Unter IT-Sicherheitsspezialisten gibt es eine feste Auffassung: Es gibt zwei Arten von Unternehmen \u2013 jene, die bereits gehackt wurden, und jene, die noch nicht gehackt wurden. Dass Cyberangriffe eine ernstzunehmende Bedrohung darstellen, ist f\u00fcr einige Unternehmen nach wie vor unvorstellbar \u2013 Studien zeigen es jedoch immer wieder. Tats\u00e4chlich gibt es kaum ein Unternehmen, welches in den vergangenen 12 Monaten nicht von Phishing, Social Engineering, Malware wie Ransomware oder Hackern betroffen war. Wir zeigen, welche Cyber-Risiken Sie kennen sollten und wie Sie diese bestm\u00f6glich abfedern k\u00f6nnen.<\/p>\n
Die zur Allianz Gruppe geh\u00f6rende Allianz Global Corporate & Specialty (AGCS) gibt mit dem \u201eAllianz Risk Barometer\u201c allj\u00e4hrlich Studienergebnisse heraus, die die wichtigsten Unternehmensrisiken abbilden. Mehr als 2.700 Risiko-Management-Experten aus mehr als 100 L\u00e4ndern nehmen an dieser Studie teil. Die Studie aus 2020 zeigte: Erstmals waren Cybervorf\u00e4lle das wichtigste Gesch\u00e4ftsrisiko f\u00fcr Unternehmen auf der ganzen Welt. Joachim M\u00fcller stellte als CEO der AGCS fest: \u201eDie Vorbereitung auf Cyber- und Klimarisiken ist eine Frage des Wettbewerbsvorteils und der wirtschaftlichen Resilienz in Zeiten der Digitalisierung und globalen Erw\u00e4rmung.\u201c<\/p>\n
\u201eCybergefahren und der Klimawandel\u201c seien f\u00fcr M\u00fcller \u201edie beiden gro\u00dfen Herausforderungen f\u00fcr Unternehmen im neuen Jahrzehnt\u201c. \u201eWenn sich Vorst\u00e4nde und Risikomanager jedoch nicht mit Cyber- und Klimarisiken besch\u00e4ftigen, k\u00f6nnte dies die operative Leistung, die Finanzergebnisse und die Reputation ihrer Unternehmen ma\u00dfgeblich beeintr\u00e4chtigen\u201c, so M\u00fcller weiter.<\/p>\n
Die aktuellen Studienergebnisse des diesj\u00e4hrigen Allianz Risk Barometer haben die Werte aufgrund der Pandemie etwas verschoben: F\u00fcr 2021 werden Betriebsunterbrechungen, Pandemie-Ausbruch sowie Cyber-Risiken als die drei wichtigsten Gesch\u00e4ftsrisiken betrachtet. Betriebsunterbrechungen waren in 2020 an der Tagesordnung: Zum einen aufgrund der Pandemie, viele Unternehmen hatten Zwangspause. Zum anderen aber auch aufgrund von Cybersicherheitsvorf\u00e4llen.<\/p>\n
Tats\u00e4chlich deckt der AGCS-Report auf, dass Betriebsunterbrechungen aufgrund von Cybervorf\u00e4llen am teuersten sind: Aus ihnen entstehen 60 % all jener Sch\u00e4den, die bei digitalen Problemen in Firmen entstehen. Die Mehrzahl aller entstehenden Sch\u00e4den sind auf menschliches Versagen sowie interne Systemausf\u00e4lle zur\u00fcckzuf\u00fchren. Kriminelle Angriffe jedoch wie Ransomware oder Phishing rufen die h\u00f6chsten Verluste hervor.<\/p>\n
Der Faktor Mensch ist beim Thema Cybersicherheit zwar mehr ins Bewusstsein ger\u00fcckt, jedoch wird noch zu wenig zur Senkung dieses Cyberrisikos unternommen. Tats\u00e4chlich kann IT-Sicherheit immer nur so gut sein wie der Anwendende, der die Techniken nutzt. Es ist von essenzieller Bedeutung, Mitarbeitende durch Schulungen zu sensibilisieren und auf etwaige Gefahren vorzubereiten. Gerade Angriffe per Social Engineering sowie Phishing funktionieren hervorragend auf Nutzende, die nicht gut auf diese Art eines Angriffs vorbereitet sind.<\/p>\n
Verstehen Sie Social Engineering als betr\u00fcgerische Form unterschwelliger Beeinflussung, um an wertvolle Informationen zu gelangen. Sprich: Es handelt sich um gezielte Manipulation. H\u00e4ufig nehmen die Cyberkriminellen dann die Form eines Bekannten an oder mimen den vertrauensw\u00fcrdigen Handwerker. Sie k\u00f6nnen auch vort\u00e4uschen, Bankmitarbeiter oder sogar die Feuerwehr zu sein. So gelingt es den T\u00e4tern, sich das Vertrauen zu erschleichen \u2013 und im zweiten Schritt dann an wertvolle Informationen wie Daten zu gelangen. Beim Social Engineering werden die Opfer also f\u00fcr kriminelle Zwecke instrumentalisiert.<\/p>\n
Konkret kann ein Social Engineering-Angriff per E-Mail oder auch per Nachricht \u00fcber soziale Netzwerke beginnen. Auch eine Phishing-Mail, die auf eine gef\u00e4lschte Website lockt und den Anwendenden dazu verf\u00fchrt, private Daten einzugeben, ist eine Form des Social Engineering-Angriffs. Beh\u00f6rden und staatliche Institutionen k\u00f6nnen genauso zum Social Engineering-Opfer werden wie Unternehmen oder Privatpersonen. Tats\u00e4chlich gibt es immens viele Arten von Social Engineering: Nicht immer m\u00fcssen Daten bzw. Informationen oder Geld eine Rolle spielen. Das Opfer kann auch dazu verf\u00fchrt werden, Schadsoftware auf Rechnern zu installieren oder Sicherheitsfunktionen au\u00dfer Kraft zu setzen.<\/p>\n
Ein sehr klassisches Beispiel ist Folgendes: Der Cyberkriminelle gibt sich als Systemadministrator des Unternehmens aus. Er ruft in der Zentrale an und behauptet, zur Behebung eines Systemfehlers das Passwort zu ben\u00f6tigen. Das arglose Opfer glaubt an die Geschichte und m\u00f6chte mithelfen, die Sicherheit zu erh\u00f6hen. Das Opfer glaubt also, das Richtige zu tun, indem es das Passwort preisgibt. Je nach Autorit\u00e4tslevel des Opfers k\u00f6nnen die Sch\u00e4den durch Social Engineering erheblich sein!<\/p>\n
Wie bereits angeklungen ist, ist das Phishing auch eine Form des Social Engineering-Angriffs: Dem Opfer wird etwas vorget\u00e4uscht, um Daten abzufischen. Auch hier tarnen sich die Angreifer also als vertrauensw\u00fcrdige Quelle, beispielsweise als Hausbank eines Unternehmens. Nun soll das Opfer dazu gebracht werden, sensible Informationen herauszugeben oder Malware zu installieren. Erschreckend: Laut einer Studie<\/a> waren 2020 drei Viertel aller Unternehmen von Phishing-Angriffen betroffen.<\/p>\n Nach wie vor ist die E-Mail beim Phishing der beliebteste Vektor. Doch auch gef\u00e4lschte Websites sind denkbar, ebenso wie Chat-Tools, Telefonanrufe oder auch Nachrichten per Social Media. So gab es bereits Cyberkriminelle, die sich als gemeinn\u00fctzige Organisation getarnt haben, um durch Spendenaufrufe als Zahlungsdaten von Spendenwilligen zu gelangen. Gerade in der Corona-Pandemie werden vermeintliche Informationen \u00fcber das Virus zum Anlass genommen, Links zu angeblichen Covid-19-Informationen anzuklicken. In unserem Beitrag \u201ePhishing-Mails: Corona befl\u00fcgelt Cyberkriminalit\u00e4t\u201c<\/a> sind wir darauf detaillierter eingegangen.<\/p>\n Wie bereits verdeutlicht, sind Vorkehrungen zur IT-Sicherheit immer nur so gut wie derjenige, der diese technischen Mittel anwendet. Es ist von h\u00f6chster Wichtigkeit f\u00fcr eine gelungene IT-Sicherheitsstrategie, die Tatsache anzuerkennen, dass Mitarbeitende Teil dieser Sicherheitsstrategie sein m\u00fcssen. Mitarbeitende, die die Gefahren nicht kennen, die vom Phishing ausgehen, werden weiterhin jeden Link anklicken und wertvolle Informationen direkt in die H\u00e4nde der Cyberkriminellen geben. Mitarbeitende, die sich der Gefahren bewusst sind, agieren deutlich umsichtiger.<\/p>\n Um dies zu erreichen, muss ein Sicherheitsbewusstsein f\u00fcr Cyber-Risiken vorhanden sein \u2013 man spricht auch von \u201eAwareness\u201c. Dieses Sicherheitsbewusstsein versetzt Mitarbeitende in die Lage, Cyber-Risiken nicht nur zu erkennen, sondern auch handlungsf\u00e4hig zu bleiben. Grunds\u00e4tzlich zeigt sich, dass in Unternehmen, die auf Awareness-Schulungen<\/a> setzen, Sicherheitsrisiken effizient sinken. Oder andersrum: Geschulte Mitarbeitende sind der Kern sicherer Unternehmen. Verstehen Sie Security-Awareness als wesentlichen Baustein zur Informationssicherheit Ihrer Organisation.<\/p>\n Das Unternehmensnetzwerk ist \u2013 neben dem Faktor Mensch \u2013 der zweite relevante Aspekt in Bezug auf Cyber-Risiken. Zum Unternehmensnetzwerk geh\u00f6ren auch alle damit gekoppelten Ger\u00e4te. Hier geht es nicht nur darum, Schatten-IT zu vermeiden, sondern auch darum, alle im Netzwerk befindlichen Ger\u00e4te sowie deren Software aktuell zu halten, korrekt zu konfigurieren und zu \u00fcberwachen. Sehen wir uns das im Einzelnen an:<\/p>\n Es hat sich zwar herumgesprochen, doch noch immer herrscht hier und da Update-M\u00fcdigkeit: Sicherheitsrelevante Patches sind m\u00f6glichst zeitnah einzuspielen. Idealerweise werden Update-Prozesse automatisiert. So kann nichts vergessen werden und die im Netzwerk genutzte Software bleibt stets aktuell.<\/p>\n Die Firewall stellt ein Sicherungssystem dar, welches vor unerw\u00fcnschten Netzwerkzugriffen sch\u00fctzt. Moderne Router sind in aller Regel mit Firewall-Funktionen ausger\u00fcstet. In Firmennetzwerken sind mitunter auch Hardware-Firewalls sinnvoll: Sie sch\u00fctzen das Firmennetzwerk vor der Au\u00dfenwelt, jedoch deutlich umfangreicher als Router-interne Firewalls. Firewalls sind auch sinnvoll, um gro\u00dfe Unternehmensnetzwerke in kleinere Segmente zu gliedern. So schaffen Sie kontrollierte \u00dcberg\u00e4nge und es gelingt beispielsweise, das HR-Management von der Buchhaltung zu trennen oder mitgebrachte Ger\u00e4te vom Firmennetzwerk (Stichwort Schatten-IT).<\/p>\n Das Netzwerk-Monitoring unterst\u00fctzt dabei, in immer komplexer werdenden Netzwerkinfrastrukturen den \u00dcberblick zu behalten. So kann ein m\u00f6glichst reibungsloser IT-Betrieb angestrebt werden. Unternehmen, die ihre Netzwerke ganzheitlich \u00fcberwachen, entdecken versteckte Probleme, die sich auf die Sicherheit und Leistung der Infrastruktur auswirken k\u00f6nnen. Der Einblick ins gesamte Netzwerk einschlie\u00dflich aller Schnittstellen sorgt daf\u00fcr, dass keine blinden Flecken in der Infrastruktur auftauchen, die potenzielle Cyber-Risiken verursachen k\u00f6nnen.<\/p>\n Cyberkriminelle setzen immer h\u00e4ufiger auf Multivektor-Angriffe. Sie suchen sich also nicht mehr einen Vektor, den sie konkret angreifen, sondern f\u00fchren verschiedene Angriffsvektoren entweder abwechselnd oder auch gleichzeitig aus. Das bedeutet f\u00fcr Unternehmen, dass sich auch der Schutz auf alle m\u00f6glichen Vektoren erstrecken muss. In unserem Beitrag \u201eDDoS-Angriffe nehmen weiter Fahrt auf\u201c<\/a> sind wir auf Multivektoren-Angriffe detaillierter eingegangen.<\/p>\n Daten werden immer h\u00e4ufiger in die Cloud ausgelagert. Das ist auch sinnvoll: Von \u00fcberall l\u00e4sst sich darauf zugreifen, sodass Informationen, die abteilungs\u00fcbergreifend ben\u00f6tigt werden, immer verf\u00fcgbar sind \u2013 v\u00f6llig unabh\u00e4ngig vom Arbeitsstandort. Hier gilt es, in mehreren Hinsichten vorsichtig zu agieren: Zum einen ist das Nutzen von US-Cloud-Anbietern nicht oder nur mit zus\u00e4tzlicher Konfiguration DSGVO-konform. Zum anderen sollten auch die Zugriffe auf Clouddaten beschr\u00e4nkt werden: Der Vertrieb muss beispielsweise nicht auf Gehaltsabrechnungen eigener Kollegen zugreifen k\u00f6nnen. Wie immer gilt also, sinnvolle Zugriffsberechtigungen zu erteilen. Informationen dar\u00fcber, wie Sie die Cloud sicher nutzen k\u00f6nnen, finden Sie in unserem Beitrag \u201eCloud Security: Cloud-Sicherheit auf dem Pr\u00fcfstand\u201c<\/a>.<\/p>\n Dass die Cloud und geteiltes Wissen auch die kollektive Sicherheit steigern k\u00f6nnen, hat das Unternehmen Net at Work mit seiner Anti-Spam-Cloud Heimdall bewiesen. Die Anti-Spam-Cloud setzt auf Schwarmintelligenz und soll zweifach sch\u00fctzen. Wie das konkret aussieht, verraten wir Ihnen in unserem Beitrag \u201eAnti-Spam-Cloud: Projekt Heimdall gegen Cyberattacken\u201c<\/a>.<\/p>\n K\u00fcnstliche Intelligenz (KI) und damit zusammenh\u00e4ngend auch Machine Learning (ML) sind ein Trend \u2013 sowohl in der Cybersecurity als auch bei Cyberkriminellen! Aufseiten der IT-Sicherheit tragen KI und ML dazu bei, etwaige Anomalien z\u00fcgiger zu entdecken. Risikobereiche lassen sich besser voraussagen, sodass ein effizienter Cybersicherheitsplan entstehen kann. Entgegen manuellen Monitoring-Methoden beispielsweise \u00fcberwachen KI- bzw. ML-basierte Algorithmen tagt\u00e4glich Millionen Ereignisse. Dies f\u00fchrt zu Mustererkennungen, sodass b\u00f6sartige Aktivit\u00e4ten schneller ans Tageslicht gelangen.<\/p>\n KI kann zudem riesige Datenmengen parallel verarbeiten \u2013 dies bringt den Vorteil mit sich, dass Verst\u00f6\u00dfe am Tag Null erkannt und markiert werden. Der ML-Mechanismus reift an der t\u00e4glich wachsenden Zahl an Anwendungsf\u00e4llen, sodass er ab einem gewissen Zeitpunkt die menschlichen F\u00e4higkeiten \u00fcbersteigt. Aufgrund dieser schnellen Lernkurve versteht und analysiert KI das Nutzerverhalten haarklein. So gelingt es, Vorf\u00e4lle zu erkennen, bevor sie \u00fcberhaupt passiert sind. Durch Selbstheilungsvorg\u00e4nge k\u00f6nnen Sch\u00e4den erfolgreich und ohne gro\u00dfen Aufwand einged\u00e4mmt werden. Automatisierungen f\u00fchren zu Routineprozessen.<\/p>\n KI l\u00e4sst sich also daf\u00fcr nutzen, Daten sowie Erkenntnisse erfassen zu k\u00f6nnen, um potenzielle Bedrohungen schneller zu erkennen. KI erm\u00f6glicht jedoch auch eine schnellere Reaktion auf Bedrohungen. Tats\u00e4chlich kann KI beispielsweise auch dabei helfen, das Verhalten von Ransomware-Angriffen zu analysieren, bevor ein System verschl\u00fcsselt wird. So k\u00f6nnen also KI-Systeme sch\u00e4dlichen Aktivit\u00e4ten vorbeugen und sie beispielsweise im Netzwerk isolieren, sodass ihre sch\u00e4dliche Wirkung limitiert wird.<\/p>\n K\u00fcnstliche Intelligenz wird jedoch auch l\u00e4ngst von Cyberkriminellen verwendet. Wie dies aussehen kann, erkl\u00e4rte it-daily.net im Beitrag \u201eKI in der Cybersecurity: Komplize oder Kollege?\u201c<\/a>.<\/p>\n Nicht nur Technologien selbst, sondern auch unser Arbeitsleben wandelt sich. Von KI haben vor einigen Jahren nur Exoten geh\u00f6rt, heute ist sie selbstverst\u00e4ndlich. Die Corona-Krise sorgte zudem daf\u00fcr, dass sich das Arbeitsleben zunehmend ins Home-Office verlegt hat. Lesen Sie dazu bitte unseren Beitrag \u201eIT-Sicherheit im Home-Office\u201c<\/a>. Hinzu kommt, dass auch das Arbeitsleben immer mehr vom Internet of Things-Trend (IoT) durchtr\u00e4nkt wird \u2013 und hier lauern neue Gefahren.<\/p>\n Das Home-Office ist oft mit privaten IoT-Tools ausgestattet. Daran ist vieles problematisch: Wieder ergibt sich Schatten-IT und aufgrund von Massenproduktionen, bei denen eher auf Preise als auf Sicherheit geachtet wird, sind IoT-Produkte oft unsicher. Mitarbeitende, die dies nicht wissen, weil sie nicht f\u00fcr diese Cyber-Risiken sensibilisiert wurden, \u00f6ffnen mit der Nutzung von IoT-Ger\u00e4ten T\u00fcr und Tor f\u00fcr Hacker. Aussp\u00e4hungen, DDoS-Angriffe auf IoT-Ger\u00e4te oder Spionageangriffe durch Hintert\u00fcren in IoT-Ger\u00e4ten: All das ist Realit\u00e4t. Das BSI erkl\u00e4rt im Grundschutz-Kompendium unter SYS.4: Sonstige Systeme<\/a> (PDF) die Gef\u00e4hrdungslage durch IoT-Ger\u00e4te und benennt Anforderungen, die zur Sicherheit beitragen.<\/p>\n Studien bringen es immer und immer wieder ans Tageslicht: Zahlreiche Unternehmen hinken leider mit der IT-Sicherheit hinterher. Es werden US-Cloud-Anbieter genutzt, ohne die DSGVO zu beachten. IoT-Ger\u00e4te sollen das B\u00fcroleben erleichtern, ohne sie vor unbefugten Zugriffen abzusichern. Schatten-IT h\u00e4ngt unbemerkt im Unternehmensnetzwerk \u2013 und wird zur Malware-Schleuder. Im Home-Office greift man ohne VPN aufs Unternehmensnetzwerk zu. Und ganz nebenher wird der Mitarbeitende an der Zentrale von Cyberkriminellen per Social Engineering dazu bewogen, Passw\u00f6rter durchzugeben.<\/p>\n All das ist tats\u00e4chlich Alltag in vielen Unternehmen. Weil es am Wesentlichen fehlt: An einem Bewusstsein f\u00fcr diese Gefahren und am Wissen dar\u00fcber, wie man sie abwehrt. Awareness ist der Schl\u00fcssel zum Schutz vor Cyber-Risiken: Mitarbeitersensibilisierungen erh\u00f6hen das Sicherheitsbewusstsein im Unternehmen massiv. Aber auch das Unternehmensnetzwerk muss st\u00e4ndig gesch\u00fctzt sein. Dazu kann man auf KI setzen, um die IT-Teams deutlich zu entlasten.<\/p>\n Mit Corona, dem Home-Office als neuem Arbeitsplatz, einer steigenden Angriffsfl\u00e4che aufgrund neuartiger Technologien und voranschreitender Digitalisierung wird es nicht leichter, IT-Sicherheit umzusetzen \u2013 im Gegenteil: IT-Sicherheit wird individueller. Letztlich muss Ihre Strategie zu Ihrer Organisation passen. Lernen Sie die Cyber-Risiken kennen, die f\u00fcr Sie relevant sind, und treffen Sie dann entsprechende Vorkehrungen.<\/p>\n Da der Schutz vor Cyber-Risiken keine leichte Herausforderung ist, k\u00f6nnen Sie gerne auf unsere Unterst\u00fctzung setzen! Neben Mitarbeiterschulungen bieten wir auch sehr praktische Umsetzungshilfen an, wie Ist-Analysen durch unser zertifiziertes Expertenteam, Beratungen oder das Stellen eines Informationssicherheitsbeauftragten (ISB) bzw. Datenschutzbeauftragten (DSB). Nehmen Sie einfach Kontakt<\/a> zu uns auf und unsere Experten stehen auch Ihnen zur Seite \u2013 bedarfsgerecht und immer auf Augenh\u00f6he.<\/p>\nAwareness: Mitarbeiter-Sensibilisierung<\/h3>\n
Cyber-Risiken: Das Unternehmensnetzwerk<\/h2>\n
Patches zeitnah einspielen<\/h3>\n
Firewall & Monitoring<\/h3>\n
Multiple Angriffsvektoren<\/h3>\n
Cloud-Sicherheit<\/h3>\n
K\u00fcnstliche Intelligenz: KI f\u00fcr mehr Sicherheit?<\/h3>\n
Cyber-Risiken im Wandel der Zeit<\/h2>\n
Cyber-Risiken: Seien Sie vorbereitet!<\/h2>\n