Im ersten Teil der Beitragsserie habe ich über den Ablauf der Ransomware-Attacke berichtet, deren Opfer wir im Jahr 2019 wurden. Zwei Wochen ohne IT, ein Wechselbad der Gefühle von Entsetzen über Wut und Resignation bis hin zur Erleichterung, als die Attacke endlich vorüber war. Auch wenn es in den Tagen danach erst einmal darum ging „business as usual“ zu betreiben, hatte ich mir doch fest vorgenommen, Lehren aus dem Vorfall für mich und unser Unternehmen zu ziehen. Denn immerhin hatte uns die Ransomware-Attacke doch ganz schön zugesetzt.
Die ernüchternde Bilanz: 28.000 Euro und zwei Wochen Ausfall
Und so zogen wir, nachdem die Systeme wieder liefen und der Schock verdaut war, erst einmal eine Bilanz unserer Ransomware-Attacke:
Direkte Kosten:
- Neue Hardware: 12.000 Euro
- IT-Forensik und Spezialdienstleister: 8.000 Euro
- Kosten für Datenschutz- und Datensicherheitsberatung: 3.000 Euro
- Verlust von Arbeitszeit: 5.000 Euro
Indirekte Kosten (schwer bezifferbar):
- Stress und Belastung für das gesamte Team
- Unsicherheit und Furcht vor weiteren Attacken
- Unsicherheit, welche Schutzmaßnahmen nun erforderlich sind.
- Kosten für zusätzliche Schutzmaßnahmen (Security-Software, Schulungen, etc.)
„Hätte ich da bloß nicht draufgeklickt!“: Vom Risikofaktor Mensch zur Human Firewall
„Unsere Buchhalterin, die den Angriff durch nur einen Klick auf den Link in einer Phishing-E-Mail ausgelöst hatte, war natürlich untröstlich. Heute, Jahres später, ist sie:
- Die eifrigste Verfechterin unseres Security Awareness-Programms
- Das beste Beispiel für eine „Human Firewall“
- Diejenige, die neue Kollegen am eindringlichsten vor Phishing-Mails warnt
Die wichtigste Lektion: Aus Fehlern lernen ist menschlich. Schuldzuweisungen helfen niemandem. Und so hatte ich natürlich – außer dem ein oder anderen bösen Gedanken während der Attacke (vgl. Video-Ausschnitt in Teil 1 der Beitragsserie) – nie daran gedacht, sie persönlich für den Angriff verantwortlich zu machen. Und deshalb ist auch noch heute als Buchhalterin für uns tätig.
Warum es ausgerechnet uns traf: Trügerische Sicherheit
Denn ehrlicherweise musste ich mir damals an die eigene Nase fassen. Ich hätte nie gedacht, dass wir als kleines Beratungsunternehmen in den Fokus von Cyberkriminellen geraten könnten.
Mein Fehldenken damals:
- „Wir sind doch nur ein kleines Unternehmen“
- „Was soll bei uns schon zu holen sein?“
- „Das trifft doch nur die Großen.“
- „Wir verfügen über eine doch eigentlich sichere IT-Infrastruktur.“
BSI-Lagebericht 2024: KMU verstärkt im Visier von Cyberangreifern
Das Bundesamt für Sicherheit in der Informationstechnik unterstreicht die Gefährdungslage gerade für kleine und mittlere Unternehmen. Viele Cyberkriminelle, so das BSI in einer Stellungnahme, handeln nämlich nach dem Motto „minimaler Aufwand, maximaler Ertrag“. Und dabei treffen sie bei KMUs in der Regel auf dankbare Opfer. So kam eine GDV-Umfrage zu dem Ergebnis: „80% der KMU sehen ein hohes Cyberrisiko für andere, aber nur 34% glauben, selbstgefährdet zu sein.“ Ein gefährlicher Irrglaube.
Der Faktor Mensch: 95% aller Sicherheitsverstöße
Die schmerzhafteste Erkenntnis für uns und sicher auch für viele andere Opfer einer Ransomware-Attacke: Nicht die Technik hatte versagt, sondern der Mensch war das schwächste Glied.
Statistiken, die nachdenklich machen:
- 95% aller Verstöße gegen die Cybersicherheit basieren auf menschlichem Versagen
- 88% aller Datenschutzverletzungen sind auf Mitarbeiterfehler zurückzuführen
- 60% der Unternehmen verzichten komplett auf Mitarbeiterschulungen
Von der Einmal-Schulung zum kontinuierlichen Programm
Warum einmalige Schulungen nicht reichen: Analysen aus der Erwachsenenbildung zeigt: Der Lernerfolg lässt bereits kurze Zeit nach einer Schulung deutlich nach. Experten raten deshalb zu regelmäßigen Schulungen in kurzen Abständen und kleinen Häppchen.
Und deshalb sieht unser Security Awareness-Programm heute so aus:
- 12-Monats-Plan mit regelmäßigen Kampagnen
- Kickoff-Meeting für neue Mitarbeiter
- Monatliche Newsletter mit aktuellen Bedrohungen
- Kurze Lern-Tutorials zum Selbststudium
- Regelmäßige Tests zur Erfolgskontrolle
- Aktuelle Phishing-Beispiele mit Erkennungshinweisen
Themenschwerpunkte unseres Programms:
- Datenschutz nach DSGVO – Rechtliche Grundlagen
- Social Engineering – Manipulation erkennen und abwehren
- Sichere Passwörter – Best Practices und Tools
- Incident Response – Richtiges Verhalten im Ernstfall
Die Transformation: Vom Risiko zur Ressource
Vorher: „Der Mensch ist das schwächste Glied“
Nachher: „Geschulte Mitarbeiter sind diebeste Firewall“
Unsere Buchhalterin ist das lebende Beispiel: Wer einmal „erwischt“ wurde und daraus lernt, wird zur stärksten Verteidigungslinie gegen zukünftige Angriffe.
Konkrete Sofortmaßnahmen für Ihr Unternehmen:
Security-Bewusstsein schaffen: Geschäftsführung muss vorangehen
- Regelmäßige Mini-Schulungen: 15 Minuten monatlich per E-Learning statt stundenlange einmalige Jahresschulungen, die die meisten Mitarbeiter sowieso schwänzen.
- Phishing-Simulationen: Testen Sie Ihre Mitarbeiter (aber konstruktiv!)
- Fehlerkultur entwickeln: Offener Umgang mit Sicherheitsvorfällen
- Incident Response Plan: Klare Handlungsanweisungen für den Ernstfall
Im dritten Teil unserer Serie erkläre ich Ihnen, weshalb wir die Security Awareness Toolbox entwickelt haben.
📖 Komplette Artikelserie lesen:
„Ransomware-Attacke: Wenn aus ‚Was gibt es bei uns schon zu holen?‘ bittere Realität wird“
- Teil 1: Wie wir Opfer einer Ransomware-Attacke wurden
Die Geschichte unseres 28.000€ Schadens - Teil 2: Was uns die Ransomware-Attacke gelehrt hat
Vom Risikofaktor zur Human Firewall – Sie sind hier - Teil 3: Weshalb wir die Security Awareness Toolbox entwickelt haben
Von der eigenen Not zur KMU-Lösung – Erschreint am 9. Oktober 2025
💡 Tipp: Starten Sie mit unserem kostenlosen Security Awareness Quick Check
Weitere Beiträge zum Thema: