Kontakt

Cyberangriffe auf Handwerksbetriebe: Warum Hacker längst nicht nur Konzerne angreifen

Cyberangriffe auf Handwerksbetriebe

Inhalt

Diesen Beitrag teilen

„Uns greift doch keiner an, wir sind viel zu klein.“
Diesen Satz hören wir in Erstgesprächen mit Handwerks- und Industriebetrieben regelmäßig. Er ist nachvollziehbar und gleichzeitig eine der gefährlichsten Annahmen, die ein Mittelständler heute haben kann. Konzerne investieren massiv in IT-Sicherheit. Wer angreifen will, weicht aus. Und wohin? Genau dorthin, wo der Schutz schwächer ist und der Schaden trotzdem groß genug für eine Lösegeldforderung. In diesem Beitrag zeigen wir, warum Handwerksbetriebe attraktive Ziele sind, wie ein typischer Angriff abläuft, welche Einfallstore am häufigsten genutzt werden und welche wenigen Maßnahmen den größten Schutz bringen.

„Wir sind doch nur ein Handwerksbetrieb" – warum diese Annahme falsch ist

Cyberangriffe folgen heute selten der Logik „großer Betrieb, großes Ziel“. Sie folgen der Logik „lohnender Aufwand“. Vier Gründe machen Handwerksbetriebe für Angreifer besonders interessant:

Sie haben sensible Daten. Auftragsunterlagen, Kalkulationen, Personaldaten, Bankverbindungen, Kundenadressen. All das ist auf dem Server, oft ohne klare Berechtigungsstruktur, oft ohne dokumentiertes Backup.

Sie sind oft Zulieferer für größere Kunden. Wer einen Handwerksbetrieb übernimmt, sitzt im Posteingang, in den Rechnungsentwürfen und im Vertrauensverhältnis zum Auftraggeber. Eine gefälschte Rechnung an den Großkunden ist dann nur noch eine E-Mail entfernt.

Sie zahlen schneller. Wenn am Montag die Pflegedokumentation, die Auftragsdatenbank oder die Lohnbuchhaltung verschlüsselt ist, ist die Zahlungsbereitschaft hoch. Konzerne haben Notfallpläne, viele Mittelständler nicht.

Sie sind technisch oft nicht ausreichend geschützt. Die IT ist über Jahre gewachsen, irgendwo läuft noch ein Windows-7-Rechner für die Werkstattmaschine, das WLAN trennt nicht zwischen Verwaltung und Werkhalle, der Remote-Zugang ist seit Corona einfach offen geblieben.

Diese Mischung aus realen Werten, schwachem Schutz und schneller Zahlungsbereitschaft macht Handwerksbetriebe für automatisierte Angriffe zur idealen Zielgruppe.

Wie ein Angriff auf einen Handwerksbetrieb typischerweise abläuft

Wie ein Angriff auf einen Handwerksbetrieb typischerweise abläuft

Die meisten Angriffe sind keine spektakulären Hacks. Sie laufen still und in mehreren Schritten ab.

Am Anfang steht meist eine Phishing-Mail an einen Mitarbeiter. Sie sieht aus wie eine Rechnung, eine DHL-Benachrichtigung oder eine Microsoft-365-Anmeldung. Der Mitarbeiter klickt, gibt seine Zugangsdaten ein, und das war es. Der Angreifer hat einen Login.

In den nächsten Tagen passiert nach außen scheinbar nichts. Tatsächlich erkundet der Angreifer im Hintergrund das Netzwerk, prüft Berechtigungen, sucht nach Backups, sucht nach Servern, sucht nach Bankverbindungen.

An Tag X wird verschlüsselt. Server, Arbeitsplätze, oft auch das angeschlossene Backup. Auf den Bildschirmen erscheint eine Lösegeldforderung in Bitcoin. Im selben Moment ist der Betrieb arbeitsunfähig: keine Aufträge, keine Termine, keine Buchhaltung, keine Telefonie, sofern sie ans Netzwerk gekoppelt ist.

Eine zweite Variante läuft über kompromittierte Remote-Zugänge. Wer nach Corona einen TeamViewer-Zugang oder eine RDP-Verbindung offen gelassen hat, lädt Angreifer praktisch ein. Sie probieren automatisiert Tausende Passwörter durch. Wenn sie reinkommen, sparen sie sich den Phishing-Umweg und sitzen direkt im System.

Drei Einfallstore, die wir in der Praxis am häufigsten sehen

Wenn wir bei einem Handwerks- oder Industriebetrieb eine Bestandsaufnahme machen, finden wir die meisten Schwachstellen in drei Bereichen.

Phishing-Mails und schwache Mail-Sicherheit. Ohne professionelle Mail-Security passieren gefälschte Rechnungen, Login-Seiten und Anhänge ungefiltert in den Posteingang. Mitarbeiter sind keine geschulten Sicherheitsexperten, das müssen sie auch nicht sein. Aber das Filtersystem dahinter sollte einen großen Teil des Mülls vorher abfangen.

Unsichere Remote-Zugänge. TeamViewer-Installationen aus dem Privatgebrauch, RDP-Ports, die nach außen offen sind, gemeinsam genutzte Passwörter ohne Zwei-Faktor-Authentifizierung. Jeder dieser Punkte ist ein Vollzugang für Angreifer, sobald das Passwort einmal in einer Datenbank im Darknet landet.

Veraltete Systeme ohne Patch-Management. Ein Server, der seit zwei Jahren keine Updates mehr bekommen hat. Eine Werkstattsoftware, die nur auf Windows 8 läuft. Ein Drucker mit veralteter Firmware, der als Brückenkopf ins Netz dient. Was unauffällig läuft, fällt selten auf, ist aber genau die Stelle, an der Angreifer ansetzen.

Welche Maßnahmen wirklich Schutz bringen

Sicherheit im Handwerk muss nicht aus zehn Einzellösungen bestehen. Sechs Maßnahmen bringen in der Praxis den größten Schutz im Verhältnis zum Aufwand.

  1. Professionelle Mail-Security. Ein vorgelagertes Filtersystem, das Phishing, Spoofing und Schadsoftware vor dem Posteingang abfängt. Die wirkungsvollste Einzelmaßnahme, weil über 80 Prozent aller Angriffe über E-Mail beginnen.
  2. EDR auf allen Endgeräten. Endpoint Detection and Response erkennt nicht nur bekannte Viren, sondern auch verdächtiges Verhalten. Wenn ein Programm anfängt, hunderte Dateien zu verschlüsseln, schlägt das System Alarm und stoppt den Vorgang.
  3. Sichere Remote-Zugänge mit Zwei-Faktor-Authentifizierung. Kein offener RDP-Port mehr, keine geteilten Passwörter, sondern saubere VPN-Verbindungen mit MFA. Damit sind die meisten automatisierten Angriffe vom Tisch.
  4. Strukturierte Backup-Strategie mit Tests. Backups, die nicht getestet werden, sind keine Backups. Eine durchdachte Strategie sichert Server, Clients und Microsoft 365 in mehreren Stufen, davon mindestens eine offline oder mit Versionierung. Im Ernstfall ist das der Unterschied zwischen drei Tagen Stillstand und drei Wochen.
  5. Patch-Management. Updates für Betriebssysteme, Anwendungen und Firmware werden systematisch eingespielt, dokumentiert und überwacht. Damit verschwindet die größte stille Angriffsfläche.
  6. Mitarbeiter-Awareness. Eine kurze, regelmäßige Schulung sensibilisiert das Team, ohne es zu überfordern. Wir sprechen bei ZANONI von der „menschlichen Firewall“: Wer eine verdächtige Mail erkennt, klickt nicht.

Diese sechs Bausteine sind genau die Themen, die wir im Rahmen unserer IT-Sicherheits-Lösungen für Handwerks- und Industriebetriebe umsetzen.

In drei Schritten zu einer pragmatischen Sicherheitsstrategie

In drei Schritten zu einer pragmatischen Sicherheitsstrategie

Sicherheit im Handwerk muss nicht alles auf einmal sein. Wir gehen in der Regel in drei Schritten vor.

  1. Sicherheitscheck. Wir prüfen den aktuellen Stand: Mail-Sicherheit, Endgeräte, Remote-Zugänge, Backup, Berechtigungen, Updates. Sie erhalten eine ehrliche Einschätzung, was kritisch ist und was warten kann.
  2. Priorisierung nach Risiko. Aus dem Check ergibt sich eine Reihenfolge: Was sofort, was im nächsten Quartal, was strategisch. Wir trennen klar zwischen Sofortmaßnahmen, mittelfristiger Stabilisierung und langfristiger Weiterentwicklung.
  3. Schrittweise Umsetzung und laufende Betreuung. Maßnahmen werden so umgesetzt, dass der Werkstatt- und Bürobetrieb nicht beeinträchtigt wird. Anschließend übernehmen wir Monitoring, Updates und regelmäßige Sicherheitsprüfungen im Rahmen der laufenden IT-Betreuung für Handwerks- und Industriebetriebe.

Häufige Fragen

Zu den typischen Anzeichen gehören Geräte, die plötzlich ungewöhnlich langsam laufen, unbekannte Logins in Microsoft 365, fehlende oder veränderte Dateien und Mails, die Sie scheinbar selbst verschickt haben, ohne sich daran zu erinnern. Im Zweifel gilt: bei verdächtigen Ereignissen sofort die IT-Betreuung informieren, statt selbst herumzuprobieren.

Eine Zahlung wird vom Bundesamt für Sicherheit in der Informationstechnik ausdrücklich nicht empfohlen. Es gibt keine Garantie, die Daten zurückzubekommen, und jede Zahlung finanziert die nächste Welle. Mit einer geprüften Backup-Strategie und einem Notfallplan stellt sich die Frage in der Praxis seltener.

Das hängt von der Anzahl der Arbeitsplätze, der Serverstruktur und der bestehenden Ausgangslage ab. Eine belastbare Grundausstattung mit Mail-Security, EDR, sicheren Remote-Zugängen und einer geprüften Backup-Strategie ist in den meisten Betrieben mit überschaubarem monatlichem Aufwand abbildbar. Nach einer Bestandsaufnahme erhalten Sie ein transparent kalkuliertes Angebot.

Direkt betroffen sind vor allem Unternehmen ab einer bestimmten Größe oder in besonders kritischen Sektoren. Indirekt betrifft NIS2 viele Handwerksbetriebe, die für solche Unternehmen tätig sind, weil Sicherheitsanforderungen über Lieferketten weitergegeben werden. Die rechtliche Detailbewertung erfolgt mit spezialisierten Juristen, technisch unterstützen wir bei der Umsetzung.

Klassischer Antivirenschutz erkennt nur bekannte Bedrohungen. Moderne Angriffe verändern sich schneller, als Signaturen aktualisiert werden. EDR ergänzt den klassischen Schutz um die Verhaltensanalyse und ist in Handwerks- und Industriebetrieben heute der angemessene Standard.

Sicherheit im Handwerk ist keine Frage des Aufwands, sondern der Reihenfolge

Cyberangriffe auf Handwerksbetriebe sind real und sie nehmen zu. Die gute Nachricht: Mit wenigen, klar priorisierten Maßnahmen sind die häufigsten Angriffswege schließbar. Es braucht weder ein eigenes Sicherheitsteam noch ein Sechsstelliges Budget. Es braucht einen Partner, der die typischen Schwachstellen in Werkstatt, Lager und Büro kennt und sie mit Augenmaß abräumt.

Mit unserer IT-Betreuung für Handwerks- und Industriebetriebe sorgen wir genau dafür: pragmatische Sicherheit, klare Prioritäten und laufende Überwachung.

Jetzt beraten lassen