Eine Studie des Digitalverbandes Bitkom zeigt einen deutlichen Anstieg der Schäden, die kriminelle Cyber-Attacken auf Unternehmen verursachen. Im Jahr 2020/2021 entstanden Schäden von 223 Milliarden Euro durch Diebstahl, Spionage oder Sabotage. 2018/2019 waren es noch 103 Milliarden Euro. Neun von zehn Unternehmen waren nach Angaben der Bitkom direkt von Cyber-Angriffen betroffen.
Eine bei Hackern besonders beliebte Methode sind sogenannte Ransomware-Attacken (+358% seit 2018/19). Bei dieser Art von Cyber-Kriminalität werden Daten durch eine Schadsoftware von Erpressern verschlüsselt und somit blockiert, um anschließend ein Lösegeld zu fordern. Der Verlust von Informationen wie Kunden- oder Unternehmensdaten durch Ransomware-Angriffe kann Unternehmen Stunden, Tage oder gar Wochen beeinträchtigen und bedroht neben der Wettbewerbsfähigkeit auch ihre Reputation.
Wir teilen daher die gängigsten Einfallstore von Cyber-Angriffen sowie grundlegende Gegenmaßnahmen mit Ihnen.
Das Ziel eines Cyber-Angriffs besteht meist darin, Lösegeld für gestohlene/verschlüsselte Datensätze zu erpressen. Login-Daten zu E-Mail-Postfächern ermöglichen es Hackern zudem, ausgehend von diesen weitere Phishing-Attacken zu starten (und zum Beispiel von Kollegen oder Geschäftspartnern vertrauliche Informationen zu erbeuten). Immer populärer wird eine Strategie namens Cryptojacking – das Mining von Kryptowährungen durch die Nutzung von Rechenkapazität, ohne dass der Nutzer davon etwas mitbekommt.
Auch auf geistiges Eigentum haben Hacker es laut Bitkom-Studie abgesehen. So heißt es in einem Pressebericht: „Geistiges Eigentum wie Patente oder Forschungsinformationen wurden bei 18 Prozent gestohlen – ein Plus von 11 Prozentpunkten gegenüber den Jahren 2018/2019.“ Für den Innovationsgetriebenen deutschen Markt führt der Verlust geistigen Eigentums zu potenziell besonders hohen Schäden.
Im Folgenden zeigen wir die typischen Schwachstellen in Unternehmen auf – die offenen Türen für Cyberkriminelle.
Beim Social Engineering geht es nicht um ausgefeilte Technik, sondern um die größte Schwachstelle eines jeden Sicherheitssystems: den Nutzer. Hacker bauen zu Mitarbeiter*innen eines Unternehmens entweder Vertrauen auf oder setzen diese unter Druck, um an vertrauliche Informationen wie beispielweise Passwörter oder Kreditkartendaten zu kommen. In der Regel läuft die Kommunikation digital ab. Ein Cyberkrimineller könnte sich als IT-Support-Mitarbeiterin ausgeben oder sogar als CEO und auf die Zusendung dringender, wichtiger Informationen pochen (hier ein detaillierter Artikel von heise online zu CEO-Betrügern). Haben die Cyber-Kriminellen erst einmal eine Stresssituation geschaffen, gucken Mitarbeiter oft nicht mehr genau hin und übersehen vielleicht, dass mit der E-Mail-Adresse des Absenders etwas nicht stimmt oder das Gegenüber seltsame Daten anfordert.
„Labrador123“, „Beate“ oder „Sylt“ sind typische Beispiele für beliebte, schwache Passwörter. Denn Hacker probieren beim sogenannten Password-Spraying mit Hilfe einer Software gängige Buchstabenkonstellationen aus. Ist ein Passwort persönlich mit einem Nutzer verbunden (zum Beispiel der Name des Partners, Haustiers oder Lieblings-Urlaubsort), können Cyberkriminelle mit Wissen über die Person noch leichter an dieses Passwort kommen.
Und Passwörter sind der Schlüssel zu persönlichen Daten sowie Unternehmensdaten wie CRM-Datenbanken, E-Mail-Postfächern, etc.
Als Schatten-IT wird die Hard- und Software bezeichnet, die Mitarbeiter für ihre Arbeit nutzen, ohne dass die IT-Abteilung davon weiß. Typische Beispiele sind Browser-Plug-ins und Messaging-Clints. Die Lösungen tauchen offiziell nirgendwo auf und können daher auch nicht im IT-Sicherheitskonzept berücksichtigt werden. So schaffen unsichere Lösungen es in die tägliche Anwendung und stellen einen Angriffsvektor für Malware oder Cryptojacking dar.
