Lukratives Ziel für Kriminelle

„Daten sind das Gold des 21. Jahrhunderts“

„Organisationen jeder Größe müssen verstehen, dass sie ein lukratives Ziel für Kriminelle aller Art sind“, betont Michael Schröder, Business Development Manager bei der Eset Deutschland GmbH. Daten seien das Gold des 21. Jahrhunderts – und wer sie habe, könne damit sehr viel Geld verdienen.

Michael Schröder, Business Development Manager bei der Eset Deutschland GmbH

„Unternehmen müssen verstehen, dass sie ein beliebtes Ziel für Kriminelle aller Art sind“, betont Michael Schröder, Business Development Manager bei der Eset Deutschland GmbH.

Herr Schröder, „Ich habe nichts zu verbergen“ hört man oftmals seitens der Unternehmen – welchen Stellenwert schreiben sie anno 2019 dem Thema „Datenschutz“ zu?
Michael Schröder:
Haben Unternehmen die Haltung „Ich habe nichts zu verbergen“, fehlt ihnen aus meiner Sicht der Weitblick, vor allem beim Thema „Datenschutz“. Sie haben eine Menge an Informationen, nicht nur ihre eigenen, die es zu schützen gilt. Sie haben also sehr wohl etwas zu verbergen, egal, ob es sich um Kundendaten, Bau- oder Business-Pläne dreht. Dabei geht es nicht nur um die rechtlichen Belange, sondern auch im Hinblick auf die Geschäftsethik um den Umgang mit Kundendaten und dem Schutz von Unternehmenswerten. Ein Verlust der Daten wäre fatal. Untersuchungen zeigen, dass erfolgreiche Cyberangriffe im Durchschnitt 180 Tage unbemerkt bleiben. So lange hätten Angreifer somit Zeit, tief in das Netzwerk einzudringen, große Datenmengen zu stehlen oder zu kompromittieren und sie an geeignete Interessenten zu verkaufen. Ein zuverlässiger Schutz schafft also bei Partner und Kunden Vertrauen.

An welchen Stellen zeigt sich konkret die Sorglosigkeit der Unternehmen beim Thema „Datenschutz“?
Schröder:
Organisationen jeder Größe müssen verstehen, dass sie ein lukratives Ziel für Kriminelle aller Art sind. Daten sind das Gold des 21. Jahrhunderts – und wer sie hat, kann damit sehr viel Geld verdienen. Die gezielte Einflussnahme und Schädigung der Wirtschaft nimmt nach unserer Einschätzung mehr und mehr zu. Wir sehen aber noch immer, dass trotz aller Vorfälle in den vergangenen Jahren das Thema „IT-Security“ weiterhin zu kurz kommt. Häufig ist dieser Bereich schlecht budgetiert und Entscheider gehen in der Regel davon aus, dass durch die Installation einer Antimalware-Lösung alles in Ordnung ist.

Woran hapert es beispielsweise bislang bei der Absicherung mobiler Endgeräte im Unternehmenseinsatz?
Schröder:
In vielen Unternehmen sind die mobilen Endgeräte nicht Teil des Netzwerks, dabei sind sie die beste Quelle für vertrauliche Daten. Eine zentrale Verwaltung und Steuerung der mobilen Endgeräte, wie mit einem Mobile Device Management (MDM), und somit die Sicherstellung der Schutzmechanismen wie Anti-Malware, der systemeigenen Verschlüsselung und der vergebenen Regeln sollte das absolute Minimum sein. In vielen Fällen sehen wir diese minimalen Anforderungen nicht flächendeckend im Einsatz. Selbst die Nutzung von Applikationen wie Whatsapp oder Faceapp wird von vielen noch als völlig legitim angesehen.

Was sind hier jedoch die großen Gefahren, wenn sich Unternehmensdaten auch auf mobilen Endgeräten wiederfinden?
Schröder:
Es gibt eine Vielzahl an Gefahren. Viele Dienstgeräte werden den Mitarbeiter auch zur privaten Nutzung überlassen. Hierdurch können manipulierte Anwendungen installiert werden, die sich Zugriff auf diese vertraulichen Daten verschaffen und sie problemlos stehlen können. Eine weitere große Gefahr ist der Verlust oder Diebstahl des Gerätes, wenn nicht sichergestellt wurde, dass der Speicher verschlüsselt und die schützenswerten Unternehmensdaten entsprechend abgesichert wurden. Geraten mobilen Alleskönner ungeschützt in die Hände unbefugter Dritter – das müssen nicht mal Kriminelle sein – löst dies bereits eine Meldepflicht bei der Datenschutzbehörde und den betroffenen Kunden aus und kann zu hohen finanziellen Aufwänden sowie Strafen führen.

Welche Gefahr stellt anno 2019 das Thema „Datenspionage“ bzw. „Datensammlung“ in Deutschland dar?
Schröder:
Diese Gefahr ist nach wie vor ungebrochen. Immer wieder werden Hackerangriffe bekannt, bei denen Kundeninformationen und sensible Unternehmensdaten gestohlen werden. Stellt sich bei späteren Untersuchungen heraus, dass gegen europäische Datenschutzbestimmungen verstoßen und die eigenen Daten nicht ausreichend geschützt wurden, kommen auf Unternehmen schwere Zeiten zu. Neben Imageverlust und finanziellem Schaden können Aufsichtsbehörden eine erhebliche Strafe verhängen. Jüngstes Beispiel: Eine britische Fluggesellschaft soll wegen gestohlener Kundendaten und somit Verstößen gegen den Datenschutz eine Strafe von rund 205 Mio. Euro bezahlen. Einer Hotelkette droht derzeit auch wegen Verstößen ein Bußgeld.

Wer hat denn grundsätzlich Interesse daran, Daten zu sammeln? Und an welchen Stellen im Netz werden Daten konkret abgegriffen?
Schröder:
Das Interesse an solchen Daten ist vielfältig. Ein Angreifer kann diese Daten gegen das Unternehmen nutzen und beispielsweise für die Nicht-Weitergabe an Konkurrenten ein Lösegeld erpressen. Für Wettbewerber bieten diese Daten die Möglichkeiten, etwa um an geheime Konstruktionspläne von Prototypen zu gelangen. Es gibt aber auch Regierungen, die ein Interesse an Daten von Unternehmen, Rüstungskonzernen oder Organisationen in anderen Ländern haben und hierzu eigene Hacker einsetzen. Häufig beginnt ein erfolgreicher Angriff mit einer E-Mail an einen Mitarbeiter, der einen Anhang öffnet oder auf einen Link klickt und dadurch ein Schadprogramm seinen Weg ins Unternehmensnetzwerk findet. Die Schädlinge durchforsten dann die gesamte Infrastruktur nach bestimmten Merkmalen und verbreiten sich in vielen Fällen weiter. Die gesammelten Daten werden dann häufig unbemerkt aus dem Netzwerk abgezapft. Nicht in allen Fällen ist ein Hackerangriff schuld an einem Datenverlust. Es sind auch bereits Fälle bekannt geworden, bei denen Mitarbeiter Daten aus dem Unternehmen entwendet haben.

Welche Daten sind hierbei von besonderem Interesse und warum?
Schröder:
Daten zählen mittlerweile unter den Begriff Wirtschaftsgut. Vor diesem Hintergrund überrascht es umso weniger, dass sie als Währung in der Schattenwirtschaft gehandelt werden. Dabei lässt sich pauschal gar nicht sagen, für wen da ein besonderes Interesse besteht. Es kommt auf den Einzelfall an. Durch Wirtschaftsspionage können Konkurrenzunternehmen ans Know-how von anderen Firmen gelangen und das für ihre eigenen Zwecke einsetzen. Solche Beispiele lassen sich in die Unendlichkeit spinnen. Es gibt einen großen Markt für Daten.

Welche Auswirkungen hat dieses „Datenausspionieren“ letztlich auch auf die Unternehmen?
Schröder:
Ein Datenverlust ist für das betroffene Unternehmen ein Super-GAU. Es hängt hierbei ganz von der Art des Angriffs und des entstandenen Schadens ab. Anders als bei einer Cyberattacke z.B. mit Ransomware lässt sich der finanzielle Schaden nur sehr schwer beziffern. Zunächst sind hier keine Betriebsabläufe gestört. Der Reputations- und Vertrauensverlust aufseiten der Geschäftspartner und Kunden lässt sich oft schwer ermessen, ist aber unter Umständen geschäftsgefährdend. In die Schadensbetrachtung gehört zudem eine mögliche Strafzahlung aufgrund der EU-DSGVO, weil Daten nicht ausreichend gesichert wurden. Sind geheime Produktionsunterlagen oder Pläne für kommende Produkte gestohlen worden, ist der Schaden nur schwer kalkulierbar.

Wie können sich die Unternehmen jetzt und in Zukunft schützen?
Schröder:
Unternehmen müssen verstehen, dass sie ein beliebtes Ziel für Kriminelle aller Art sind. Es gibt keine Firma weltweit deren Daten nicht für irgendjemanden Relevanz besitzen. Durch die fortschreitende Digitalisierung aller Betriebsbereiche muss ein Umdenken stattfinden. IT-Sicherheit sollte endlich als ganzheitlicher Prozess verstanden werden, der innerhalb der Organisation auch gelebt wird. Hierzu zählen das regelmäßige Prüfen und Anpassen des Sicherheitskonzepts, und zwar vom Büro-PC bis zum mobilen Endgerät. Die Mitarbeiter müssen geschult werden. Denn sie stehen an vorderster Front, wenn es zu Hackerangriffen kommt. Insgesamt muss also ein mehrschichtiger Verteidigungsansatz verfolgt werden, der alle Geräte im Unternehmensnetzwerk umfasst und schützt. Es empfiehlt sich, dass dieser „Grundschutz“ mit den Themen Zwei-Faktor-Authentifizierung und Verschlüsselung von Daten und je nach Organisationsgröße mit weiteren Mechanismen wie Cloud-Sandboxing und „Endpoint Detection & Response“-Systemen ergänzt wird. Regelmäßige Notfallübungen, inklusive der Überprüfung der Backup-Strategien für den digitalen Ernstfall, gehören ebenfalls zu einem guten Security-Prozess. Das Ziel sollte sein den optimalen Schutz zu gewährleisten, ohne den einzelnen Mitarbeiter zu belasten und die Betriebsabläufe nicht zu stören.

Bildquelle: Eset

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok