Cyber-Risiken: Wie groß ist die Gefahr von Cyberangriffen?
Unter IT-Sicherheitsspezialisten gibt es eine feste Auffassung: Es gibt zwei Arten von Unternehmen – jene, die bereits gehackt wurden, und jene, die noch nicht gehackt wurden. Dass Cyberangriffe eine ernstzunehmende Bedrohung darstellen, ist für einige Unternehmen nach wie vor unvorstellbar – Studien zeigen es jedoch immer wieder. Tatsächlich gibt es kaum ein Unternehmen, welches in den vergangenen 12 Monaten nicht von Phishing, Social Engineering, Malware wie Ransomware oder Hackern betroffen war. Wir zeigen, welche Cyber-Risiken Sie kennen sollten und wie Sie diese bestmöglich abfedern können.
Cyberangriffe sind allgegenwärtig
Die zur Allianz Gruppe gehörende Allianz Global Corporate & Specialty (AGCS) gibt mit dem „Allianz Risk Barometer“ alljährlich Studienergebnisse heraus, die die wichtigsten Unternehmensrisiken abbilden. Mehr als 2.700 Risiko-Management-Experten aus mehr als 100 Ländern nehmen an dieser Studie teil. Die Studie aus 2020 zeigte: Erstmals waren Cybervorfälle das wichtigste Geschäftsrisiko für Unternehmen auf der ganzen Welt. Joachim Müller stellte als CEO der AGCS fest: „Die Vorbereitung auf Cyber- und Klimarisiken ist eine Frage des Wettbewerbsvorteils und der wirtschaftlichen Resilienz in Zeiten der Digitalisierung und globalen Erwärmung.“
„Cybergefahren und der Klimawandel“ seien für Müller „die beiden großen Herausforderungen für Unternehmen im neuen Jahrzehnt“. „Wenn sich Vorstände und Risikomanager jedoch nicht mit Cyber- und Klimarisiken beschäftigen, könnte dies die operative Leistung, die Finanzergebnisse und die Reputation ihrer Unternehmen maßgeblich beeinträchtigen“, so Müller weiter.
Allianz Risk Barometer 2021
Die aktuellen Studienergebnisse des diesjährigen Allianz Risk Barometer haben die Werte aufgrund der Pandemie etwas verschoben: Für 2021 werden Betriebsunterbrechungen, Pandemie-Ausbruch sowie Cyber-Risiken als die drei wichtigsten Geschäftsrisiken betrachtet. Betriebsunterbrechungen waren in 2020 an der Tagesordnung: Zum einen aufgrund der Pandemie, viele Unternehmen hatten Zwangspause. Zum anderen aber auch aufgrund von Cybersicherheitsvorfällen.
Tatsächlich deckt der AGCS-Report auf, dass Betriebsunterbrechungen aufgrund von Cybervorfällen am teuersten sind: Aus ihnen entstehen 60 % all jener Schäden, die bei digitalen Problemen in Firmen entstehen. Die Mehrzahl aller entstehenden Schäden sind auf menschliches Versagen sowie interne Systemausfälle zurückzuführen. Kriminelle Angriffe jedoch wie Ransomware oder Phishing rufen die höchsten Verluste hervor.
Cyber-Risiken: Der Faktor Mensch
Der Faktor Mensch ist beim Thema Cybersicherheit zwar mehr ins Bewusstsein gerückt, jedoch wird noch zu wenig zur Senkung dieses Cyberrisikos unternommen. Tatsächlich kann IT-Sicherheit immer nur so gut sein wie der Anwendende, der die Techniken nutzt. Es ist von essenzieller Bedeutung, Mitarbeitende durch Schulungen zu sensibilisieren und auf etwaige Gefahren vorzubereiten. Gerade Angriffe per Social Engineering sowie Phishing funktionieren hervorragend auf Nutzende, die nicht gut auf diese Art eines Angriffs vorbereitet sind.
Social Engineering
Verstehen Sie Social Engineering als betrügerische Form unterschwelliger Beeinflussung, um an wertvolle Informationen zu gelangen. Sprich: Es handelt sich um gezielte Manipulation. Häufig nehmen die Cyberkriminellen dann die Form eines Bekannten an oder mimen den vertrauenswürdigen Handwerker. Sie können auch vortäuschen, Bankmitarbeiter oder sogar die Feuerwehr zu sein. So gelingt es den Tätern, sich das Vertrauen zu erschleichen – und im zweiten Schritt dann an wertvolle Informationen wie Daten zu gelangen. Beim Social Engineering werden die Opfer also für kriminelle Zwecke instrumentalisiert.
Konkret kann ein Social Engineering-Angriff per E-Mail oder auch per Nachricht über soziale Netzwerke beginnen. Auch eine Phishing-Mail, die auf eine gefälschte Website lockt und den Anwendenden dazu verführt, private Daten einzugeben, ist eine Form des Social Engineering-Angriffs. Behörden und staatliche Institutionen können genauso zum Social Engineering-Opfer werden wie Unternehmen oder Privatpersonen. Tatsächlich gibt es immens viele Arten von Social Engineering: Nicht immer müssen Daten bzw. Informationen oder Geld eine Rolle spielen. Das Opfer kann auch dazu verführt werden, Schadsoftware auf Rechnern zu installieren oder Sicherheitsfunktionen außer Kraft zu setzen.
Ein sehr klassisches Beispiel ist Folgendes: Der Cyberkriminelle gibt sich als Systemadministrator des Unternehmens aus. Er ruft in der Zentrale an und behauptet, zur Behebung eines Systemfehlers das Passwort zu benötigen. Das arglose Opfer glaubt an die Geschichte und möchte mithelfen, die Sicherheit zu erhöhen. Das Opfer glaubt also, das Richtige zu tun, indem es das Passwort preisgibt. Je nach Autoritätslevel des Opfers können die Schäden durch Social Engineering erheblich sein!
Phishing
Wie bereits angeklungen ist, ist das Phishing auch eine Form des Social Engineering-Angriffs: Dem Opfer wird etwas vorgetäuscht, um Daten abzufischen. Auch hier tarnen sich die Angreifer also als vertrauenswürdige Quelle, beispielsweise als Hausbank eines Unternehmens. Nun soll das Opfer dazu gebracht werden, sensible Informationen herauszugeben oder Malware zu installieren. Erschreckend: Laut einer Studie waren 2020 drei Viertel aller Unternehmen von Phishing-Angriffen betroffen.
Nach wie vor ist die E-Mail beim Phishing der beliebteste Vektor. Doch auch gefälschte Websites sind denkbar, ebenso wie Chat-Tools, Telefonanrufe oder auch Nachrichten per Social Media. So gab es bereits Cyberkriminelle, die sich als gemeinnützige Organisation getarnt haben, um durch Spendenaufrufe als Zahlungsdaten von Spendenwilligen zu gelangen. Gerade in der Corona-Pandemie werden vermeintliche Informationen über das Virus zum Anlass genommen, Links zu angeblichen Covid-19-Informationen anzuklicken. In unserem Beitrag „Phishing-Mails: Corona beflügelt Cyberkriminalität“ sind wir darauf detaillierter eingegangen.
Awareness: Mitarbeiter-Sensibilisierung
Wie bereits verdeutlicht, sind Vorkehrungen zur IT-Sicherheit immer nur so gut wie derjenige, der diese technischen Mittel anwendet. Es ist von höchster Wichtigkeit für eine gelungene IT-Sicherheitsstrategie, die Tatsache anzuerkennen, dass Mitarbeitende Teil dieser Sicherheitsstrategie sein müssen. Mitarbeitende, die die Gefahren nicht kennen, die vom Phishing ausgehen, werden weiterhin jeden Link anklicken und wertvolle Informationen direkt in die Hände der Cyberkriminellen geben. Mitarbeitende, die sich der Gefahren bewusst sind, agieren deutlich umsichtiger.
Um dies zu erreichen, muss ein Sicherheitsbewusstsein für Cyber-Risiken vorhanden sein – man spricht auch von „Awareness“. Dieses Sicherheitsbewusstsein versetzt Mitarbeitende in die Lage, Cyber-Risiken nicht nur zu erkennen, sondern auch handlungsfähig zu bleiben. Grundsätzlich zeigt sich, dass in Unternehmen, die auf Awareness-Schulungen setzen, Sicherheitsrisiken effizient sinken. Oder andersrum: Geschulte Mitarbeitende sind der Kern sicherer Unternehmen. Verstehen Sie Security-Awareness als wesentlichen Baustein zur Informationssicherheit Ihrer Organisation.
Cyber-Risiken: Das Unternehmensnetzwerk
Das Unternehmensnetzwerk ist – neben dem Faktor Mensch – der zweite relevante Aspekt in Bezug auf Cyber-Risiken. Zum Unternehmensnetzwerk gehören auch alle damit gekoppelten Geräte. Hier geht es nicht nur darum, Schatten-IT zu vermeiden, sondern auch darum, alle im Netzwerk befindlichen Geräte sowie deren Software aktuell zu halten, korrekt zu konfigurieren und zu überwachen. Sehen wir uns das im Einzelnen an:
Patches zeitnah einspielen
Es hat sich zwar herumgesprochen, doch noch immer herrscht hier und da Update-Müdigkeit: Sicherheitsrelevante Patches sind möglichst zeitnah einzuspielen. Idealerweise werden Update-Prozesse automatisiert. So kann nichts vergessen werden und die im Netzwerk genutzte Software bleibt stets aktuell.
Firewall & Monitoring
Die Firewall stellt ein Sicherungssystem dar, welches vor unerwünschten Netzwerkzugriffen schützt. Moderne Router sind in aller Regel mit Firewall-Funktionen ausgerüstet. In Firmennetzwerken sind mitunter auch Hardware-Firewalls sinnvoll: Sie schützen das Firmennetzwerk vor der Außenwelt, jedoch deutlich umfangreicher als Router-interne Firewalls. Firewalls sind auch sinnvoll, um große Unternehmensnetzwerke in kleinere Segmente zu gliedern. So schaffen Sie kontrollierte Übergänge und es gelingt beispielsweise, das HR-Management von der Buchhaltung zu trennen oder mitgebrachte Geräte vom Firmennetzwerk (Stichwort Schatten-IT).
Das Netzwerk-Monitoring unterstützt dabei, in immer komplexer werdenden Netzwerkinfrastrukturen den Überblick zu behalten. So kann ein möglichst reibungsloser IT-Betrieb angestrebt werden. Unternehmen, die ihre Netzwerke ganzheitlich überwachen, entdecken versteckte Probleme, die sich auf die Sicherheit und Leistung der Infrastruktur auswirken können. Der Einblick ins gesamte Netzwerk einschließlich aller Schnittstellen sorgt dafür, dass keine blinden Flecken in der Infrastruktur auftauchen, die potenzielle Cyber-Risiken verursachen können.
Multiple Angriffsvektoren
Cyberkriminelle setzen immer häufiger auf Multivektor-Angriffe. Sie suchen sich also nicht mehr einen Vektor, den sie konkret angreifen, sondern führen verschiedene Angriffsvektoren entweder abwechselnd oder auch gleichzeitig aus. Das bedeutet für Unternehmen, dass sich auch der Schutz auf alle möglichen Vektoren erstrecken muss. In unserem Beitrag „DDoS-Angriffe nehmen weiter Fahrt auf“ sind wir auf Multivektoren-Angriffe detaillierter eingegangen.
