Spätestens seit Auftreten der Ransomware Emotet kennt fast jedes Unternehmen die Bedrohung durch Verschlüsselungstrojaner

[datensicherheit.de, 18.03.2021] Die Angst vor Ransomware sei groß: „Spätestens seit ,Emotet‘ kennt fast jedes Unternehmen die Verschlüsselungstrojaner, mit denen Cyber-Kriminelle auf Lösegeld-Jagd gehen“, so Patrycja Schrenk, Geschäftsführerin der PSW GROUP, in einem aktuellen Beitrag. Dennoch hielten sich hartnäckig Mythen rund um das Thema Ransomware, welche dafür sorgten, „dass Unternehmen eben doch nicht so gut vorbereitet sind, wie sie es sein sollten“. IT-Sicherheitsexperten der PSW GROUP haben demnach die gängigsten Mythen zusammengetragen und klären über deren Wahrheitsgehalt auf.

Foto: PSW GROUP

Patrycja Schrenk: Eine Kombination von Sicherheitsmaßnahmen für ein sehr hohes Schutzniveau!

1. Ransomware-Mythos: „Wer Lösegeld zahlt, hat Ruhe.“

In der Hoffnung, das Cyber-Kriminelle nach Zahlung eines Lösegelds die Daten wieder entschlüsseln, zahlten immer wieder Opfer zum Teil sehr hohe Summen. „Meist ist dies jedoch vergeblich: Das Geld ist weg und die Daten lassen sich nicht wiederherstellen. Hinzu kommen die Kosten für die Bewältigung der Auswirkungen eines solchen Angriffs wie Geschäftsausfallzeiten, verlorene Aufträge und Betriebskosten“, stellt Schrenk klar.

2. Ransomware-Mythos: „Unsere Systeme sind sicher.“

Aktuell gehaltene und professionell konfigurierte Sicherheitssysteme seien zweifelsfrei immens wichtig. Dennoch seien sie kein Garant dafür, vor allen Cyber-Bedrohungen effizient zu schützen. „Gerade in der aktuellen Zeit, in der die Fernarbeit an Bedeutung gewonnen hat, ist das Risiko für Angriffe deutlich erhöht. Schatten-IT, Mitarbeiter, die im Umgang mit der IT nur bedingt sicher agieren, weitere Netzwerke, die Beachtung finden müssen: All das kann die beste Sicherheitssoftware nicht abfedern“, so Schrenks Warnung. Ihr Rat: „Neben regelmäßigen Patches sind Mitarbeiterschulungen von essenzieller Bedeutung für die IT-Sicherheit im Unternehmen im Allgemeinen und den Schutz vor Ransomware im Besonderen.“

3. Ransomware-Mythos: „Die Mitarbeitenden spielen keine Rolle.“

Sichere Systeme und gute Sicherheitssoftware allein reichten nicht. Die Beschäftigten müssten diese auch sicher nutzen können. „Tatsächlich kann der Mensch beides sein: Sicherheitsmerkmal sowie Sicherheitsrisiko. Gut geschultes und sensibilisiertes Personal ist ein wesentliches Sicherheitsmerkmal: Nur durch regelmäßige ,Awareness‘-Schulungen ist es möglich, die immer intelligenter werdenden Tricks der Cyber-Kriminellen als solche zu enttarnen“, erläutert Schrenk.

4. Ransomware-Mythos: „Wir machen Backups, also sind wir sicher.“

Regelmäßige Daten-Backups, mit der sich im Fall der Fälle Daten wiederherstellen ließen, böten nur so lange einen Schutz, wenn diese außerhalb des Unternehmensnetzwerks lagerten. Denn wenn sich ein Verschlüsselungstrojaner durch das System kämpft, werde er auch dort gespeicherte Backups verschlüsseln. „Die Datensicherungen sollten offline oder getrennt vom Unternehmensnetzwerk in festen zeitlichen Intervallen erfolgen“, empfiehlt Schrenk.

5. Ransomware-Mythos: „E-Mails von Bekannten sind sicher“

Die Anhänge von E-Mails selbst bekannter Absender arglos zu öffnen oder darin enthaltene Links anzuklicken, könne ein böser Fehler sein. Denn Cyber-Kriminelle könnten den Absender gefälscht oder das E-Mail-Account des Bekannten gehackt haben, so dass nun munter Verschlüsselungstrojaner von diesem Konto verteilt würden. „Auch bei bekannten Absendern ist Wachsamkeit wichtig. Mein Rat ist, sich immer den Quelltext anzusehen, denn der liefert Informationen, woher die E-Mail tatsächlich stammt. Im Zweifel würde ich auch zum Telefonhörer greifen und beim Absender erfragen, ob die E-Mail wirklich von ihm ist“, sagt Schrenk.

6. Ransomware-Mythos: „Einen Befall bemerkt man immer.“

Verschlüsselungstrojaner sowie die Art ihres Einschleusens würden immer raffinierter und komplexer. „Emotet“ habe dies bewiesen: Die Schadsoftware habe Verschlüsselungstrojaner erst nachgeladen, so dass „Opfer den Befall nicht bemerkt haben, bis die Daten verschlüsselt waren“.

7. Ransomware-Mythos: „macOS und Smartphones sind sicher.“

Smartphones seien als digitale Helfer privat wie beruflich unverzichtbar – und damit auch für Cyber-Kriminelle ein spannendes Angriffsziel. Deshalb brauchten Smartphones, wie ihre stationären Rechner-Kollegen, Sicherheitssoftware, regelmäßige Updates sowie das notwendige Sicherheitsgespür des Anwendenden. Auch Macs seien nicht per se sicher: Inzwischen gebe es Malware, die auf macOS spezialisiert sei. „Aktuell macht der Schädling ,Silver Sparrow‘ von sich Reden – ein Schädling, bei dem noch unklar scheint, wie er überhaupt auf den Mac gelangt, denn offenbar werden macOS-Geräte bereits mit dem Schädling ausgeliefert“, warnt Schrenk und erinnert daran:„Erstmals gelangte Ransomware auf macOS-Geräte im Jahr 2013. Zwar handelte es sich bei ,FBI Ransom‘ technisch gesehen nicht um Ransomware, da kein Schädling auf betroffenen Macs installiert war, Lösegeld wurde jedoch trotzdem gefordert. Per ,Social Engineering‘ und ,JavaScript‘ gelang es, die Kontrolle über Mac-Browser zu gewinnen und Nutzer über bösartige Links zu einer entsprechenden Website zu schleusen.“ „FileCoder“ und „Oleg Pliss“ im Jahr 2014, „KeRanger“ im Jahr 2016, „Patcher“ im Jahr 2017 und „EvilQuest“ aus dem Jahr 2020 führten die Liste der Schädlinge fort, die exklusiv für macOS entwickelt worden seien.

Schutz gegen Ransomware realistisch angehen!

Schrenks Fazit: „Es gibt Ransomware-Mythen, die sich sehr hartnäckig halten. Jedoch sollte der Schutz gegen Ransomware realistisch angegangen werden.“ Auch wenn es keine hundertprozentige Sicherheit gebe, so böten regelmäßige Patches, eine gute Sicherheitssoftware, Komponenten wie eine Firewall, eine effiziente Backup-Strategie und geschultes Personal in Kombination ein sehr hohes Schutzniveau.

Weitere Informationen zum Thema:

datensicherheit.de, 10.03.2021
Zahnloser Tiger: DSGVO bei der SCHUFA

PSW GROUP, Bianca Wellbrockm 02.03.2021
IT-Security / Ransomware-Mythen: Schutz vor Ransomware realistisch angehen

[datensicherheit.de, 26.08.2020] Konventionelle Ansätze der Cyber-Sicherheit konzentrierten sich auf ein grundlegendes Konzept: „Jedes in Sichtweite befindliche Gerät schützen, um Hacker, Angreifer und Diebe fernzuhalten.“ In einer hochgradig vernetzten Welt indes, „in der sich eine Vielzahl von Sensoren, Geräten und Systemen gegenseitig mit Daten versorgen“, sei dieses Konzept jedoch überholt, so Palo Alto Networks in einer aktuellen Stellungnahme. Das sogenannte Internet der Dinge wachse – IDC prognostiziere, dass es 41,6 Milliarden vernetzte IoT-Geräte bis 2025 geben werde. „Es gibt einfach zu viele Geräte und es gibt keine Grenzen“, warnt Jamison Utter, „Senior Business Development Manager for IoT“ bei Palo Alto Networks. Palo Alto Networks benennt die fünf „wesentlichen Mythen der vernetzten Sicherheit“ und gibt Tipps, wie Unternehmen diese überwinden könnten.

IoT unterscheidet sich sehr von regulärer IT

„Was bedeutet das für Unternehmen? Wenn sie im traditionellen Sicherheitsansatz feststecken, ist es an der Zeit, ihre Sicherheitsinitiative neu zu starten, um eine grenzenlose Computing-Umgebung widerzuspiegeln.“
Das IoT unterscheide sich sehr von der regulären IT. Es sei wichtig, sich auf das Netzwerk und die gesamte Datenumgebung zu konzentrieren, anstatt auf das spezifische Gerät.

Mythos 1: Das IoT ist einfach die nächste Phase der IT-Sicherheit

Nichts könnte weiter von der Wahrheit entfernt sein! Vernetzte Geräte und Systeme stellten einen stärker dezentralisierten Ansatz für die Computing- und Cyber-Sicherheit dar. Für IT-Teams erfordere die Umstellung auf das IoT einen gewaltigen konzeptionellen Sprung, „da sie nicht mehr der Käufer oder Gerätebesitzer sind“.
Das Problem sei, dass die IT-Teams versuchten, dieselben Tools und Ansätze zu verwenden, „die schon bei der Gründung von Fort Knox verwendet wurden“. Sie gingen ein Geschäftsproblem als IT-Problem an. Beim IoT gehe es nicht um Laptops und Smartphones – es gehe nicht um den Schutz von Benutzernetzwerken: „Es ist eine ganz andere Welt, die sich um den Schutz von Geschäftsprozessen und Daten dreht.“
Unternehmensleiter, „die das IoT wirklich verstehen“, würden erkennen, dass sie die Cyber-Sicherheit vereinfachen könnten, wenn sie einen eher ganzheitlichen, datenzentrierten Ansatz verfolgten, anstatt alles noch komplexer zu machen.

Mythos 2: Die IT sollte die Sicherheit des IoT überwachen

„Wenn die IT-Abteilung für die Sicherheit des Internet der Dinge verantwortlich ist, greift sie in der Regel auf konventionelle Werkzeuge, Technologien und Ansätze für diese Aufgabe zurück.“ Dieser „One-size-fits-all“-Ansatz führe häufig zu enttäuschenden Ergebnissen. Das IoT gehe über die Grenzen konventioneller Computersysteme hinaus. Daten befänden sich auf verschiedenen Geräten innerhalb und außerhalb eines Unternehmens und flössen über viele weitere Berührungspunkte.
Es gebe aber noch ein anderes, manchmal größeres Problem: Da sich das IoT über Teams, Abteilungen und Unternehmen erstrecke, sei es leicht, sich mit einem isolierten Ansatz zur Cyber-Sicherheit abzufinden. In einigen Fällen könnten verschiedene Gruppen, die sich mit Sicherheitsfragen befassen, Doppelarbeit verrichten oder sogar versehentlich Methoden anwenden, die miteinander in Konflikt stünden – und letztlich ein Unternehmen ungeschützt ließen.
Die Abstimmung zwischen IT- und Cyber-Sicherheitsteams sei im Zeitalter des IoT sogar noch wichtiger. Dies erfordere eine enge Zusammenarbeit zwischen „CIOs“, „CSOs“ und „CISOs“. Man müsse wirklich eine Analyse durchführen, all seine Ressourcen identifizieren und verstehen, „wie, warum und wo Daten verwendet werden“. Nur dann könne man einen Rahmen entwerfen, „der für das IoT optimiert ist“. Dies könne die Einstellung oder Umschulung von Mitarbeitern mit den richtigen Fähigkeiten und Fachkenntnissen erfordern.

Mythos 3: Herkömmliche Sicherheitstools und -strategien werden uns schützen

Der „Burg-und-Graben“-Ansatz in der Cyber-Sicherheit könne die IoT-Sicherheit tatsächlich „untergraben“. Malware-Schutz und andere herkömmliche Tools seien zwar immer noch wertvoll, seien aber nicht für die Verwaltung von Datenströmen über Sensoren, Edge-Umgebungen und moderne Mehrzweckgeräte konzipiert worden.
„Das bedeutet nicht, dass ein Unternehmen diese Schutzmechanismen beseitigen sollte, es muss sie nur anders einsetzen und neue Funktionen hinzufügen, sobald sie verfügbar sind.“ Dies könnten zum Beispiel Datenverschlüsselung während der Übertragung oder Tools zur Netzwerküberwachung sein, „die erkennen, wann Daten besonders gefährdet sind“. Es könnte auch die Einrichtung separater Netzwerke für verschiedene Arten von Daten sein. „Selbst wenn jemand ein Gerät oder ein System hackt, kann es dann passieren, dass er nichts Wertvolles erhält.“ Palo Alto Networks meint demnach, „dass ein Unternehmen, sobald es vollständig versteht, wie Daten auf einer IoT-Plattform verwendet werden, die richtigen Schutzvorkehrungen zuweisen kann, einschließlich Governance-Modell, Praktiken, Prozessen und Tools“. Dies könne von der Endpunkt- und Netzwerküberwachung über Verschlüsselung in Bewegung bis hin zu noch fortschrittlicheren Methoden des Maschinellen Lernens und der Künstlichen Intelligenz (KI) reichen.
KI könne IoT-Geräte in einem Netzwerk finden, einschließlich zuvor verborgener Geräte, sicherstellen, „dass sie kritische Updates und Sicherheits-Patches erhalten haben, und andere potenzielle Probleme identifizieren“. Durch Maschinelles Lernen könnten IoT-Geräte auf der Grundlage von Sicherheitsrisiken in Gruppen eingeteilt werden, „ohne dass zusätzliche Sicherheitssoftware und manuelle Prozesse erforderlich sind“. Dieser Ansatz ermögliche Risikobewertungen, wann Geräte „normal“ oder „verdächtig“ funktionierten, und helfe bei der Durchsetzung von IoT-Richtlinien.

Mythos 4: Es dreht sich alles um den Schutz des Gerätes

Die Anwendung des konventionellen IT-Sicherheitsdenkens auf das IoT öffne eine weitere Falle – IoT-Sicherheit erfordere einen breiteren Ansatz, welcher Netzwerkauthentifizierung, Konnektivität, Clouds und mehr umfasse. „Es ist an der Zeit, nicht mehr an IoT-Geräte als kleine PCs zu denken. Die meisten dieser Geräte sind einfach und dumm“, erklärt Utter.
Tausende oder Zehntausende von IoT-Sensoren und -Geräten machten es unmöglich, jedes einzelne in einem intelligenten Unternehmen, einer Lieferkette oder einer Stadt zu schützen. Es sei zwar wichtig, ein medizinisches Gerät oder ein Auto vor Hacker-Angriffen zu schützen, aber viele angeschlossene Sensoren und Geräte hätten schreibgeschützte Komponenten, die nicht kompromittiert werden könnten. Folglich müssten sich die IoT-Schutzmaßnahmen in Unternehmen um komplexere Beziehungen zwischen Systemen und Daten drehen. „Man muss wirklich mit den Grundlagen beginnen“, unterstreicht Utter: „Das bedeutet, dass man ein ,Zero-Trust‘-Framework schaffen muss.“ In dieser neuen Ordnung des IoT sei das Netzwerk das „Ding“ – und alle Sensoren, Geräte, Systeme und Daten müssten ganzheitlich betrachtet werden. „Durch die Klassifizierung von Daten, die Einrichtung von Zonen und die Erstellung von Whitelist-Anwendungen und -Prozessen ist es möglich, die richtigen Schutzvorrichtungen und Werkzeuge für die richtige Aufgabe zu identifizieren.“
Dies bedeute zum Beispiel, dass man sich von einem traditionellen Modell, „bei dem alle Sensoren und Geräte in dasselbe Netzwerk eingebunden werden“, entfernen müsse. Stattdessen könne ein Unternehmen davon profitieren, wenn es seine Anlagen nach Geschäftsaufgaben, Datensicherheits- und Vertrauensebene organisiere. Daraufhin gelte es Netzwerkknoten, -abteilungen oder -zonen zu schaffen sowie Tools und Schutzvorrichtungen zu implementieren, welche „den Sicherheitsanforderungen entsprechen“.

Mythos 5: Die Sicherheitsvorkehrungen der Hersteller sind entscheidend

Die vorherrschende Mentalität sei, dass Anbieter starke Schutzvorrichtungen in ihre Produkte einbauen müssten. „Und wenn es einen Patch gibt, muss der Benutzer ihn nach der Installation in aller Eile installieren.“ Leider sei dies „ein fehlerhaftes Konzept im Zeitalter der vernetzten Geräte“. Das solle nicht heißen, dass Sicherheit nicht in die Produkte eingebaut werden sollte.
„Es soll nur nicht heißen, dass ein Unternehmen die Sicherheit der Anbieter von IoT-Geräten nicht als primäre Form des Schutzes betrachten sollte.“
Viele Sensoren seien lediglich „dumme Endpunkte“, die ersetzt und nicht gepatcht würden. Selbst wenn es sich um komplexere Geräte handele, „setzen die meisten Unternehmen IoT-Komponenten ein und aktualisieren oder patchen diese nie“. Teil des Problems sei, dass Firmware-Patches und -Upgrades bei Tausenden von vernetzten Geräten zu einem Albtraum würden.

IoT erfordert umfassendere, übergreifende Strategie für Cyber-Sicherheit

Das Fazit: „Die Sicherheit auf dem Gerät wird sehr viel weniger wichtig, wenn Daten- und Netzwerkkontrollen eingerichtet sind.“ Das IoT erfordere eine umfassendere, übergreifende Strategie, welche sich über alle Gerätehersteller erstrecke.
Letztendlich müsse sich der Schutz des IoT nicht als mühsam erweisen. Er erfordere jedoch das richtige Fachwissen – „und ein Verständnis dafür, dass der konventionelle Ansatz zur Cyber-Sicherheit angepasst werden muss“. Wenn Führungskräfte diese Realität verstehen, so Palo Alto Networks, könnten sie Entscheidungen und Budgets entsprechend anpassen.

Weitere Informationen zum Thema:

datensicherheit.de, 19.08.2020
IoT-Sicherheit: 7 zentrale Erkenntnisse / Palo Alto Networks betont Bedeutung Maschinellen Lernens für verbesserte IoT-Sicherheit

datensicherheit.de, 07.08.2020
IoT allerorten: Von Türklingeln über Aquarien bis zu Kernkraftwerken / Palo Alto Networks rückt Sicherheit der IoT in den Fokus und betont deren zentrales Merkmal der allgegenwärtigen Konnektivität

datensicherheit.de, 28.07.2020
IoT-Sicherheit für alle Unternehmen existenziell / Palo Alto Networks sieht Potenzial in lernenden Systemen

datensicherheit.de, 16.07.2020
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie / Wie sich Maschinen, Geräte und Komponenten anmelden und sicher miteinander kommunizieren können

datensicherheit.de, 01.07.2020
The IoT is broken – gebrechlich aber heilbar / Neuer TÜV SÜD-Podcast „Safety First“ mit Mirko Ross

Unternehmen sehen sich mit immer raffinierteren Cyber-Angriffen und teureren Datenskandalen konfrontiert

[datensicherheit.de, 09.08.2020] Angesichts der wachsenden Bedrohung durch Cyber-Angriffe wird die sogenannte Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen hätten bisher allerdings ein hohes Resilienz-Level erreicht – so die Erkenntnis einer aktuellen Studie von Frost & Sullivan und Greenbone Networks. Ob „Cyber Resilience“ nur etwas für große Unternehmen mit hohen IT-Budgets ist, erörtert Elmar Geese, „COO“ bei Greenbone, in seine aktuellen Stellungnahme und möchte dabei „mit den häufigsten Mythen“ aufräumen.

Foto: Greenbone Networks

Elmar Geese: Auch KMU als Hidden Champions im Visier Cyber-Krimineller

Cyber-Vorfälle im aktuellen Allianz Risk Barometer zum weltweit wichtigsten Geschäftsrisiko aufgestiegen

Erstmals seien Cyber-Vorfälle im aktuellen „Allianz Risk Barometer“ zum weltweit wichtigsten Geschäftsrisiko aufgestiegen. Sie verdrängten damit den langjährigen Spitzenreiter, die Betriebsunterbrechung, von Platz 1 – beide Risikofaktoren seien eng miteinander verknüpft. Unternehmen sehen sich demnach mit immer raffinierteren Angriffen und teureren Datenskandalen konfrontiert. So koste ein schwerer Datendiebstahl laut dem Ponemon Institute heute durchschnittlich 42 Millionen Dollar und damit acht Prozent mehr als im Vorjahr.
Viele Unternehmen versuchten daher, Cyber-Resilienz zu erlangen. Laut einer Studie von Frost & Sullivan und Greenbone Networks hätten allerdings erst 36 Prozent der Organisationen in sechs Schlüsselindustrien in Deutschland, Frankreich, Großbritannien, den USA und Japan „ein hohes Level an ,Cyber Resilience‘ erreicht“. Häufig herrsche noch Unklarheit, „was sich hinter diesem Konzept eigentlich verbirgt und welche Faktoren und Fähigkeiten entscheidend sind“.

Mythos 1: Cyber Resilience reines Technologie-Thema

„Cyber Resilience“ beschreibe die Fähigkeit eines Unternehmens, trotz eines Cyber-Vorfalls geschäftsfähig zu bleiben, und gehe über den reinen Schutz von IT-Netzwerken und -Systemen hinaus. Der Ansatz bestehe darin, Sicherheit aus den Geschäftsprozessen heraus zu schaffen, statt einen Schutzwall um sie herum zu bauen. Technologie sei daher nur ein Aspekt. Genauso wichtig seien Menschen und Kultur sowie Prozesse und Organisation. Eine entscheidende Rolle spiele zum Beispiel die Art und Weise, wie ein Unternehmen Prozesse gestaltet und Mitarbeiter einbezieht.
Verantwortlichkeiten müssten klar und eindeutig festgelegt sein. So zeige der Report von Frost & Sullivan, „dass fast alle hochresilienten Unternehmen (95 Prozent) der Best Practice folgen, die Verantwortung eines digitalen Assets bei seinem Owner anzusiedeln, etwa einer Einzelperson oder einer Abteilung“. Außerdem kristallisierten sich in der Studie die folgenden Kernkompetenzen heraus: Die Fähigkeit, kritische Vermögenswerte jedes kritischen Geschäftsprozesses zu identifizieren, die potenziell durch einen Cyber-Angriff beeinträchtigt werden könnten (97% der hochresilienten Unternehmen). Ferner die Fähigkeit, identifizierte Schwachstellen zu mindern und zu beheben (94% der hochresilienten Unternehmen) – das schließe sowohl technische als auch organisatorische Schwachstellen ein.

Mythos 2: Widerstandsfähigkeit gegen Cyber-Angriffe eine Frage des Budgets

Die Studie zeige zwar, dass hochresiliente Unternehmen im Durchschnitt einen größeren Umsatz und ein höheres IT-Budget hätten als weniger resiliente. Bei genauerer Betrachtung werde jedoch deutlich, dass es keinen Zusammenhang zwischen der Höhe der IT-Ausgaben und dem erreichten Cyber-Resilience-Level gebe. Geese betont: „Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind.“
Gerade bei knappen IT-Budgets komme es darauf an, die zur Verfügung stehenden Mittel auf die wichtigsten Assets zu konzentrieren. Hierbei gehe es häufig um Entscheidungen, die nur Führungskräfte treffen könnten, denn diese müssten Risiken gegen Kosten abwägen. „Cyber Resilience“ müsse daher auf Management-Ebene angesiedelt sein. In 97 Prozent der hochresilienten Unternehmen werde „Cyber Security“ regelmäßig in „Senior Management Meetings“ besprochen.

Mythos 3: Cyber Resilience schließt System-Ausfälle aus

Auch mit den besten Security-Maßnahmen werde es nie hundertprozentige Sicherheit geben. „Cyber Resilience“ bedeute daher nicht nur, Hacker-Angriffe so gut es geht abzuwehren, sondern auch im Falle einer Attacke schnell gegenzusteuern und trotzdem die gesetzten Geschäftsziele erreichen zu können.
„Wie die Frost & Sullivan-Studie zeigt, sind sich Unternehmen zunehmend bewusst, dass Cyber-Angriffe unvermeidlich sind. Die Fähigkeit, sie zu verhindern, spielt daher eine eher untergeordnete Rolle auf dem Weg zur Resilienz“, erläutert Geese. Als wichtiger erachten die Befragten die Fähigkeit, auf Cyber-Attacken zu reagieren (81%), ihre Auswirkungen auf kritische Geschäftsprozesse zu mindern (79%) und identifizierte Schwachstellen zu schließen (78%).

Mythos 4: Cyber Resilience auf das eigene Unternehmen begrenzt

Da „Cyber Resilience“ auf die Geschäftsziele fokussiere und von der Prozess-Seite her gedacht werden müsse, „endet sie nicht an den Grenzen des eigenen Hauses“. Vielmehr müssten Unternehmen auch an alle Beteiligten denken, mit denen sie vernetzt sind oder zu denen es Abhängigkeiten gibt, zum Beispiel Lieferanten, Kunden, Mitbewerber oder Regulierungsbehörden.
Wie wichtig es sei, eine breitere „Nachbarschaft“ zu berücksichtigen, zeige das Beispiel des Energiesektors. Kommt es dort an einer Stelle im Gefüge zu Ausfällen, ziehe dies eine ganze Kaskade von Problemen nach sich, „denn ohne Strom funktioniert in unserer heutigen Gesellschaft nahezu nichts mehr“.

Mythos 5: Konzepte für Cyber Resilience nur etwas für große Organisationen

Geese stellt klar: „Es wäre fatal zu glauben, dass nur große Unternehmen von Cyber-Angriffen betroffen sind. Schon längst haben Hacker auch kleinere und mittelständische Organisationen als attraktives Ziel entdeckt.“ Denn gerade dort gebe es oft viele „Hidden Champions“, bei denen sich Industriespionage und Datendiebstahl lohnten.
Zudem seien KMU häufig schlechter geschützt als große Unternehmen und damit ein leichteres Opfer. Laut einer aktuellen Bitkom-Studie seien 2019 mindestens 75 Prozent aller deutschen Unternehmen von Cyber-Angriffen betroffen gewesen. Besonders bei den kleineren Betrieben mit zehn bis 99 Mitarbeitern sei die Zahl im Vergleich zu 2017 deutlich angestiegen. Die Fähigkeit, sich auf solche Vorfälle einzustellen, schnell handeln zu können und betriebsfähig zu bleiben, werde daher „für Unternehmen aller Größen zu einem entscheidenden Wettbewerbsfaktor“.

Weit aber lohnend: Der eigene Weg zur Cyber Resilience

Die meisten Unternehmen in den fünf größten Volkswirtschaften der Welt befänden sich noch am Anfang auf ihrem Weg zu hoher Cyber Resilience. Es gebe also noch viel zu tun. Nur indem Unternehmen alle drei Dimensionen „Technologie und Infrastruktur“, „Menschen und Kultur“ sowie „Organisation und Prozesse“ in einem umfassenden Konzept berücksichtigten, könnten sie ihr Ziel erreichen.
Cyber Resilience sei keine reine Frage der Technik, des IT-Budgets oder der Unternehmensgröße und dürfe nicht an den Grenzen des eigenen Hauses aufhören. „Wer auf seine geschäftskritischen Prozesse und Assets fokussiert, Schlüsselfähigkeiten erwirbt und sich an ,Best Practices‘ orientiert, macht einen großen Schritt nach vorn“, so Geeses Fazit.

Weitere Informationen zum Thema:

Allianz, 14.02.2020
Allianz Risk Barometer 2020: Cyber steigt zum weltweiten Top-Risiko für Unternehmen auf

Greenbone
Cyber Resilience – die Antwort auf die Risiken unserer vernetzten Geschäftswelt

datensicherheit.de, 16.11.2018
Internationaler Cyber Resilience Think Tank: Hohe Priorität für Threat Intelligence

[datensicherheit.de, 19.07.2016] Bei jedem Ausflug ins Internet hinterlassen Nutzer unbemerkt Spuren, die sich zu detaillierten Persönlichkeitsprofilen verdichten lassen. Diese können Informationen u.a. über Gesundheitszustand, politische Gesinnung oder sogar sexuellen Vorlieben enthalten. „Meine Daten sind sicher!“ sei ein weit verbreiteter Irrtum, genau wie andere Mythen, die sich in den Köpfen vieler Internet-Nutzer verankert hätten. Hierzu äußert sich Tracking-Experte Christian Bennefeld von der eBlocker GmbH in Hamburg in einer aktuellen Stellungnahme.

Spuren lassen sich zu detaillierten Persönlichkeitsprofilen verdichten

Christian Bennefeld wirft Fragen auf, wie man reagieren würde, wenn z.B. die Dame an der Supermarktkasse über die eigenen Probleme beim Wasserlassen Bescheid wüsste – oder der Metzger von nebenan über finanzielle Engpässe. Sehr wahrscheinlich wäre man empört. In Zeiten des Internets sei es inzwischen jedoch ganz normal, dass Unternehmen und andere Organisationen bestens über private Dinge informiert seien. „Denn bei jedem Ausflug ins Web hinterlassen Nutzer unbemerkt Spuren, die sich zu detaillierten Persönlichkeitsprofilen verdichten lassen“, unterstreicht Bennefeld.

1. Mythos: „Die Daten sind in guten Händen.“
   Die Erfahrung lehre uns, dass gesammelte Daten fast immer, früher oder später, missbraucht würden. Selbst in den Händen von großen „seriösen“ Unternehmen seien sie alles andere als sicher. Egal ob Postbank, Telekom, Sony oder sogar der Deutsche Bundestag: Missbrauchsfälle von Verbraucher- bzw. Bürgerdaten gebe es immer wieder. Ursächlich sei meist der schlechte Schutz. So gerieten Namen, Adressen, Geburtsdaten, Anmeldedaten und sogar Kontonummern millionenfach auf den lukrativen Schwarzmarkt für persönliche Daten. Hinzu kommt, so Bennefeld, dass jedes US-Unternehmen die Dateien seiner Kunden herausrücken müsse, wenn Geheimdienste wie die NSA anklopften.
2. Mythos: „Es werden sowieso nur ,anonyme‘ Metadaten gesammelt.“
   Datensammler seien besonders gierig auf sogenannte Meta- oder Verkehrsdaten. Dabei handele es sich nicht um konkrete Inhalte, sondern vielmehr um Informationen, die Rückschlüsse auf ein bestimmtes Verhalten zuließen (beispielsweise wann eine Person eine bestimmte Internetseite besucht hat). Mithilfe von Analysen ließen sich dann erstaunlich detaillierte Informationen erlangen.
   Eine Studie der Universität Stanford habe gezeigt, dass allein durch die Auswertung von Metadaten die Forscher über bestimmte Krankheiten und den Drogenkonsum freiwilliger Probanden im Bilde gewesen seien. Dazu kommt laut Bennefeld, dass sich ein genaues Persönlichkeitsprofil mit ausgeklügelten Algorithmen anhand von Metadaten jedes Internet-Nutzers bilden und eindeutig einer Person zuordnen lasse.
3. Mythos: „Tracking ist böse.“
   „Nicht immer“, meint hingegen Bennefeld. Techniken, die das Verhalten von Surfern auswerteten, dienten oft zur Verbesserung von Internetseiten. So könne etwa ein Shop-Betreiber Probleme erkennen und so seine Website optimieren. Jedoch sei es eher die Regel als die Ausnahme, dass der Nutzer vermeintlich kostenlose Webseiten-Betreiber mit seinen Daten bezahle. Einer dieser Schwarzen Schafe unter den Trackern sei „Google Analytics“, wo es allein ums Abgreifen persönlicher Daten gehe. Tracker wie diese verfolgten Surfer über sämtliche Websites und Geräte hinweg und erstellten so detaillierte Persönlichkeitsprofile.
   Als Beispiel: Wenn sich ein Nutzer etwa morgens über „Migräne“ informiere, nachmittags nach örtlichen Ärzten suche und abends „Spezialklinken für Hirntumore“ recherchiere, wisse das Unternehmen genau Bescheid. Dieses Wissen verkaufe es gewinnbringend an Werbekunden und andere Dritte…
4. Mythos: „Persönlichkeitsprofile entstehen nur am Windows-PC.“
   Der PC stehe in der IT-Welt für das Sicherheitsrisiko schlechthin: Viren, Ransomware und Banking-Trojaner… Immer treffe es gefühlt „Windows“-Computer. Für Datensammler spiele es aber keine Rolle, mit welchem Gerät Nutzer ins Web gehen. Egal ob PC, Mac, Smart-TV, Spielekonsole, Tablet oder Handy – alle gesammelten Daten würden Geräte-übergreifend miteinander verknüpft und zu detaillierten Persönlichkeitsprofilen verdichtet, warnt Bennefeld.
5. Mythos: „Apps sind harmloser als Internetseiten.“
   Das Gegenteil sei der Fall – Apps seien noch viel schlimmer. Denn im Vergleich zum Browser könnten sie proprietäre Protokolle zum Datenaustausch nutzen, um Schutzfunktionen wie Firewalls auszutricksen, erläutert Bennefeld. So genössen sie oft zusätzlich Zugriff auf Positionsdaten, Kamera, Kalender und Kontakte. Dies geschehe oft ohne Einwilligung des Nutzers. Obendrein ließen sich Daten über Kennziffern eindeutig einer bestimmten Person zuordnen.
   Zwielichtige App-Entwickler freue es: Sie sammelten fleißig vertrauliche Daten, übermittelten diese ungefragt an Dritte und machten „kräftig Kasse“.
6. Mythos: Gütesiegel schützten vor Datensammlern.“
   Gütesiegel wie „Trusted Shops“ oder „TÜV-Süd“ suggerierten, dort seien Kunden sicher. Das gelte aber nicht unbedingt für den Datenschutz. Wer auf einer Shop-Seite etwa Name, Anschrift und E-Mail-Adresse eintippe, müsse dem Betreiber vertrauen, dass dieser sich an die geltenden Datenschutzbestimmungen hält. Tests hätten gezeigt, dass sich nicht alle daran hielten. Hinzu komme, dass Gütesiegel nichts darüber aussagten, welche Anbieter Nutzerdaten gewinnbringend weiterverkauften.
7. Mythos: „Cookies sind gefährlich.“
   Cookies hätten einen schlechten Ruf, doch tatsächlich nutzten professionelle Datensammler inzwischen ganz andere Werkzeuge, erklärt Bennefeld. Der oft gut gemeinte Rat, Cookies generell abzuschalten, sei nicht nur ineffektiv in puncto Datenschutz, sondern gehe auch noch zu Lasten des Komforts: Internet-Seiten speicherten dadurch keine Anmeldedaten, Warenkörbe oder Einstellungen mehr.
8. Mythos: „Ich habe nichts zu verbergen.“***
   „Wer soll schon etwas mit meinen Daten anfangen? Die interessieren doch keinen. Außerdem habe ich sowieso nichts zu verbergen…“ Zu sicher sollte man sich nicht sein, betont Bennefeld. Sei für Krankenkassen etwa nicht der Gesundheitszustand von potenziellen Neukunden interessant, so seine Frage. Oder für die Bank die Spielsucht? Oder für den Scheidungsanwalt die Anmeldung bei einem Seitensprungportal? Oder einem potenziellen Arbeitgeber die Mitgliedschaft in der Gewerkschaft?
9. Mythos: „Daten sammeln dient der Sicherheit.“
   Nicht nur Unternehmen, auch Geheimdienste setzten auf Profildaten. Das verbessere die Sicherheit, etwa vor Terroranschlägen, so der Irrglaube. Die Argumentation laute oft: „Wenn nichts passiert, dann haben wir das der guten Überwachung zu verdanken.“
   Nach einem Anschlag würden dann die Forderungen nach noch mehr Überwachung lauter. Doch wie verhältnismäßig sei diese Forderung, „wenn man bedenkt, dass das Risiko, an einer Pilzvergiftung oder im Straßenverkehr zu sterben, weitaus höher liegt als bei einem Terroranschlag?“
10. Mythos: „Ich kann nichts gegen die Datensammelwut tun.“
    Das Internet generell zu verteufeln, sei keine Lösung. Die gute Nachricht, so Bennefeld: Schützen sei ganz einfach!
    Er benennt beispielhaft den „eBlocker“ – diese kleine Box sei an den Router angedockt in wenigen Minuten einsatzbereit und kontrolliere den gesamten Internet-Datenverkehr. So könne sie bei allen angeforderten Seiten sämtliche Datenerfassungsdienste, Tracker und Werbung effektiv herausfiltern. Das Beste, so Bennefeld: Der Schutz wirke auf allen internettauglichen Geräten, egal ob Computer, Smartphone, Tablet oder Spielekonsole.