Ungewohnte Einschränkungen erlebte, wer am Morgen des 9. Juli 2025 versuchte, die Website der Stadt Nürnberg zu erreichen. 
Informationsseiten auf nuernberg.de ließen sich zwar abrufen, aber wichtige Online-Dienste wie Behördenwegweiser, Kontaktformulare und Suchfunktionen funktionierten nicht. Schnell war klar: Es handelte sich nicht um ein Problem der internen städtischen IT-Infrastruktur, sondern um einen externen Angriff. Wie die Zentralstelle Cybercrime bei der Generalstaatsanwaltschaft Bamberg später mitteilte, hatte ein ideologisch geprägtes Hacker-Netzwerk eine sogenannte DDoS-Attacke (Distributed Denial of Service) gestartet. Bei solchen Angriffen werden Websites mit massenhaften, gleichzeitigen Anfragen so überlastet, dass sie zusammenbrechen. 

Der Schaden war rasch behoben und nach Auskunft der Stadt flossen im Zuge dieser Aktion auch keine vertraulichen Daten ab. Aber der Fall zeigte einmal mehr, wie verletzlich viele IT-Systeme in Deutschland sind. Das nutzen viele Hacker aus. Microsoft zufolge richteten sich im ersten Halbjahr 2025 etwa 3,3 Prozent der weltweiten Cyberangriffe gegen deutsche Ziele – damit liegt Deutschland innerhalb der EU an erster Stelle. Als besonders gefährdet sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) neben Kommunen und Verwaltungen auch kleine und mittelgroße Unternehmen. Sie verfügten oft nur über unzureichende IT-Sicherheitsmaßnahmen, stellt die Behörde fest. Zudem sei ihnen ihre Verwundbarkeit vielfach nicht bewusst. Laut Jahresbericht 2024 des BSI galten etwa 80 Prozent der im Berichtszeitraum gezählten Ransomware-Attacken kleinen und mittelgroßen Unternehmen. Bei dieser Art des Cyberangriffs verschlüsselt Schadsoftware Daten oder sperrt Systeme, um dann ein Lösegeld für die Entschlüsselung zu fordern.
 

Fehlerquelle Mensch 

„Viele Unternehmen unterschätzen weiterhin die Bedeutung einer ganzheitlichen und konsequenten IT-Sicherheitsstrategie. Sie denken: Was soll mir schon passieren? Meine Daten sind doch nichts wert“, beobachtet Frank Vollmar, Chief Technical Officer (CTO) beim Verband der Vereine Creditreform (VVC). Diese Einschätzung führe dazu, dass oft einfachste Sicherheitsmechanismen nicht genutzt würden. Zum Beispiel die Multi-Faktor-Authentifizierung (MFA). „Viele Nutzer mögen es bequem: Sie bevorzugen es, sich lediglich mit ihrem Benutzernamen und Passwort in einem System anzumelden, und wollen nicht noch einen weiteren Sicherheitsschlüssel verwenden. Dabei schafft ein dritter Faktor deutlich mehr Sicherheit“, warnt Marco Haack, Lead Service Unit IT beim VVC. 

Die beiden Experten wissen zudem, dass IT-Nutzer häufig nicht sonderlich kreativ sind bei der Passwort-Findung und der Einfachheit halber dasselbe Passwort oft mehrfach nutzen. „Leichter kann man es Hackern nicht machen“, kritisiert Vollmar. Weitere Klassiker, mit denen Mitarbeiter aus Leichtsinn Fremden die Tür zur unternehmenseigenen IT weit öffnen: die leichtsinnige Nutzung eines unbekannten, schadhaften USB-Sticks, der unbedachte Klick auf eine vergiftete E-Mail oder die sorglose Nutzung von ungepatchten (nicht aktualisierten) Systemen oder ungepatchter Software. „Das gefährlichste Einfallstor bleibt der Mensch, der sich unachtsam verhält“, sagt Haack. 

Die Angriffsflächen für Datendiebe werden immer größer. Digitalisierung, Cloud-Dienste, vernetzte Systeme und eine immer größere Anzahl von Web- und Serveranwendungen bieten Hackern zunehmend mehr Möglichkeiten, an ihr Ziel zu kommen. „Sobald heute ein Softwarehersteller einen neuen Sicherheitspatch herausgibt, sollte der sofort aufgespielt werden“, rät Vollmar. 

Wenn ein Angriff auf die firmeneigene IT aber erfolgreich war, verfügen die Geschädigten im besten Fall über ein gutes Backup, um ihre Daten rasch wiederherzustellen. „Backups auf einer Festplatte, die immer mit dem System verbunden ist, nützen jedoch meist nichts“, sagt Haack. Die sei nach einer IT-Attacke oft mit verschlüsselt. Besser sei eine vom System gelöste, regelmäßig aktualisierte Festplatte im Tresor oder die Nutzung von Cloud-Dienstleistungen. „Das kann jeder Handwerksbetrieb mit seiner Kundendatei oder seinen Abrechnungsdaten machen“, rät Haack.

Wie aber schützt Creditreform sich selbst beziehungsweise die Daten ihrer Mitglieder vor Attacken? „Datensicherheit war schon immer elementarer Bestandteil der Strategie von Creditreform. Mit der geänderten Bedrohungslage ist dieses Thema noch wichtiger geworden. Security hat bei uns höchste Priorität. Wir stocken die Kapazitäten stetig auf“, sagt Vollmar. Das heißt: Es gibt bei Creditreform nicht die eine Firewall, sondern mehrere Lines of Defence, die Angreifer aus dem System heraushalten sollen. Der CTO nutzt das Bild einer Burg, die mit mehreren tiefen Wassergräben und hohen Mauern gegen Angreifer gesichert ist. „Wer ein Hindernis überwunden hat, steht gleich vor der nächsten Hürde. Bildlich gesprochen, haben wir inzwischen um jedes Haus innerhalb der Burg weitere Wassergräben gezogen.“
 

Sicherheit als Prozess 

Haack weist darauf hin, dass Creditreform sämtliche Daten in eigenen Rechenzentren oder bei zertifizierten Cloud-Dienstleistern speichert. „Wir nutzen die neuesten Technologien und haben sichergestellt, dass unsere Systeme rund um die Uhr überwacht werden“, sagt der Security-Experte. Dabei handele es sich nicht lediglich um eine Art Rufbereitschaft. „Da arbeiten Experten im Mehrschichtbetrieb und setzen – unterstützt von Künstlicher Intelligenz – alles daran, auffällige Anomalien in einem System zu entdecken.“ Etwa, wenn ein Nutzer versucht, Software aufzuspielen, oder Zugriffe startet, zu denen er nicht berechtigt ist. Viel Zeit zu reagieren, besteht in verdächtigen Situationen meist nicht. „Vom Start eines Angriffs bis zum Erfolg vergehen meist nur wenige Minuten“, erläutert Vollmar.

Wann ist die Mauer hoch genug und der Wassergraben ausreichend tief, sodass kein Unberechtigter ins Innere vordringt? „Nie. IT-Security ist nie abgeschlossen. Sie ist ein stetiger Prozess“, betonen die Creditreform-Experten.