Cloud-Sicherheit
Daten werden immer häufiger in die Cloud ausgelagert. Das ist auch sinnvoll: Von überall lässt sich darauf zugreifen, sodass Informationen, die abteilungsübergreifend benötigt werden, immer verfügbar sind – völlig unabhängig vom Arbeitsstandort. Hier gilt es, in mehreren Hinsichten vorsichtig zu agieren: Zum einen ist das Nutzen von US-Cloud-Anbietern nicht oder nur mit zusätzlicher Konfiguration DSGVO-konform. Zum anderen sollten auch die Zugriffe auf Clouddaten beschränkt werden: Der Vertrieb muss beispielsweise nicht auf Gehaltsabrechnungen eigener Kollegen zugreifen können. Wie immer gilt also, sinnvolle Zugriffsberechtigungen zu erteilen. Informationen darüber, wie Sie die Cloud sicher nutzen können, finden Sie in unserem Beitrag „Cloud Security: Cloud-Sicherheit auf dem Prüfstand“.
Dass die Cloud und geteiltes Wissen auch die kollektive Sicherheit steigern können, hat das Unternehmen Net at Work mit seiner Anti-Spam-Cloud Heimdall bewiesen. Die Anti-Spam-Cloud setzt auf Schwarmintelligenz und soll zweifach schützen. Wie das konkret aussieht, verraten wir Ihnen in unserem Beitrag „Anti-Spam-Cloud: Projekt Heimdall gegen Cyberattacken“.
Künstliche Intelligenz: KI für mehr Sicherheit?
Künstliche Intelligenz (KI) und damit zusammenhängend auch Machine Learning (ML) sind ein Trend – sowohl in der Cybersecurity als auch bei Cyberkriminellen! Aufseiten der IT-Sicherheit tragen KI und ML dazu bei, etwaige Anomalien zügiger zu entdecken. Risikobereiche lassen sich besser voraussagen, sodass ein effizienter Cybersicherheitsplan entstehen kann. Entgegen manuellen Monitoring-Methoden beispielsweise überwachen KI- bzw. ML-basierte Algorithmen tagtäglich Millionen Ereignisse. Dies führt zu Mustererkennungen, sodass bösartige Aktivitäten schneller ans Tageslicht gelangen.
KI kann zudem riesige Datenmengen parallel verarbeiten – dies bringt den Vorteil mit sich, dass Verstöße am Tag Null erkannt und markiert werden. Der ML-Mechanismus reift an der täglich wachsenden Zahl an Anwendungsfällen, sodass er ab einem gewissen Zeitpunkt die menschlichen Fähigkeiten übersteigt. Aufgrund dieser schnellen Lernkurve versteht und analysiert KI das Nutzerverhalten haarklein. So gelingt es, Vorfälle zu erkennen, bevor sie überhaupt passiert sind. Durch Selbstheilungsvorgänge können Schäden erfolgreich und ohne großen Aufwand eingedämmt werden. Automatisierungen führen zu Routineprozessen.
KI lässt sich also dafür nutzen, Daten sowie Erkenntnisse erfassen zu können, um potenzielle Bedrohungen schneller zu erkennen. KI ermöglicht jedoch auch eine schnellere Reaktion auf Bedrohungen. Tatsächlich kann KI beispielsweise auch dabei helfen, das Verhalten von Ransomware-Angriffen zu analysieren, bevor ein System verschlüsselt wird. So können also KI-Systeme schädlichen Aktivitäten vorbeugen und sie beispielsweise im Netzwerk isolieren, sodass ihre schädliche Wirkung limitiert wird.
Künstliche Intelligenz wird jedoch auch längst von Cyberkriminellen verwendet. Wie dies aussehen kann, erklärte it-daily.net im Beitrag „KI in der Cybersecurity: Komplize oder Kollege?“.
Cyber-Risiken im Wandel der Zeit
Nicht nur Technologien selbst, sondern auch unser Arbeitsleben wandelt sich. Von KI haben vor einigen Jahren nur Exoten gehört, heute ist sie selbstverständlich. Die Corona-Krise sorgte zudem dafür, dass sich das Arbeitsleben zunehmend ins Home-Office verlegt hat. Lesen Sie dazu bitte unseren Beitrag „IT-Sicherheit im Home-Office“. Hinzu kommt, dass auch das Arbeitsleben immer mehr vom Internet of Things-Trend (IoT) durchtränkt wird – und hier lauern neue Gefahren.
Das Home-Office ist oft mit privaten IoT-Tools ausgestattet. Daran ist vieles problematisch: Wieder ergibt sich Schatten-IT und aufgrund von Massenproduktionen, bei denen eher auf Preise als auf Sicherheit geachtet wird, sind IoT-Produkte oft unsicher. Mitarbeitende, die dies nicht wissen, weil sie nicht für diese Cyber-Risiken sensibilisiert wurden, öffnen mit der Nutzung von IoT-Geräten Tür und Tor für Hacker. Ausspähungen, DDoS-Angriffe auf IoT-Geräte oder Spionageangriffe durch Hintertüren in IoT-Geräten: All das ist Realität. Das BSI erklärt im Grundschutz-Kompendium unter SYS.4: Sonstige Systeme (PDF) die Gefährdungslage durch IoT-Geräte und benennt Anforderungen, die zur Sicherheit beitragen.
Cyber-Risiken: Seien Sie vorbereitet!
Studien bringen es immer und immer wieder ans Tageslicht: Zahlreiche Unternehmen hinken leider mit der IT-Sicherheit hinterher. Es werden US-Cloud-Anbieter genutzt, ohne die DSGVO zu beachten. IoT-Geräte sollen das Büroleben erleichtern, ohne sie vor unbefugten Zugriffen abzusichern. Schatten-IT hängt unbemerkt im Unternehmensnetzwerk – und wird zur Malware-Schleuder. Im Home-Office greift man ohne VPN aufs Unternehmensnetzwerk zu. Und ganz nebenher wird der Mitarbeitende an der Zentrale von Cyberkriminellen per Social Engineering dazu bewogen, Passwörter durchzugeben.
All das ist tatsächlich Alltag in vielen Unternehmen. Weil es am Wesentlichen fehlt: An einem Bewusstsein für diese Gefahren und am Wissen darüber, wie man sie abwehrt. Awareness ist der Schlüssel zum Schutz vor Cyber-Risiken: Mitarbeitersensibilisierungen erhöhen das Sicherheitsbewusstsein im Unternehmen massiv. Aber auch das Unternehmensnetzwerk muss ständig geschützt sein. Dazu kann man auf KI setzen, um die IT-Teams deutlich zu entlasten.
Mit Corona, dem Home-Office als neuem Arbeitsplatz, einer steigenden Angriffsfläche aufgrund neuartiger Technologien und voranschreitender Digitalisierung wird es nicht leichter, IT-Sicherheit umzusetzen – im Gegenteil: IT-Sicherheit wird individueller. Letztlich muss Ihre Strategie zu Ihrer Organisation passen. Lernen Sie die Cyber-Risiken kennen, die für Sie relevant sind, und treffen Sie dann entsprechende Vorkehrungen.
Da der Schutz vor Cyber-Risiken keine leichte Herausforderung ist, können Sie gerne auf unsere Unterstützung setzen! Neben Mitarbeiterschulungen bieten wir auch sehr praktische Umsetzungshilfen an, wie Ist-Analysen durch unser zertifiziertes Expertenteam, Beratungen oder das Stellen eines Informationssicherheitsbeauftragten (ISB) bzw. Datenschutzbeauftragten (DSB). Nehmen Sie einfach Kontakt zu uns auf und unsere Experten stehen auch Ihnen zur Seite – bedarfsgerecht und immer auf Augenhöhe.
Schreibe einen Kommentar