Mittelständler unter Druck

Gefährliches Cyber-Jahr 2018

Bereits zu Jahresbeginn kamen mit den Sicherheitslücken „Meltdown“ und „Spectre“ IT-Risiken in einer neuen Dimension zu Tage. Experten warnen vor einem „gefährlichen Cyberjahr“. Auch der Mittelstand wird 2018 von Hackerattacken nicht verschont bleiben.

  • Cyberangriffe von anonymen Hackern

    Hacker sind auch 2018 munter am Werk und haben durch die zunehmende Vernetzung immer mehr Möglichkeiten.

  • neue Cyber-Angriffswelle 2018

    "Hacker haben eine hohe Dynamik in der Weiterentwicklung ihrer Angriffsmethoden. Allein im Bereich Phishing gibt es unzählige Methoden" erklärt Mike Hart von Fireeye.

  • Gerald Beuchelt, LogMeIn

    „Bekannte Bedrohungen wie Malware oder Phishing werden auch in Zukunft eine Rolle spielen. Darüber hinaus sind vernetzte Geräte häufig das Ziel von Angriffen, es gibt eine Zunahme von Identitätsdiebstählen und von Cybererpressungen.“ Gerald Beuchelt, LogMeIn

  • Mike Hart, Fireeye

    „Viele Unternehmen befassen sich zu viel mit der Vergangenheit, anstatt sich auf die Gegenwart zu konzentrieren und die Zukunft im Blick zu behalten. Dazu kommt, dass bei allen Sicherheitsbemühungen der Faktor ‚Mensch’ nicht ausreichend bedacht wird.“ Mike Hart, Fireeye

  • Frank Schumann, A10 Network

    „Der Reputationsschaden für die Unternehmen durch Cyberangriffe wird sich mit Verschärfung der gesetzlichen Grundlagen wie der Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) sowie der DSGVO noch weiter erhöhen.“ Frank Schumann, A10 Network

Bad Rabbit, Petya und Wanna Cry – diese Namen dürften vielen Unternehmen noch in den Ohren klingen. SchließLich verbergen sich dahinter die wohl bekanntesten Ransomware-Attacken des letzten Jahres, die für große Schlagzeilen sorgten. Viele Kampagnen blieben der Öffentlichkeit hingegen verborgen, was sie aber nicht weniger gefährlich macht. Wie sehen nun die Prognosen für 2018 aus? Wird es ebenfalls ein „gefährliches Cyberjahr“ werden?

Immerhin ließen bereits zu Jahresbeginn die Sicherheitslücken „Meltdown“ und „Spectre“ alle groß aufhorchen. Ferner gaben die Organisatoren der Olympischen Winterspiele bekannt, dass einige ihrer Computerserver während der Eröffnungszeremonie einem Cyberangriff ausgesetzt waren. Hacker sind also auch 2018 munter am Werk. Und laut Experten soll es nicht besser werden. „Sowohl bei Ransomware und DoS-/DDoS-Angriffen als auch beim Diebstahl personenbezogener Daten gab es teilweise gravierende Zuwächse“, bestätigt Frank Schumann, Regional Sales Manager T.I.S.P. bei A10 Networks. „Nach den Ergebnissen unseres Security-Reports sind Unternehmen durchschnittlich 15 Distributed-Denial-of-Service-Attacken (DDoS) pro Jahr ausgesetzt, Tendenz steigend.“

Befeuert wird die Cyberkriminalität vor allem durch die zunehmende Vernetzung. Laut Gartner soll die Zahl der vernetzten Geräte bis 2020 weltweit von 8,4 Milliarden auf gut 20 Milliarden steigen, was natürlich zahlreiche neue Angriffsszenarien ermöglicht. Auch bieten wirtschaftliche und politische Entwicklungen und Konflikte „eine Menge Potential, um als Treiber für Hackerangriffe zu fungieren“, weiß Mike Hart, Vice President Central & Eastern Europe bei Fireeye.

Den wirtschaftlichen Faktor stellt ebenso Frank Schumann in den Fokus: „Hierzu passen auch die Ergebnisse einer Gartner-Studie, die bereits vor zwei Jahren feststellte, dass sich mit Cyberkriminalität weltweit mehr Geld verdienen lässt als mit organisiertem Drogenhandel.“ Nicht zuletzt sind aber auch Unachtsamkeit und Unsicherheit sehr große Feinde für einen sicheren digitalen Unternehmensalltag. „Da werden E-Mails von Mitarbeitern ungeprüft von A nach B geleitet, USB-Sticks für den Transport von Daten genutzt – die Dunkelziffer verschwundener und fehlgeleiteter Daten ist enorm“, ergänzt Björn Schwabe, CEO von Oculd Solutions. Seiner Ansicht nach ist es der Faktor „Mensch“, der nach wie vor größten Einfluss auf die hohe Anzahl der Cyberangriffe ausübt.

Fehlendes Bewusstsein im Mittelstand

Grundsätzlich agieren die Hacker aus unterschiedlichsten Motivationen heraus: aus Schadenfreude oder religiösen Gründen, zu Spionagezwecken, um einen Imageschaden herbeizuführen oder einfach nur, „weil sie es können“ und Chaos stiften wollen. Eines der größten Ziele dürfte allerdings die Erbeutung von Geld sein. Und das gibt es vor allem in Unternehmen zu holen, den Mittelstand nicht ausgeschlossen. Hacker nutzen hier z.B. Krypto-Ransomware, mit deren Hilfe sie Dateien auf einem fremden Computer verschlüsseln können – nur mit dem richtigen Schlüssel lassen sich jene Dateien dann wieder dechiffrieren. Um den passenden Schlüssel zu erhalten, müssen die betroffenen Unternehmen eine Art „Lösegeld“ bezahlen – häufig in der virtuellen Währung Bitcoin.

Zu bedenken ist laut Harald Reisinger, Geschäftsführer von Radarservices: „Mittelständler haben oftmals besonders wertvolle Daten – seien es Kundendaten, Daten zu Patenten, Innovationen oder Source Code.“ Außerdem sei IT mittlerweile die Grundlage für die tägliche Arbeit in nahezu allen Bereichen. Falle diese Grundlage weg, stehe zeitnah alles im Unternehmen still. Das kostet schnell viel Geld – und auch das wissen die Angreifer.

Der Mittelstand scheint sich dieses Risikos allerdings nicht bewusst zu sein und geht mit dem Sicherheitsthema nach wie vor zu „lasch“ um. Dabei könnte man annehmen, er hätte aus den Angriffen der letzten Jahre gelernt. „Es fehlt immer noch ein gewisses Bewusstsein aufseiten der Unternehmensleitung, eine Vorstellung davon, wozu die Cyberkriminellen fähig sind“, bestätigt Roland Wolf, Vorstandsvorsitzender von G4C. „Dazu gesellt sich eine gewisse Ohnmacht aufgrund fehlenden Know-hows und fehlender Budgets, um geeignete Schutzmaßnahmen zu planen und umzusetzen.“

Dabei sollte der Mittelstand im Jahr 2018 mit weiterhin zahlreichen gezielten Attacken wie auch massenhaften „wahllosen“ Angriffen – z.B. mittels Ransomware – rechnen. „Es wird auch ganz neue Angriffsmethoden und -strategien geben“, warnt Harald Reisinger, „denn professionelle Angreifer bereiten sich über lange Zeit mit unglaublich viel Kreativität und detaillierter Planung vor.“ Gleiches bestätigt Mike Hart: „Hacker haben eine hohe Dynamik in der Weiterentwicklung ihrer Angriffsmethoden.“ Alleine im Bereich „Phishing“ gebe es unzählige verschiedene Methoden. Um ein Beispiel zu nennen. Bisher wurde bei Phishing-Angriffen via PDF ein PDF-Anhang mit einer eingebetteten, schädlichen URL versendet. Viele E-Mail-Systeme erkennen inzwischen solche eingebetteten URLs und leiten die Datei zur genaueren Analyse weiter. Hacker nutzen daher nun häufiger keinen Link zu einer schädlichen Seite, sondern zu einem zweiten PDF, in dem sich dann die eigentlich schädliche URL versteckt.

Sicherheitskultur muss gelebt werden

Die Verantwortung für die IT-Sicherheit in einem Unternehmen trägt einerseits das Top-Management. Es muss die Erfüllung seiner gesetzlich vorgeschriebenen Sorgfaltspflicht im Zweifelsfall sogar nachweisen und ist unter Umständen persönlich haftbar. „Andererseits sind natürlich die IT-Sicherheitsverantwortlichen als Experten innerhalb der Organisation verantwortlich“, betont Reisinger. Sie müssen die laufenden Sicherheitsmaßnahmen setzen, die richtigen Sicherheitswerkzeuge aussuchen und betreiben, sicherheitsrelevante Ereignisse auffinden, analysieren sowie bewerten und im Notfall richtig und schnell handeln. Oder sie arbeiten bei diesen ganzen Aufgaben mit entsprechenden Dienstleistern zusammen. Laut Björn Schwabe ist die Sicherheit grundsätzlich „eine Frage der eigenen Entscheidung“. Und so trage jeder einzelne Mitarbeiter die Verantwortung für die Sicherheit der Daten. Zur Rechenschaft gezogen würde am Ende dennoch die Geschäftsführung.

Letztlich kann ein Unternehmen nur dann ein produktives und erfolgreiches Sicherheitsprogramm umsetzen, „wenn dort eine Sicherheitskultur gelebt wird – und zwar auf der Führungsebene ebenso wie bei den Mitarbeitern“, fasst Gerald Beuchelt, Chief Information Security Officer (CISO) von LogMeIn, zusammen. Schließlich hätten alle Zugang zu sensiblen Informationen – und würden damit auch Verantwortung tragen. Budget und Umfang entsprechender Sicherheitsmaßnahmen sollten hierbei auf das Risiko abgestimmt sein. Denn: „Sicherheit gibt es nicht gratis – dafür ist sie aber auch nicht umsonst“, so der CISO.

Doch welche Sicherheitsstrategie ist gerade für Mittelständler sinnvoll? Laut Beuchelt hängt sie stets von den spezifischen Sicherheitsanforderungen des jeweiligen Unternehmens ab. Die umfassende Bewertung der eigenen Sicherheitslage, die Anforderungen von Kunden sowie die Berücksichtigung gesetzlicher Vorgaben und Regularien bilden die Grundlage für die Definition eines passenden Konzepts im Bereich Schutz und Prävention. „Im IT-Umfeld bieten die Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Informationssicherheit und IT-Grundschutz einen Anhaltspunkt“, weiß Roland Wolf von G4C. Gerade der „Leitfaden zur Basis-Absicherung nach IT-Grundschutz: In 3 Schritten zur Informationssicherheit“ sei für kleine und mittelständische Unternehmen gut geeignet.

„Sinnvoll wäre es, eine Stabstelle für IT-Sicherheit einzurichten“, bemerkt Frank Schumann. IT-Sicherheit betreffe heute viele Bereiche – angefangen beim Netzwerk über die Cloud bis hin zur Applikationsentwicklung. „Im Mittelpunkt steht die kontinuierliche Überwachung aller Einfallstore für Cyberangreifer“, ergänzt Harald Reisinger. „Dazu braucht es Hardware, Software, Experten-Know-how, funktionierende Prozesse und Best Practices.“ All das selbst aufzubauen und intern selbst zu betreiben, lohnt sich allerdings in den meisten mittelständischen Unternehmen nicht. Daher sollten spezialisierte Dienstleister eingesetzt werden, die das gesamte Set an Maßnahmen und Know-how mitbringen.

EU-DSGVO wird viele Hacks zu Tage fördern

Das ist vor allem auch deshalb sinnvoll, weil ab dem 25. Mai 2018 die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft tritt, was leider noch nicht jeder Mittelständler auf dem Schirm hat. Dabei wird die DSGVO einen großen Einfluss auf die Sicherheitsstrategie sämtlicher Unternehmen ausüben. Denn: Durch die neue Verordnung werden den Privatpersonen umfassende Eigentumsrechte an ihren Daten zugesprochen. Persönliche Daten dürfen nur noch kontextspezifisch und mit dem expliziten Einverständnis des Benutzers erhoben werden. „Zusätzlich muss ein Unternehmen, welches persönliche Daten speichert, in der Lage sein, auf Verlangen die gespeicherten Kundendaten an die Inhaber auszuhändigen, diese vollumfänglich zu löschen oder die eingeholten Einverständniserklärungen zu belegen“, erklärt Stephan Schweizer, CPO bei Nevis. „Der erste Schritt zur Sicherstellung der Einhaltung der neuen Verordnung erfordert eine umfassende Überarbeitung der internen Systeme und Datenprozessmanagement- und Sicherheitsfunktionen jedes Unternehmens“, sowie die Einführung neuer Verfahren und Stellen, um sicherzustellen, dass sämtliche Daten ordnungsgemäß geschützt und verwaltet werden.

„Die EU-DSGVO setzt die Unternehmen auch zeitlich unter Druck“, ergänzt Harald Reisinger. Denn wird ein Cyberangriff in einem Unternehmen festgestellt, muss die betroffene Organisation dies innerhalb von 72 Stunden melden. Außerdem müssen alle Informationen, die für jene Meldung benötigt werden, auf Knopfdruck vorliegen. Laut Experten wird die Meldepflicht dafür sorgen, dass sehr viele und sehr schwere Vorfälle 2018 bekannt werden, die ansonsten verborgen bleiben würden.

Bei Verstößen gegen die EU-DSGVO können maximale Geldbußen „bis zu 20 Mio. Euro oder im Falle von Unternehmen bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden“, warnt Roland Wolf. Gerade beim Verlust von Kundendaten durch einen nicht sachgemäßen Umgang könne dies existenzbedrohend für ein Unternehmen sein.

Kombination verschiedener Sicherheitsmechanismen

Fakt ist, dass gerade der leistungsstarke Mittelstand ein attraktives Ziel für Kriminelle ist, weil sich kleinere und mittlere Firmen oft nicht auf Sicherheitsthemen einlassen oder diese falsch priorisieren. Nur weil etwas im vergangenen Jahr funktioniert hat, „heißt das noch lange nicht, dass es auch in Zukunft funktioniert“, betont Gerald Beuchelt. Niemand könne sich darauf verlassen, dass es ihn schon nicht treffen werde. Denn Cybersicherheit ist ein sehr dynamisches Thema und „Unternehmen werden Cyberkriminellen nie einen Schritt voraus sein“, ergänzt Björn Schwabe. Man müsse sich einfach bewusst sein, dass es keine hundertprozentige Sicherheit gibt.

Doch wie Statistiken belegen, suchen auch Cyberkriminelle immer den Weg des geringsten Widerstands. Ein umfassendes Sicherheitskonzept, welches verschiedene, voneinander möglichst unabhängige Mechanismen geschickt miteinander kombiniert, könnte hier Cyberkriminelle vor hohe Anforderungen und Aufwände stellen. „Falls die notwendigen Aufwände in einem ungünstigen Verhältnis zum möglichen Ertrag stehen, suchen sich die meisten zuerst das einfachere Ziel“, bestätigt Stephan Schweizer. Durch die Kombination verschiedener Mechanismen steige außerdem die Wahrscheinlichkeit, dass Angriffe frühzeitig erkannt und die Auswirkungen möglicher Vorfälle minimiert werden könnten.

Bildquelle:Thinkstock/iStock/Fireeye/A10 Network/LogMeIn

©2018 Alle Rechte bei MEDIENHAUS Verlag GmbH