Aktuelles, Branche - geschrieben von am Mittwoch, Mai 31, 2017 19:05 - noch keine Kommentare

Im Fadenkreuz der Cyber-Kriminellen: Mittelständler als leichtes Ziel

Wieland Alge erläutert sieben Schritte zur Verbesserung der Cyber-Sicherheit

[datensicherheit.de, 31.05.2017] Die Annahme kleiner und mittlerer Unternehmen (KMU), sie seien zu unwichtig für Cyber-Angriffe, kann exakt wegen dieser Fehleinschätzung fatale Auswirkungen haben, denn anspruchsvolle Spear-Phishing-Kampagnen und Ransomware-Angriffe zielen bei weitem nicht nur auf große Unternehmen ab. Die KMU sind längst in den Fokus von Angreifern geraten – mit ihren vernachlässigten Verteidigungsmechanismen machen sie sich erst recht zu einem interessanten Ziel. Wieland Alge, „Vice President“ und „General Manager EMEA“ bei Barracuda Networks, nimmt in seiner aktuellen Stellungnahme Bezug auf die Vorgehensweise der Angreifer und gibt Tipps für Mittelständler, um deren Security-GAU zu verhindern.

KMU machen bereits ein Drittel der Ransomware-Opfer aus

Ob aus Zeitmangel oder Unwissenheit: Viele KMU sind auf Cyber-Angriffe nur schlecht vorbereitet. Angesichts der zahlreichen Herausforderungen des täglichen Geschäftsbetriebs überrascht es nicht, dass das Thema Cyber-Sicherheit auf ihrer Agenda häufig nach unten rutscht.
Das hat ernste Folgen, warnt Alge: Wie der „Verizon 2016 Data Breach Investigations Report“ zeige, habe es sich bei einem Drittel der Opfer von Datenverlusten infolge eines Ransomware-Angriffs um kleine und mittlere Unternehmen gehandelt. Diese nähmen Nachrichten über Attacken auf Konzerne und Marken zwar zur Kenntnis, gingen jedoch oft fälschlicherweise davon aus, dass sie selbst zu klein seien, um ein lohnenswertes Opfer darzustellen.
Dabei zielten anspruchsvolle Spear-Phishing-Kampagnen und Ransomware-Angriffe nicht nur auf große Unternehmen ab, KMU seien mittlerweile längst in den Fokus von Angreifern geraten, denn mit ihren entsprechend vernachlässigten Verteidigungsmechanismen machten sie sich erst recht zu einem interessanten Ziel für digitale Angreifer.

Organisierte Kriminalität bietet „Ransomware-as-a-Service“

Laut Verizon hat die Anzahl der Ransomware-Angriffe 2016 im Vergleich zum Vorjahr weltweit um 16 Prozent zugenommen – ein sprunghafter Anstieg dieser relativ neuen, aber mittlerweile sehr lukrativen Form von Cyber-Angriffen. Aufgrund des digitalen Wandels der Kriminalität gebe es inzwischen „professionelle“ Internetkriminelle, die sich auf Lösegelderpressung und Geldwäsche spezialisiert hätten. Digitale Zahlungssysteme wie „Bitcoin“ oder „Monero“ erleichterten zudem den anonymen Geldtransfer und vereinfachten die Erpressung, ohne dass Spuren nachverfolgt werden könnten. Diese Form von Cyber-Angriffen sei bereits so populär, dass sie sogar als „Ransomware-as-a-Service“ angeboten würden, bei denen man sich im „Tor“-Netz eine eigene, personalisierte Ransomware zusammenstellen könne, wobei die Hintermänner Kommission auf die Erpressungserlöse verlangten.

Cyber-Attacken immer ausgefeilter

Ebenso würden Phishing-Attacken immer ausgefeilter. Scammer durchsuchten Online-Quellen wie „LinkedIn“ und die Website des jeweiligen Unternehmens oder riefen bei der Auskunft an, um Namen von Ansprechpartnern herauszufinden. Auf diese Weise beschafften sie sich Informationen, um Zielpersonen von der Echtheit ihrer gefälschten E-Mail zu überzeugen. Sie gäben sich als bekannte Personen aus, um die Empfänger dazu zu bewegen, beispielsweise eine infizierte Datei zu öffnen oder auf eine schädliche URL zu klicken.
Neben E-Mail-Konten gehörten zudem Netzwerkperimeter, Endgeräte, Remotezugriffe und Webanwendungen zu den fünf am häufigsten genutzten Angriffsvektoren. Für jeden einzelnen seien spezielle Schutzmaßnahmen erforderlich, und in der Regel sei man nur mit einer geeigneten Kombination aus den richtigen Tools, Mitarbeitern und Prozessen gegen alle Bedrohungen gewappnet.

