Lagebericht 2024 war Ransomware die Schadensursache Nummer eins in deutschen KMU.
Technischer Schutz:
- Offline-Backups nach 3-2-1-Regel mit getesteter Wiederherstellung
- Netzwerksegmentierung
- Automatisiertes Patch-Management für kritische Schwachstellen
Botnets
Botnetze bündeln kompromittierte Geräte für DDoS-Angriffe, Spam-Versand oder Kryptomining. 2024 sind auch IoT-Geräte und NAS-Systeme häufige Botnet-Mitglieder.
Technischer Schutz:
- Firmware-Updates für alle vernetzten Geräte
- Netzwerksegmentierung für IoT-Geräte
- Ausgehende Firewall-Filter
Darknet-Marktplätze
Anonyme Netzwerke (Tor) ermöglichen den Handel mit gestohlenen Zugangsdaten, Exploit-Kits und Ransomware-as-a-Service-Paketen. Gestohlene Unternehmens-Logins kosten dort wenige Euro. Das BSI empfiehlt, Unternehmens-E-Mail-Adressen regelmäßig gegen bekannte Datenleck-Datenbanken zu prüfen (Have I Been Pwned, BSI-Identitätsleakcheck).
NIS2: Was KMU jetzt wissen müssen
Seit Oktober 2024 gilt NIS2 in deutschem Recht. Betroffene Unternehmen (je nach Sektor ab 50 Mitarbeitenden und 10 Millionen Euro Jahresumsatz) müssen technische und organisatorische Maßnahmen nachweisen und erhebliche Sicherheitsvorfälle binnen 24 Stunden melden. Die Geschäftsführung haftet persönlich bei Verstößen.
Einordnung
Die Erscheinungsformen der Cyberkriminalität sind seit 2017 dieselben, aber professionalisierter und automatisierter. Kein System ist unangreifbar. Strukturierter Schutz aus EDR, Backup, Schulung und Patch-Management erhöht den Aufwand für Angreifer so weit, dass die meisten Täter leichtere Ziele suchen.
Techiota berät KMU bei der Entwicklung passender Schutzkonzepte. Sprechen Sie uns an: techiota.de
Was ist Ransomware-as-a-Service? Ransomware-as-a-Service (RaaS) bezeichnet ein Modell, bei dem kriminelle Gruppen fertige Ransomware-Pakete an andere Täter vermieten. Der Entwickler erhält einen Anteil am erpressten Lösegeld. RaaS senkt die technische Einstiegshürde für Angreifer erheblich.
Muss mein Unternehmen Cyberangriffe melden? Unter NIS2 sind betroffene Unternehmen in regulierten Sektoren verpflichtet, erhebliche Sicherheitsvorfälle binnen 24 Stunden beim BSI zu melden. Für alle Unternehmen gilt zudem die DSGVO-Meldepflicht bei Datenpannen innerhalb von 72 Stunden.
Was bringt regelmäßige Mitarbeiterschulung konkret? Phishing ist der häufigste Erstzugangsvektor. Schulungen, die echte Phishing-Szenarien simulieren, senken die Klickrate auf gefälschte E-Mails nachweisbar. Das BSI empfiehlt Awareness-Maßnahmen mindestens einmal jährlich.