Es ist kein Zufall, dass 2020 das absolute Rekordjahr für Cyber-Attacken war. Viele Unternehmen waren von ihren Prozessen und Systemen her nicht darauf vorbereitet, die gesamte Belegschaft recht plötzlich zum Arbeiten nach Hause zu schicken. Wie eingangs erwähnt waren besonders Ransomware-Attacken erfolgreich. Typische Angriffsvektoren für Ransomware-Attacken sind infizierte E-Mail-Anhänge, infizierte Downloads und Social-Engineering-Angriffe.
In einer Studie der IDG Research Services von 2019 gab knapp die Hälfte (47 Prozent) der befragten Unternehmen an, Cyber-Angriffe auf ihre Cloud-Services festgestellt zu haben. Und die Anzahl dieser Art von Angriffen steigt seit Jahren konstant. Man könnte also meinen, dass Cloud-Lösungen ein erhöhtes Sicherheitsrisiko darstellen. So ganz stimmt das allerdings nicht. Die steigende Anzahl der Attacken hat ganz einfach etwas mit der zunehmenden Beliebtheit und steigenden Nutzung von Cloud-Lösungen und -Services zu tun. Oft sind Cloud-Lösungen sogar sicherer als intern gehostete IT, da sie automatisch regelmäßige Sicherheits-Updates erhalten.
Doch Cloud ist nicht gleich Cloud und es gibt durchaus Anbieter und Lösungen mit gravierenden Lücken in Informationssicherheit und Datenschutz. Prüfen Sie daher Ihre Cloud-Dienstleister, wenn möglich: Liegt eine eigene ISMS-Zertifizierung vor? Gibt es Ergebnisse von Sicherheitstests (so genannten Penetrations-Tests)? Welche vertraglichen Zusicherungen gibt der Dienstleister?
Wirft man einen Blick auf die Angriffsvektoren, wird schnell klar, an welchen Stellschrauben Unternehmen drehen können, um sich vor Cyberkriminalität zu schützen: nämlich der IT-Sicherheit und dem Bewusstsein der Mitarbeiter.
Hier kommt ein Informationssicherheits-Managementsystem (ISMS) ins Spiel. Es betrachtet nicht nur die IT-Sicherheit, sondern wirft zudem einen Blick auf die Prozesse eines Unternehmens. Somit wird das Thema Informationssicherheit ganzheitlich betrachtet und abgedeckt. Wir von DataGuard raten generell jedem Unternehmen zum Aufbau eines ISMS, ganz besonders aber stark softwaregetriebenen, digitalisierten oder auf SaaS-Basis arbeitenden Unternehmen und Betrieben aus Branchen mit einer hohen Regulierungsnotwendigkeit (z. B. Gesundheitswesen, Finanzwesen, etc.).
Mögliche Maßnahmen beim Aufbau eines ISMS sind zum Beispiel:
Viele der genannten Einfallstore wirken fast zu simpel. Sichere Passwörter gehören schließlich zum Einmaleins der Internetnutzung und auf Phishing-Mails sollte nun wirklich niemand mehr hereinfallen. Trotzdem führen denkbar einfache Methoden weit häufiger zum Erfolg, als man vermuten würde. Gleichzeitig wachsen die technischen Fähigkeiten und Möglichkeiten von Cyberkriminellen. Ihr Unternehmen ist aber nicht wehrlos, wenn Sie systematisch vorgehen. Der Sicherheitsspezialist Phil Venables beschreibt dies so:
„Sie sollten Ihre Abwägungen nicht nur im Hinblick auf ausreichende Abwehrmaßnahmen gegen die Fähigkeiten Ihrer Angreifer treffen, sondern auch deren Beweggründe in Betracht ziehen, diese gegen Sie einzusetzen – oder eben nicht. Dazu gehört es auch, gängige Annahmen widerlegen zu können – zum Beispiel die, dass Angreifer nur einmal richtig liegen müssen, die sich verteidigenden Unternehmen jedoch immer. Wenn man versteht, dass Angreifer Restriktionen haben, kann man diese Annahme genauso leicht umkehren: Angreifer müssen die ganze Zeit unbemerkt bleiben, aber Verteidiger müssen nur einen Teil des Angriffs erkennen und dann handeln, um die Bemühungen des Angreifers zu zerstören.“ – Phil Venables [Übersetzung durch die Redaktion]
Und genau deshalb ist es so entscheidend, das Thema Informationssicherheit auf Management-Ebene anzugehen und ganzheitlich zu betrachten.
Wenn Sie weitere Fragen zu Vorsichtsmaßnahmen und/oder zur aktiven Bekämpfung von Cyberangriffen haben, steht Ihnen unser Team von Informationssicherheitsexperten zur Verfügung.