Durchschnittlicher finanzieller Schaden in Höhe von 70.000 Euro

Dennoch, so Alge, ließen es einige KMU lieber darauf ankommen, im Fall eines Ransomware-Angriffs für die Wiedererlangung ihrer Daten zu bezahlen, statt ausreichende Sicherheitsvorkehrungen zu treffen.
Für manche Mittelständler seien Ransomware-Angriffe heutzutage schlichtweg Teil des Geschäftsalltags – im Glauben, die Lösegeldzahlung wäre billiger als die Kosten für Datensicherheitsdienste. Doch dies verkenne die Tatsache, dass die Kosten einer Attacke weit über die Höhe des Lösegeldbetrages hinausgingen.
Die KMU müssten ebenfalls die Stunden verlorener Mitarbeiterproduktivität, den Vertrauensverlust der Kunden sowie die Schädigung des Rufs einkalkulieren. Unter Berücksichtigung sämtlicher Ausgaben für die Anzeige von Sicherheitsverletzungen sowie für Bußgelder, Ausfallzeiten des Unternehmens und Systemreparaturen verursache eine zielgerichtete Attacke gegen die Datensicherheit eines KMU derzeit durchschnittlich einen finanziellen Schaden in Höhe von 70.000 Euro.
Alge empfiehlt KMU sieben Schritte zur Verbesserung der Cyber-Sicherheit:

  1. Cyber-Sicherheit eine Frage der Unternehmens-Performance und -Compliance!
    Cyber-Sicherheit werde häufig als reines IT-Problem betrachtet; so hätten Führungskräfte oft kaum einen Einblick in bewährte Sicherheitsstandards und -risiken. Ohne Experten im Team bleibe es darüber hinaus nur allzu oft dem einfachen IT-Personal überlassen, sich um das umfangreiche Feld der Cyber-Sicherheit zu kümmern – doch IT-Sicherheit erfordere einen zentralen Ansatz mit klaren Zuständigkeiten.
    Wichtige Personen, allen voran Mitglieder der Unternehmensführung, müssten sich für das Thema einsetzen, um eine unternehmensweite Entscheidungs- und Mitarbeiterkultur mit dem Schwerpunkt auf dem vertraulichen Umgang mit Kundendaten und gutem Datenmanagement zu ermöglichen.
    Eine anfängliche professionelle Risikobewertung sei dabei unerlässlich, um bestimmte Gefahren zu identifizieren und Lösungen zu implementieren. Dieser Prozess sollte eine genaue Beurteilung der direkten Kosten im Zusammenhang mit einer Sicherheitsverletzung sowie deren Folgen für das gesamte Unternehmen beinhalten. Alge: „Arbeiten Sie hierfür mit Spezialisten zusammen und nutzen Sie ,Managed Services‘, um die Implementierung bewährter Sicherheitsverfahren und -technologien zu beschleunigen.“ Spezialanbieter könnten dabei helfen, potenzielle Schwachstellen zu ermitteln und eine durchdachte Strategie zum Schutz gegen Cyber-Angriffen zu erarbeiten.
  2. Bewährte Sicherheitsverfahren implementieren!
    „Legen Sie konkrete Richtlinien für die E-Mail-, Web-, Kollaborations- und Social-Media-Tools sowie sonstiger Werkzeuge fest, die in diversen Arbeitsabläufen eingesetzt werden“, rät Alge. „Stellen Sie dabei sicher, dass diese Leitlinien die gesetzlichen und behördlichen Auflagen zur Verschlüsselung von E-Mail-Inhalten umfassen, die sensible Daten enthalten.“
    Weiterhin sollte die Nutzung privater mobiler Endgeräte wie Laptops, Tablets oder Smartphones (BYOD), mit denen auf Unternehmenssysteme zugegriffen wird, überwacht oder gesteuert werden. „Unterweisen Sie Ihre Mitarbeiter, welche Werkzeuge und Anwendungen sie für den Zugang zu Unternehmensressourcen verwenden sollten. Verbieten Sie beispielsweise die Verwendung fremder Datensticks oder Software auf der Firmeninfrastruktur“, so Alge.
  3. Überwachungs- und Vorbeugungsmaßnahmen
    „Implementieren Sie Systeme zur Erkennung und Eliminierung von Phishing- und Ransomware-Attacken.“ Überwachungs-Software sollte umfangreiche Transparenz bieten sowie IT-Teams in die Lage versetzen, Postfächer regelmäßig zu scannen und Bedrohungen zu einem bestimmten Gerät zurückzuverfolgen.
    Ebenfalls sollten vorbeugende Maßnahmen ergriffen werden, darunter die Suche nach Schwachstellen in Web-Anwendungen sowie nach vorhandener Spyware und der Einsatz fortschrittlicher Werkzeuge zur Feststellung einer Gefährdung.
  4. „Disaster Recovery“-Plan überlebenswichtig für Geschäftskontinuität!
    Ein „Disaster Recovery“-Plan sei überlebenswichtig für die Geschäftskontinuität. „Prüfen Sie deshalb Ihr Backup-Verfahren, um sicherzustellen, dass Daten plattformübergreifend wiederhergestellt werden können. Auf diese Weise sorgen Sie dafür, dass Sie über eine konsequente Strategie zur Schadenbegrenzung verfügen.“ Cloud-basierte Backup-Systeme eigneten sich zum Beispiel, um die Anforderung eines Offsite-Backups für Katastrophenfälle kostengünstig abzubilden.
  5. Datenverschlüsselung und Cloud-Sicherheit!
    Ein umfangreiches Sicherheitskonzept sollte zudem fortschrittliche Ansätze wie Regeln für die Datenverschlüsselung zum Schutz privater Datenspeicher und Cloud-basierter Backup-Systeme umfassen.
    Ebenfalls dazu zählten Werkzeuge für heuristisches Scannen zum Aufspüren von Befehlen, die gegebenenfalls auf bösartige Aktivitäten hindeuteten, sowie Cloud-basierte System-Emulatoren, die Dateien in einer Sandbox öffneten und untersuchten, um Systeme vor dem Risiko schädlicher Anhänge zu schützen.
  6. Belegschaft sensibilisieren!
    Auch lasse sich mit der Sensibilisierung der Belegschaft einiges erreichen, denn Cyber-Kriminelle hätten es zumeist auf das leichteste Ziel im Netzwerk abgesehen – den Benutzer. E-Mails zählten zu den häufigsten Einfallstoren für zahlreiche Arten von Attacken – viele Mitarbeiter kämpften jedoch mit Informationsüberflutung, weshalb die Wahrscheinlichkeit also gering sei, dass sie ihre Post eingehend auf Phishing prüften.
    Die Förderung des Sicherheitsbewusstseins sei ein zentraler Bestandteil der Verbesserung des Schutzes. Die Ergebnisse eines aktuellen Berichts von Osterman Research bestätigten, dass die Wahrscheinlichkeit, Opfer eines Spear-Phishing-Angriffs zu werden, für Unternehmen mit gut vorbereiteten Mitarbeitern geringer sei. Alge: „Wichtig ist die Veranstaltung regelmäßiger Schulungen, in denen der Umgang mit Betrug oder E-Mail-Angriffen, gute E-Mail-Praktiken und sicheres Verhalten beim Surfen im Internet vermittelt werden.“
  7. Systeme stets aktuell halten!
    Alle Anwendungen und Betriebssysteme sollten regelmäßig auf Sicherheitslücken geprüft sowie anhand aktueller Patches der jeweiligen Anbieter auf den neuesten Stand gebracht werden.
    Wie Edgescan herausgefunden habe, hätten 63 Prozent aller Schwachstellen mittels Sicherheitsaktualisierung beseitigt werden können.
Wieland Alge, Barracuda Networks

Foto: Barracuda Networks

Wieland Alge: IT-Sicherheit ist Chefsache!

IT und deren Sicherheit ist Chefsache!

Im Züge des Digitalen Wandels würden KMU in den kommenden Jahren zunehmend von Hackerangriffen betroffen sein.
Zwar sei auch ein langsamer Anstieg des Risikobewusstseins bei ihnen zu erkennen, jedoch zeige sich noch eine große Diskrepanz zwischen steigendem Bewusstsein und dem Ergreifen konkreter Maßnahmen zum Schutz vor Angriffen. „Aktuell besteht wohl das größte Risiko für KMU noch immer darin, die Risiken zu unterschätzen oder das Thema überfordert auszublenden“, sagt Alge.
Globale und flächendeckend angelegte Bedrohungen wie der aktuelle „WannaCry“-Ransomware-Angriff, von dem nicht nur Unternehmen wie die Deutsche Bahn oder Schenker, sondern auch zahllose kleine Unternehmen betroffen gewesen seien, zeigten jedoch, dass die Auseinandersetzung mit IT-Sicherheit kein reines Abteilungsthema, sondern unabhängig von der Unternehmensgröße Chefsache sein sollte.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2011
Barracuda Networks: Neue Studie offenbart Unterschiede bei der Einschätzung Sozialer Netzwerke

 



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung