Cybersicherheit für Unternehmen

Geld für Daten

Im Posteingang von Herrn M. befindet sich eine E-Mail mit dem Absender eines Inkassobüros. Herr M. wird darin persönlich mit Angabe seiner Adresse über eine nicht bezahlte Rechnung bei einem Online-Webshop informiert. Das Schreiben basiert auf realen Fakten und ist durchaus realistisch.

Als Herr M. versucht den angehängten Überweisungsträger auszudrucken, startet dabei eine Schadsoftware, die sämtliche Daten auf seinem Computer, sowie alle Netzwerkdaten verschlüsselt.

Auf dem Bildschirm erscheint ein freundlicher Hinweis, mit dem Herr M. aufgefordert wird 2 Bitcoin für die Wiederherstellung seiner Daten zu bezahlen.

Bei der Schadsoftware handelt es sich um einen Erpresser-Trojaner, die sogenannte Ransomware, die in verschiedensten Versionen als angebliche Bewerbungsschreiben, Rechnungen vom Verbund, Finanzamt, Paket-Zustellern oder Verkehrsstrafen auftritt.

Ransomware ist ein äußerst lukratives mafiöses Geschäftsmodell. Sie stellt mittlerweile die größte Bedrohung  für Unternehmen im Malware-Bereich dar, Tendenz stark steigend.

Grundsätzlich ist jeder ein potentiellles Opfer von Ransomware. Allerdings wissen Cyberkriminelle, dass Unternehmen häufiger bereit sind zu zahlen, weil für sie die gesperrten Daten typischerweise vertraulich und für die Geschäftskontinuität entscheidend sind.

Weitere Cyber-Crime-Bedrohungen

Seit Jahren bekannt, aber immer noch ein „Renner“ im negativen Sinne sind Phishing-mails. Dabei wird versucht, mit betrügerischen E-mails ahnungslosen Internetnutzern geheime Daten, z.B. die Zugangsdaten für Online-Banking, zu entlocken. 

Aufwändiger, aber dafür oft mit hohen Geldsummen verbunden, ist Betrug in Verbindung mit Social Engineering. Kriminelle recherchieren dazu oft monatelang, mit dem Ziel Opfer dahingehend zu manipulieren, vertrauliche Daten preiszugeben. Beim sogenannten CEO-Fraud wird Kontakt zu Mitarbeiter:innen im Unternehmen hergestellt, die über Zahlungsanweisungsbefugnisse oder den Zugang zu relevanten vertraulichen Informationen verfügen. Die oft perfekt organisierten kriminellen Gruppen verfügen über gute Kenntnisse über die Branchenstruktur, nutzen sämtliche öffentlich zugängliche Informationen, z.B. über die unternehmenseigene Homepage oder Werbebroschüren oder fragen sich einfach telefonisch im Unternehmen durch. Auf diese Weise wurden in Österreich schon einige Millionen Euro erbeutet.

Generell unterschätzen die Unternehmen die Gefahr Opfer von Wirtschaftsspionage zu werden, oft werden diese Fälle auch nur sehr spät oder auch gar nicht entdeckt. Die konkreten Angriffswege (z.B. eindringen, abhören, Absaugen von Daten) sind oft schwer zu ermitteln, umso mehr wenn Innentäter beteiligt sind.

DDos (Distributed-Denial-of-Service)-Attacken, bei denen Server durch eine Vielzahl von Anfragen überlastet und dadurch funktionsunfähig gemacht werden, zielen meist darauf ab, Geld von Unternehmen zu erpressen. Für Unternehmen bedeutet das, dass beispielsweise ihre Website oder das Betriebssystem lahmgelegt wird. Dies kann z.B. im Onlinehandel zu hohen finanziellen Ausfällen führen.

Generell ist zu beobachten, dass sowohl die Quantität, als auch die Komplexität und Qualität von Cyber-Angriffen deutlich zunimmt. Die organisierte Kriminalität setzt dabei auf Arbeitsteilung, Automatisierung und Modularisierung. Cybercrime ist ein Service geworden, das heißt Cyberkriminelle müssen über kein technisches Knowhow mehr verfügen, sondern können ganz einfach standardisierte Services und Gesamtpakete zum Beispiel für Ransomware im Dark Web erwerben.

Andere Gründe für Datenverlust

Nicht vergessen werden darf aber, dass Cybercrime nur eine untergeordnete Rolle bei Datenverlust spielt. Weit häufiger sind technische Defekte wie z.B. der Ausfall veralteter Hardware, die bloße Fehlbedienung z.B. durch unabsichtliches Löschen von Daten oder der Fall, dass das Notebook am Flughafen vergessen wird.

Wie können sich Unternehmen schützen?

Es ist ganz wichtig, sich darüber im Klaren zu sein, dass Cybersicherheit Chefsache ist. Die Unternehmensleitung muss die Strategie vorgeben. Am besten beginnt man mit einer Sicherheitsanalyse. Zuerst ist festzustellen, welche Unternehmenswerte es im IT-Bereich gibt. Das können IT-Systeme (Server, PC, Smartphone, Netzwerkgeräte…) sein, Software und Lizenzen, Informationen (Firmendaten, Kundendaten, Verträge, E-mails, Datenbanken…), aber auch die Mitarbeiter:innen mit ihrem Know-how zählen dazu. In einem weiteren Schritt ist zu überlegen, welche Bereiche für das Unternehmen besonders bedeutsam und gefährdet sind. Wie hoch könnte ein Schaden bei einem Ausfall der IT-Systeme sein, wie lange kann das Unternehmen einen Ausfall unbeschadet überstehen? Die Schäden können sehr vielfältig sein, angefangen von der Anschaffung neuer IT-Systeme, bis zu Pönalen für das Nichterfüllen von Verträgen oder dem Vertrauensverlust, wenn z.B. bei einem Webshop Kreditkartendaten in die falschen Hände gelangen. Insbesondere bei Produktionsbetrieben kann eine Betriebsunterbrechung mitunter existenzgefährdend sein.

Aus dieser Analyse sind entsprechende Maßnahmen abzuleiten und umzusetzen.

Selbstverständlich gibt es Basics, die für Unternehmen jeder Größe und Branche unerlässlich und teils auch im Privatleben empfehlenswert sind.

Absolut notwendig ist ein ordentliches Konzept für die Datensicherung. Relevante Daten müssen regelmäßig (jedenfalls täglich) gesichert werden. Dabei ist zu beachten, dass Speichermedien nicht ewig halten (z.B. externe Festplatte: rund 10 Jahre) und entsprechend aufbewahrt werden müssen. Dabei sollte auch unbedingt der Notfall, sprich die Wiederherstellung der Daten getestet werden, um böse Überraschungen zu vermeiden.

Zu den technischen Mindestvorkehrungen gehören außerdem Firewall, Virenschutz, das regelmäßige Durchführen von Updates und Sicherheitspatches und das Verschlüsseln heikler Daten z.B. auf mobilen Geräten oder im E-Mail-Verkehr. Viele Anwendungen sind durch Passwörter geschützt. Passwortsicherheit ist zwar manchmal lästig, aber eine äußerst wichtige und zugleich eine der kostengünstigsten Sicherheitsvorkehrungen. Die Zugangsdaten sind regelmäßig zu ändern, es sollten unterschiedliche und komplexe Passwörter (ausreichend lange Zahlen-/Buchstabenkombination, die sich nicht in Wörterbüchern finden) verwendet werden.

Der Chef sollte Vorbild in Sachen Cybersicherheit sein, es müssen aber auch alle Mitarbeiter:innen entsprechend geschult werden.

Am Beispiel Ransomware heißt das, dass Mitarbeiter:innen vorsichtig beim Erhalt von E-Mails, deren Absender Sie nicht kennen, sein sollten. Unbekannte Dateianhänge sollten keinesfalls geöffnet werden, ohne sich vorher von deren Echtheit zu überzeugen.

Je nach Betrieb sind auch entsprechende organisatorische Maßnahmen (z.B. Zugang zu Daten, Vergabe von Administratorenrechten, etc.) zu treffen. 

Wie hilft die Wirtschaftskammer?

Die Wirtschaftskammer Österreich bietet mit www.it-safe.at seit vielen Jahren praktische Unterstützung für Unternehmen im Bereich IT-Sicherheit.

Ganz wichtig ist es, zu verstehen, dass IT-Sicherheit nicht eine einmalige Sache, sondern ein ganzheitlicher Prozess ist. Die gute Nachricht ist aber, dass Unternehmen sich mit einigen grundlegenden Maßnahmen schon vor den meisten Gefahren schützen können.