[datensicherheit.de, 27.03.2025] Laut der aktuellen Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, Statista und „brand eins“ halten 43 Prozent der Angestellten in Deutschland ihr Unternehmen für kein attraktives Angriffsziel. Indes: Cyber-Kriminalität kann jedes Unternehmen treffen – vom kleinen Handwerksbetrieb bis zum internationalen Konzern. Diese Umfrage zeigt demnach außerdem, dass das Bewusstsein der Mitarbeiter für Cyber-Risiken mit der Unternehmensgröße steigt – „insbesondere in KMU wird die Gefahr aber unterschätzt“.

Foto: G DATA CyberDefense

Andreas Lüning rät Unternehmen, auf eine über die Technik hinausgehende, die Menschen umfassende Cyber-Sicherheitsstrategie zu setzen

Mehr als die Hälfte der KMU-Belegschaften schätzen ihren Betrieb als uninteressantes Ziel für Cyber-Kriminelle ein

Für Cyber-Kriminelle zählt offenbar nicht, wie groß oder bekannt eine Firma ist, sondern wie leicht sie in deren IT-Systeme eindringen können. Im Kontrast dazu steht laut G Data die weitverbreitete Einschätzung, „kein interessantes Ziel für Angreifer“ zu sein, – diese Meinung werde von zwei von fünf deutschen Arbeitnehmern vertreten.

Besonders ausgeprägt sei diese gefährliche Fehleinschätzung in Unternehmen mit 100 bis 249 Mitarbeitern: „Mehr als die Hälfte der Belegschaft von KMU schätzen ihre Firma als uninteressantes Ziel für Cyber-Kriminelle ein“, so eine Erkenntnis aus der aktuellen Studie „Cybersicherheit in Zahlen“.

„Angreifer wählen ihre Ziele nicht nach Branche oder Größe, sondern nach Schwachstellen aus“, kommentiert Andreas Lüning, Gründer und Vorstand bei der G DATA CyberDefense AG. Dazu zählten verwundbare Strukturen, mangelhaft gesicherte Systeme und unaufmerksame Mitarbeiter. Er rät: „In jedem Unternehmen ist eine Sicherheitsstrategie sinnvoll, die nicht nur auf Technik setzt, sondern auch das Risikobewusstsein des gesamten Teams stärkt!“

Cyber-Gefahrenbewusstsein der Angestellten nimmt mit der Unternehmensgröße zu

Je größer das Unternehmen ist, desto eher werde es von den Mitarbeitern als Ziel für Cyber-Angriffe wahrgenommen. „In Firmen mit 250 bis 999 Beschäftigten hält gut die Hälfte der Befragten ihren Arbeitgeber für ein potenzielles Angriffsziel.“ In großen Unternehmen mit mehr als 1.000 Mitarbeitern sei das Bewusstsein für das Angriffsrisiko bei fast 70 Prozent der Beschäftigten vorhanden.

Dies sei darauf zurückzuführen, dass Konzerne häufig über regulierte Prozesse oder verpflichtende Sicherheitsmaßnahmen verfügten. „Dennoch ist auch hier noch Luft nach oben: Im Umkehrschluss bedeutet es nämlich, dass fast jeder dritte Beschäftigte in großen Firmen die Cyber-Bedrohung falsch einschätzt.“

Eine wirksame IT-Sicherheitsstrategie berücksichtige nicht nur technische Schutzmaßnahmen, sondern beziehe auch die Mitarbeiter mit ein. Informationssicherheit sei eine Teamaufgabe – alle Beschäftigten, vom Auszubildenden bis zur Geschäftsführung, sollten potenzielle Gefahren kennen und wissen, wie sie verantwortungsvoll handeln.

Weitere Informationen zum Thema:

G Data Cyber Defense
Cybersicherheit in Zahlen – das IT-Magazin / Wir machen Komplexes verständlich. Auf 104 Magazinseiten.

datensicherheit.de, 18.07.2024
Cyber-Sicherheit der KMU benötigt neue Ansätze: 4 Tipps von Utimaco / KMU sollten Cyber-Sicherheitsmaßnahmen so anpassen, dass sie auch künftig -Angriffen standhalten

datensicherheit.de, 24.03.2024
CyberRisikoCheck zu Positionsbestimmung der IT-Sicherheit für KMU / BSI möchte gemeinsam mit Partnern KMU dabei unterstützen, ihre Cyber-Resilienz zu erhöhen

datensicherheit.de, 24.10.2023
KMU-Studie zur IT-Sicherheit – ein Hürdenlauf für den Mittelstand / DriveLock und techconsult empfehlen deutschen KMU einfache und robuste Cyber-Sicherheit

datensicherheit.de, 10.03.2022
Schutz statt Nachlässigkeit: 5 einfache Tipps zur Stärkung der KMU-Cybersecurity / Bewusstsein, wie wichtig auch der KMU-Schutz vor Cyber-Attacken ist, noch lange nicht geschärft

[datensicherheit.de, 26.03.2025] „In der Zeit, die Sie benötigen, diesen Artikel zu lesen, werden mindestens zwölf weitere Cyber-Angriffe stattgefunden haben – einer alle 14 Sekunden“, warnt NordPass in einer aktuellen Stellungnahme vom 26. März 2025. Unternehmen in den USA sind dabei laut einer aktuellen NordPass-Studie das mit Abstand beliebteste Angriffsziel. Diese in Zusammenarbeit mit NordStellar erstellte Studie zur Untersuchung von Cyber-Sicherheitsvorfällen bestätigt demnach einen besorgniserregenden Trend: „Die Angriffe nehmen zu!“

Vor allem Unternehmen betroffen, die B2B-Dienstleistungen, Internet- und Webdienste sowie Bank- und Kreditdienstleistungen anbieten

„Im letzten Quartal haben Unternehmen, die das ,Dark Web Monitoring Tool’ von NordStellar nutzen, 772 Cyber-Sicherheitsvorfälle in ihrem Unternehmensumfeld festgestellt.“ Im Januar 2025 seien es bereits 321 Vorfälle gewesen. Die mit Abstand meisten Datenschutzverletzungen wurden laut NordPass im letzten Quartal 2024 in den USA (61), gefolgt von Indien (13) und dem Vereinigten Königreich (7) verzeichnet.

Bemerkenswert sei auch, dass im letzten Quartal 2024 und im Januar 2025 die meisten Datenschutzverletzungen bei Unternehmen aufgetreten seien, „die geschäftliche Dienstleistungen (B2B), Internet- und Webdienste sowie Bank- und Kreditdienstleistungen, einschließlich Fintech-Unternehmen, anbieten“.

„In einer Zeit, in der die Zahl der Cyber-Angriffe so hoch ist wie nie zuvor, kann ein einziges kompromittiertes Passwort böswilligen Akteuren den unbefugten Zugriff auf vertrauliche Unternehmensdaten ermöglichen. Daher ist es für Unternehmen entscheidend, ihre Cyber-Abwehr nicht nur durch Aufklärung, sondern auch durch den Einsatz der richtigen Tools zu stärken“, betont Karolis Arbaciauskas, „Head of Business Product“ bei NordPass. Diese könnten zum Beispiel das kostenlose „Dark Web Monitoring Tool“ nutzen, um zu überprüfen, ob Ihre Unternehmensdaten jemals offengelegt wurden.

Auch kleine Unternehmen im Visier

Arbaciauskas fügt hinzu, dass viele Kleinunternehmer die Notwendigkeit von Cyber-Sicherheitstools nicht erkennen würden, weil sie glaubten, dass ihre Unternehmen zu klein oder zu unbedeutend seien, um für Cyber-Kriminelle von Interesse zu sein. „Die Daten zeigen jedoch einen gegenteiligen Trend!“ Er wisse aus Erfahrung, dass Menschen überall auf der Welt so dächten.

Seine Warnung: „Aber das ist ein trügerisches Gefühl. Cyber-Angriffe, die auf bestimmte Unternehmen oder Einzelpersonen abzielen, wie wir sie aus Filmen kennen, sind sehr selten. Bedrohungsakteure werfen ihre Netze in der Regel großflächig aus und schauen, wen sie damit fangen können.“ Die Daten zeigten zudem, dass es sich bei den Opfern in der Regel um ein kleines Unternehmen mit bis zu 35 Mitarbeitern handele.

Größere Unternehmen, so Arbaciauskas, legen in der Regel mehr Wert auf die Schulung ihrer Mitarbeiter, verfügen über solide Sicherheitsrichtlinien und sind technologisch besser auf die Abwehr von Angriffen vorbereitet. Infolgedessen komme es in großen Unternehmen seltener zu Cyber-Vorfällen. „Und wenn große, bekannte Unternehmen gehackt werden, erfahren wir alle davon in den Nachrichten. Gleichzeitig bleiben Tausende von Vorfällen in kleinen Unternehmen oft unbemerkt.“

Im Durchschnitt benötigen Unternehmen 204 Tage, um eine Cyber-Sicherheitsverletzung zu entdecken

Selbst wenn ein Vorfall entdeckt wird, dauert es in der Regel sehr lange, bis eine entsprechende Reaktion folgt und der Vorfall behoben wird: „Im Durchschnitt benötigen Unternehmen 204 Tage, um eine Sicherheitsverletzung zu entdecken, und weitere 73 Tage, um sie einzudämmen.“

Aufgrund mehrfach verwendeter und unsicherer Passwörter der Mitarbeiter oder heruntergeladener Schadsoftware tauchen Zugangsdaten von Unternehmen oft in kompromittierten Datenbanken auf, was Hackern die Möglichkeit bietet, in das System einzudringen. Für kleinere Unternehmen kann eine schwerwiegende Datenschutzverletzung das sichere Aus bedeuten – da die finanziellen Kosten und der Reputationsschaden immens sein können.

Nach Schätzungen von IBM belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung nämlich auf etwa 4,45 Millionen US-Dollar. „Dies entspricht einem Anstieg von 15 Prozent in den letzten drei Jahren und verdeutlicht die zunehmenden finanziellen Auswirkungen von Datenschutzverletzungen auf die Unternehmen von heute.“

Schwachstellen der IT-Infrastruktur des Unternehmens ermitteln und Strategien zur Abwehr von Bedrohungen auszuarbeiten

Laut Arbaciauskas sollte jedes Unternehmen, unabhängig von seiner Größe oder Art, mit Hinblick auf das Thema Cyber-Sicherheit extra Vorsicht walten lassen. Der Einsatz von wichtigen Tools wie Passwort-Managern, die eine sichere Verwaltung von Unternehmensdaten und -zugängen ermöglichen, oder von Lösungen für virtuelle private Netzwerke (VPN) ist für ihn „ein erster Schritt auf dem Weg zu einer höheren Widerstandsfähigkeit gegen Online-Bedrohungen“.

Darüber hinaus sei eine Überprüfung der Cyber-Sicherheit hilfreich, um Schwachstellen in der IT-Infrastruktur eines Unternehmens zu ermitteln und Strategien zur Abwehr von Bedrohungen auszuarbeiten. Arbaciauskas rät abschließend: „Es ist auch wichtig, in das allgemeine Bewusstsein für Cyber-Sicherheit innerhalb der Organisation zu investieren, um Fehlverhalten zu vermeiden, was oft zu schwerwiegenden Datenverlusten führen kann.“

Die diesem Beitrag zugrundeliegende Studie wurde nach eigenen Angaben in Zusammenarbeit mit NordStellar durchgeführt. Die Daten seien anhand von Faktoren wie Land, Branche, Unternehmenstyp, Unternehmensgröße und Art der betroffenen Daten analysiert worden. Man habe sich dabei auf Cyber-Sicherheitsverletzungen des letzten Quartals (Anfang Oktober bis Ende Dezember 2024) und im Januar 2025 konzentriert.

Weitere Informationen zum Thema:

NordPass, Maciej Bartłomiej Sikora, 28.10.2024
Data Breach Trends Report 2024

NordPass
A cyberattack strikes every 14 seconds / Check if your company is exposed using our free dark web monitoring tool

IBM
Cost of a Data Breach Report 2024

datensicherheit.de, 20.01.2020
Allianz-Studie: Cybercrime als Sicherheitsrisiko Nummer 1 / Marc Schieder fordert IT-Security zur „Chefsache“ zu machen

[datensicherheit.de, 23.03.2025] Mimecast hat seinen „State of Human Risk“-Bericht veröffentlicht. Aus diesem geht demnach hervor, dass zwar über die Hälfte der deutschen Unternehmen (51%) erfolgreich eine Cyber-Sicherheitsstrategie verfolgt und sich die Sicherheit im Unternehmen dadurch verbessert hat. Dennoch befürchte die große Mehrheit der befragten Sicherheitsexperten (75%) KI-basierte Cyber-Angriffe auf ihr Unternehmen. Dieser Bericht basiere auf einer Umfrage unter 1.100 IT-Sicherheitsexperten und IT-Entscheidungsträgern in Unternehmen in Großbritannien, Frankreich, Deutschland, Südafrika und Australien. Er soll Unternehmen wichtige Einblicke in den Bereich Human Risk Management (HRM) bieten und ihnen konkrete Handlungsempfehlungen geben, wie sie ihre finanziellen Mittel einsetzen können, um ihre Cyber-Sicherheit weiter zu verbessern. Der Report zeige eine zunehmend komplexe Bedrohungslage für Unternehmen auf: „Die größten Gefahren gehen von Insider-Angriffen, Angriffen via Kollaborationstools sowie KI-basierten Angriffen aus. Durch die unzureichende Umsetzung von Cyber-Sicherheitsstrategien bleiben viele der Sicherheitsrisiken weiter bestehen.“

Weitere Erkenntnisse aus dem Reports zum deutschen Markt:

• Unternehmen priorisierten bei ihren Ausgaben für Cyber-Sicherheit Kollaborationstools, IT-Personal sowie sogenannte Governance und Compliance
  86 Prozent der Unternehmen hätten im letzten Jahr, 2024, ihr Budget für Cyber-Sicherheit erhöht. 56 Prozent der Unternehmen priorisierten dabei die Sicherung von Kollaborationstools wie „Teams“ und „Slack“.
  Für 95 Prozent der Befragten seien diese Tools für die Arbeit in ihrem Unternehmen zwar unverzichtbar, 76 Prozent gäben jedoch an, dass sie auch Sicherheitslücken verursachten. 67 Prozent berichteten, dass Mitarbeiter in ihren Unternehmen auch nicht-autorisierte Kollaborationstools verwendeten.
  Unternehmen priorisierten bei ihren Ausgaben zudem E-Mail-Sicherheit (43%) sowie „Governance und Compliance“ (37 Prozent). Großunternehmen beschäftigten meist über 30 IT-Sicherheitsmitarbeiter, die Mehrheit der kleineren Unternehmen im Durchschnitt einen bis zehn.
• Phishing-, Insider- und KI-gestützte Angriffe stellten Unternehmen vor große Probleme
  75 Prozent der Befragten befürchteten KI-gestützte Cyber-Angriffe auf ihr Unternehmen. 65 Prozent glaubten, dass ein solcher Angriff innerhalb der nächsten zwölf Monate erfolgen werde.
  Darüber hinaus erwarteten 66 Prozent, dass es in den nächsten zwölf Monaten zu einem Anstieg des Datenverlusts in ihrer Organisation kommen werde – mit einem durchschnittlichen finanziellen Schaden in Höhe von 13,9 Millionen US-Dollar (entsprechend 12,8 Millionen Euro).
• Menschliches Fehlverhalten sei weiterhin das größte Sicherheitsrisiko
  83 Prozent der Befragten gäben an, dass Mitarbeiter mindestens vierteljährlich in der Erkennung von Cyber-Angriffen geschult würden. Dennoch bestünden große Compliance-Hürden: 39 Prozent bemängelten eine unzureichende Sensibilisierung für Bedrohungen.
  Hauptsächliche Risiken seien die Nutzung privater E-Mails während der Arbeit (89%), versehentlicher Datenverlust (91%), schlechte Passwortverwaltung (85%) und ungesicherte Netzwerke (88%).
• KI-gesteuerte Sicherheitslösungen auf dem Vormarsch
  Unternehmen setzten zunehmend auf vernetzte HRM-Plattformen und KI-Abwehrmaßnahmen.
  Zu den wichtigsten KI-gesteuerten Abwehrmaßnahmen zählten KI-gestützte Überwachungstools (46%), Mitarbeiterschulungen zu KI-Bedrohungen (45%) und simulierte KI-gesteuerte Phishing-Angriffe (42%).

Schlussfolgerung aus Report-Ergebnissen: Implementierung einer umfassenden HRM-Strategie muss oberste Priorität haben

„Wenn man berücksichtigt, dass 80 Prozent aller Sicherheitsvorfälle von gerade einmal acht Prozent der Nutzer verursacht werden, dann ist klar, dass die Implementierung einer umfassenden ,Human Risk Management’-(HRM)-Strategie oberste Priorität für Sicherheitsverantwortliche hat in diesem Jahr“, betont Masha Sedova, VP, „Human Risk Strategist“ bei Mimecast.

Sedova führt weiter aus: „Trotz der komplexen Herausforderungen, mit denen Unternehmen konfrontiert sind, wie zum Beispiel ein erhöhtes Risiko für Insider-Angriffe, für Angriffe via Kollaborationstools und für komplexe KI-Angriffe, gibt es Maßnahmen, die Sicherheitsexperten ergreifen können, um diese Risiken zu mindern und ihre Unternehmen zu schützen: HRM-Tools und maßgeschneiderte Mitarbeiterschulungen, verbesserte KI-Fähigkeiten und Schutzmaßnahmen gegen ,Business Email Compromise’-Betrugsfälle sind nur einige Beispiele.“

Mimecasts KI-gestützte, API-fähige und vernetzte HRM-Plattform sei beispielswiese speziell dafür entwickelt worden, um Unternehmen vor einer Vielzahl von aktuellen sowie zukünftigen Angriffen zu schützen.

Weitere Informationen zum Thema:

mimecast
The State of Human Risk 2025 / Sicherheitsverantwortliche haben sich weiterentwickelt

mimecast
Die vernetzte Risiko-Management-Plattform / Sichern Sie Ihr Unternehmen effektiver, indem Sie die Punkte zwischen Mensch und Technologie verbinden

[datensicherheit.de, 21.03.2025] Laut einer aktuellen Stellungnahme der Eperi GmbH warnen Norwegen und Dänemark bereits vor „Cloud“-Service-Anbietern aus den USA. Dies werfe nun die Frage auf, ob auch Deutschland und weitere europäische Länder diesem Beispiel folgen werden, wann Regeln zum Datenschutz verschärft werden und wie Unternehmen diese Hürde meistern können.

Verarbeitung und Speicherung sensibler Daten in US-Clouds könnte gemäß europäischer Gesetzgebung unzulässig werden

Dass zunehmend mehr Unternehmen und Organisationen viele ihrer sensiblen Daten bei US-basierten „Cloud“-Anbietern speichern und verarbeiten, sei mangels europäischer Alternativen Fakt. Aktuelle politische Trends in den USA veranlassten jedoch europäische Sicherheitsbehörden zu deutlichen Warnungen, da die Daten auch dort nicht mehr sicher sein könnten.

„Im schlimmsten Fall könnte die Verarbeitung und Speicherung sensibler Daten in den US-Clouds sogar gemäß der europäischen Sicherheitsgesetzgebung unzulässig werden!“ Die proaktive Lösung des Problems könne eine funktionserhaltende Verschlüsselung sensibler Daten sein – egal für welche „Cloud“ und egal wo auf der Welt.

Strategie vorbereiten, falls Datentransfer in US-„Clouds“ plötzlich nicht mehr zulässig ist

Europäische Datenschutzexperten seien besorgt – und mit Norwegen und Dänemark schlagen demnach die ersten beiden Länder offiziell Alarm: Die norwegische Datenschutzbehörde habe die klare Empfehlung ausgesprochen, dass Unternehmen eine Strategie vorbereiten sollten, wie sie mit US-amerikanischen „Cloud“-Diensten umgehen, falls der Datentransfer in die USA plötzlich nicht mehr zulässig werde.

Eine ähnliche offizielle Empfehlung der dänischen Datenschutzbehörde nur einige Tage zuvor betone, dass sich Unternehmen nicht auf den aktuellen Angemessenheitsbeschluss verlassen dürften, da die rechtliche Lage viel zu unsicher sei.

Unternehmen sollten sich nicht auf anhaltende Rechtssicherheit für Nutzung von US-„Cloud“-Diensten verlassen

Dass deutsche Datenschutzbehörden mit einer vergleichbaren Warnung nachziehen, sei wahrscheinlich: „Die deutschen Aufsichtsbehörden standen in der Vergangenheit bei vielen Risikoeinschätzungen und Datenschutzinitiativen Seite an Seite mit den europäischen Partnerstaaten.“

Bereits jetzt ließen Aufsichtsbehörden keinen Zweifel daran, dass deutsche Unternehmen sich nicht auf langfristige Rechtssicherheit beim Einsatz von US-„Cloud“-Diensten verlassen sollten. Sie hätten in der Vergangenheit immer wieder betont, dass der Schutz personenbezogener Daten oberste Priorität habe – auch wenn dies für Unternehmen unbequem in der Umsetzung sei.

Gesamteuropäische „Cloud“-Problematik

Die jüngsten Warnungen der beiden nordeuropäischen Länder begründeten sich auf einem zentralen und für gesamt Europa existenten Risiko: „Sollten sich europäische Unternehmen zu stark an US-,Cloud’-Dienste binden, stehen diese bei einem plötzlichen Wegfall der Rechtsgrundlage vor einer Herausforderung, die sowohl die Sicherheit der Unternehmen, aber auch deren Handlungsfähigkeit elementar stören kann!“

Das Problem liege darin, dass für viele US-„Cloud“-Dienste keine europäischen Alternativen existierten. Beschlüsse oder regulatorische Entscheidungen, welche den Transfer sensibler Daten in die USA untersagten, würden die Nutzung vieler „Cloud“-Dienste, auf die Unternehmen im Tagesgeschäft angewiesen seien, abrupt unterbrechen. Mit einem Verbot der Datenflüsse würden Kritische Arbeitsprozesse unterbrochen, was in den meisten Fällen zu Betriebsunterbrechungen und in Folge zu Reputationsschäden führen könne.

Kurzfristige Konsequenzen von „Cloud“-Neuregulierungen wären gravierend

„Sollten offizielle Regelungen und Handlungsanweisungen in den europäischen Staaten oder aus Brüssel heraus konkretisiert und in einem neuen Regelwerk manifestiert werden, müssen viele Unternehmen sehr kurzfristig handeln – insbesondere dann, wenn geschäftskritische Prozesse ausschließlich mit ,Cloud’-Diensten von US-Unternehmen durchgeführt werden.“ Die kurzfristigen Konsequenzen derartiger Neuregulierungen seien gravierend. Dazu gehörten

• die sofortige Neubewertung bestehender Verträge mit US-„Cloud“-Anbietern
• die Risikobewertungen für alle Datenflüsse in die USA
• das Erstellen und Umsetzen von Plänen für die Gewährleistung der Datensicherheit
• ein enorm hoher Zeitdruck, da Datenschutzbehörden in solchen Fällen kurze Fristen setzten
• und die wesentlich strengere Prüfung bei künftigen „Cloud“-Projekten, ob diese den Datenschutzanforderungen entsprechen.

Vertrauen in „Cloud“- und IT-Partner in den USA steht auf der Kippe

Warten sei in der aktuellen Abhängigkeitssituation keine gute Option. Das weitreichende und zu einem Teil berechtigte Vertrauen in die „Cloud“- und IT-Partner in den USA stehe im Moment jedoch zunehmend auf der Kippe und die Wahrscheinlichkeit, dass sich die europäischen Datenschutzorgane zugunsten der Sicherheit der europäischen Wirtschaft aussprechen, sei groß.

Noch hätten die Unternehmen gute Chancen, die Weichen zu ihren Gunsten zu stellen. „In einem ersten Schritt sorgt eine Dateninventur für das valide Wissen darüber, welche Daten mit welchen Grad an Sensibilität wo verarbeitet und gespeichert werden.“ Darüber hinaus gelte es zu prüfen, welche Prozesse unausweichlich mit Anbietern aus den USA durchgeführt werden müssten und welche vielleicht anders organisiert oder mit europäischen Anbietern umgesetzt werden könnten.

Danach folgten möglichst rasch die Strategie und konkrete Pläne, wie sich Kritische Daten kurzfristig schützen ließen. Dabei stehe immer die maximale Datensouveränität im Vordergrund, bei der mit geeigneten Technologien und Diensten sichergestellt sei, dass der Schutz und der Zugriff auf Unternehmensdaten stets unter eigener Kontrolle blieben.

Verschlüsselung bei „Cloud“-Nutzung erfüllt Regulatorik und Compliance auch unter besonderen Umständen

„Da es in einigen Fällen an Alternativen und Optionen zu den US-basierten ,Cloud’-Anwendungen und -Diensten mangelt und keine kurzfristigen Ausweichmöglichkeiten bestehen, ist die gezielte Verschlüsselung ein probates und vor allem sicheres Mittel, um die Regulatorik und Compliance einzuhalten.“ Bei einer geeigneten Datenverschlüsselung werde sichergestellt, dass der Klartext ausschließlich im Unternehmen verbleibe – auch wenn die Speicherung und Datenverarbeitung weiterhin bei nicht europäischen Anbietern liege. „Wichtig dabei ist, dass die Unternehmensdaten bereits vor dem Upload in die ,Cloud’ verschlüsselt werden. Erst damit ist der Zugriff auf die Daten durch Dritte ausgeschlossen.“

Eine die Kriterien einer Regulatorik und der Compliance erfüllende Datenverschlüsselung sei allerdings nur dann hilfreich, wenn mit den Daten in der „Cloud“ und in den Applikationen trotz Verschlüsselung uneingeschränkt gearbeitet werden kann. Daher sorge ausschließlich eine funktionserhaltende Verschlüsselung für Abhilfe und Sicherheit zugleich.

Unternehmen sollten bei Auswahl einer „Cloud“-Verschlüsselungslösung auf besondere Merkmale achten

Verschlüsselung vor der „Cloud“
Daten verlassen das Unternehmen nur in verschlüsselter Form!

Schlüsselkontrolle
Nur das Unternehmen besitzt die Schlüssel – kein „Cloud“-Anbieter, keine Behörde, kein Partner!

Volle Funktionalität
Trotz Verschlüsselung bleiben Funktionen wie Suche, Sortierung und Kollaboration erhalten!

Flexible Anwendbarkeit
Kompatibel mit „Microsoft 365“, „Salesforce“ und fast jeder weiteren (auch hybriden) „Cloud“-Umgebung!

Die erfolgten Warnungen aus Norwegen und Dänemark seien ein deutliches Signal: „Es ist davon auszugehen, dass weitere europäische Länder dem Beispiel folgen oder auch konkrete Verbote und Regeln für das ungeschützte Übertragen sensibler Daten in die USA oder andere Regionen der Welt in Kraft treten werden.“ Die abschließenden Empfehlung: „Unternehmen, die sich jetzt unabhängig machen und eine echte Datensouveränität etablieren, brauchen keine Unterbrechung der Betriebsabläufe und Prozesse aufgrund strengeren Regeln zu fürchten.“

Weitere Informationen zum Thema:

EPERI, 12.03.2025
Norwegen und Dänemark warnen vor US-Clouds: Wann folgt Deutschland? / Europäische Datenschutzbehörden schlagen Alarm: Erfahren Sie, warum US-Clouds ein Risiko sind und wie Unternehmen ihre Daten schützen können

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

datensicherheit.de, 10.06.2024
Cloud-Sicherheit unter sich verändernden Rahmenbedingungen / Wie man einen „Vergnügungspark“ sichert

datensicherheit.de, 13.09.2023
Cloud: Rückverlagerung von Daten nimmt an Bedeutung zu / Massives Datenwachstum, steigende Kosten für Cloud-Dienste und der Wunsch nach mehr Flexibilität geben dem Hosting von Daten und Workloads vor Ort neuen Auftrieb

datensicherheit.de, 01.06.2023
Neuer TeleTrusT-Leitfaden: Cloud Supply Chain Security / TeleTrusT warnt vor Attacken über vertrauenswürdig eingestufte Komponenten und IT-Services Dritter

[datensicherheit.de, 20.03.2025] Nach aktuellen Erkenntnissen von Kaspersky haben 35 Prozent der Cyber-Angriffe im vergangenen Jahr – 2024 – länger als einen Monat angedauert: „Im Median lag die Angriffsdauer bei 253 Tagen.“ Diese Ergebnisse gehen demnach aus dem weltweiten „Incident Response 2024 Report“ von Kaspersky (s.u.) hervor.

Abbildung: Kaspersky Labs GmbH

Kasperskys „Incident Response 2024 Report“ ist online (s.u.)

Aktuelle Kaspersky-Analyse zeigt, dass solche Angriffe nicht schnell entdeckt oder gestoppt werden konnten

69 Prozent der Unternehmen in Deutschland seien 2024 von mindestens einem Cyber-Sicherheitsvorfall betroffen gewesen – 31 Prozent sogar mehrfach. Eine aktuelle Analyse von Kaspersky zeige nun, „dass solche Angriffe nicht schnell entdeckt oder gestoppt werden konnten“. So hätten langanhaltende Cyber-Angriffe im Jahr 2024 im Median 253 Tage angedauert, wobei 35 Prozent dieser Angriffe über einen Monat hinweg fortgesetzt worden seien.

Oftmals münden diese Angriffe laut Kaspersky „in Datenverschlüsselung und -verlust“. Dies führe dazu, dass komplexe Maßnahmen zur Wiederherstellung notwendig seien. So habe die mediane Dauer der „Incident Response“-Maßnahmen bei 50 Stunden gelegen. Zu den häufigsten Angriffsvektoren gehörten sogenannte Exploits gegen öffentlich zugängliche Anwendungen (39%), der Zugriff auf gültige Zugangsdaten (31%) und das Ausnutzen vertrauenswürdiger Beziehungen (13%).

Kaspersky rät Unternehmen, die sich entwickelnde Cyber-Bedrohungslandschaft zu verstehen

„Für Unternehmen ist es von entscheidender Bedeutung, die sich entwickelnde Cyber-Bedrohungslandschaft zu verstehen, um sich umfassend schützen zu können“, unterstreicht Konstantin Sapronov, „Head of Global Emergency Response Team“ bei Kaspersky in seinem Kommentar.

„Unsere Analyse zeigt, dass Cyber-Kriminelle immer anpassungsfähiger werden und mit dem technologischen Fortschritt ihre Methoden weiterentwickeln.“ Unternehmen dürften nicht nur auf Angriffe reagieren, sondern müssten ihre Sicherheitsstrategien kontinuierlich weiterentwickeln.

Kasperskys Empfehlungen zum Schutz vor komplexen Cyber-Angriffen:

• Unternehmen sollten ihre Mitarbeiter regelmäßig in Cyber-Sicherheit schulen, um das Bewusstsein für Bedrohungen wie Phishing oder Social Engineering zu stärken und potenzielle Angriffe frühzeitig zu erkennen.
• Der Zugang zu öffentlichen Verwaltungsports sollte auf das absolut Notwendige beschränkt werden.
• Ein konsequentes Patch-Management sei essenziell. Unternehmen sollten Sicherheitsupdates strikt umsetzen oder alternative Schutzmaßnahmen für nicht patchbare öffentliche Anwendungen ergreifen.
• Wichtige Daten sollten regelmäßig durch Back-ups gesichert und sicher aufbewahrt werden, um Datenverluste und Betriebsunterbrechungen zu vermeiden.
• Starke Passwort-Richtlinien seien erforderlich: Passwörter sollten mindestens zwölf Zeichen lang sein und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten. Ergänzend sollte eine Multi-Faktor-Authentifizierung eingesetzt werden.
• Für eine frühzeitige Bedrohungserkennung und eine effektive Abwehr komplexer Angriffe empfehle sich der Einsatz einer umfassenden Sicherheitslösung (wie z.B. „Kaspersky Managed Detection and Response“), welche Erkennungs- und Reaktionsmechanismen kombiniere.
• Im Falle eines Cyber-Angriffs oder verdächtiger Aktivitäten sollten Unternehmen auf spezialisierte Vorfallreaktionsdienste (wie etwa „Kaspersky Incident Response“) zurückgreifen, um Angriffe gezielt einzudämmen und Schäden zu minimieren.

Weitere Informationen zum Thema:

kaspersky, 21.01.2025
Threat Intelligence hat Cyberangriff bei 66 Prozent der Unternehmen verhindert / In 75 Prozent der Unternehmen in Deutschland ist Threat Intelligence (TI) Teil der Sicherheitsstrategie. 21 Prozent planen TI in 2025 einzuführen

kaspersky, 2024
Analyst report / Incident Response

datensicherheit.de, 31.10.2024
Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor / Der „Digital Operational Resilience Act“ (DORA) verlangt von Unternehmen im Finanzsektor, ihre Prozesse im Vorfallsmanagement gründlich zu überprüfen

datensicherheit.de, 26.07.2018
Incident Response Policy Template: Kostenlos Notfallpläne erstellen / PAM-Spezialist Thycotic unterstützt IT-Abteilungen bei der Erstellung eines individuellen Incident Response-Plans

[datensicherheit.de, 19.03.2025] Seit dem 18. Oktober 2024 ist nun NIS-2 – die verbindliche Cyber-Sicherheits-Richtlinie der EU – in Kraft. Das entsprechende nationale Umsetzungsgesetz wurde in Österreich demnach zwar als Entwurf des „NISG 2024“ (Initiativantrag zum Netz- und Informationssicherheitsgesetz 2024) im Juni 2024 im Nationalrat behandelt, scheiterte aber an der notwendigen Zweidrittelmehrheit und wurde bislang nicht weiterverfolgt. Dennoch sollten die betroffenen Unternehmen und Organisationen bereits jetzt handeln und nicht erst auf die Gesetzgebung warten, betont Amir Salkic, „Head of CyberSecurity Consulting Austria“ der SEC Consult Group, in seiner aktuellen Stellungnahme.

Foto: SEC Consult Group

Amir Salkic zu NIS-2-Folgen: Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!

Verantwortliche sollten so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft

„Auch wenn die Gesetzestexte noch nicht rechtskräftig vorliegen, bietet die NIS-2-Richtlinie doch die grundlegenden Vorgaben für Sicherheitsmaßnahmen, die spätestens jetzt in Angriff genommen werden sollten“, erläutert Salkic. Denn die Implementierung der Maßnahmen könne – abhängig vom Reifegrad der Cyber-Sicherheit – viele Monate in Anspruch nehmen.

Da im Vergleich zu NIS-1 nun auch Unternehmen wie digitale Marktplätze oder die Lebensmittelindustrie unter die NIS-2-Richtlinie fielen und die Einführung einer „size-cap“-Regel zusätzlich die Palette der betroffenen Unternehmen erweitere, könnten auch KMU unter diese Regelungen fallen. „Deshalb sollten die Verantwortlichen so schnell wie möglich überprüfen, ob NIS-2 auch ihre Unternehmens-IT betrifft!“

Salkic weist auch auf die neuen, strengeren Haftungsvorschriften hin: „Neu ist, dass die Geschäftsführung bei GmbHs bzw. der Vorstand und Aufsichtsrat bei Aktiengesellschaften nun persönlich haftbar sind!“ Dies könne – je nach Art der Einrichtung – von bis zu sieben Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes bis hin zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gehen.

Worauf das Management achten sollte – der NIS-2-Maßnahmenkatalog

Grundsätzlich müssten betroffene Unternehmen und Organisationen geeignete Sicherheitsmaßnahmen ergreifen, um die Vertraulichkeit, Verfügbarkeit und Integrität ihrer Netzwerke und IT-Systeme zu gewährleisten.

Salkic führt hierzu aus: „Dazu gehören die Entwicklung von Konzepten für Risikoanalysen und die Sicherheit von Informationssystemen sowie Konzepte und Verfahren zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen.“

Sollte es zu einem die Cyber-Sicherheit verletzenden Vorfall kommen, so müssten betroffene Organisationen das österreichische Innenministerium unverzüglich über signifikante Störungen, Vorfälle und Bedrohungen – und, wo möglich, auch die Kunden ihrer Dienstleistungen – unterrichten. „Das bedeutet: Es muss binnen 24 Stunden eine Frühwarnung erfolgen, bis spätestens 72 Stunden später eine Detailmeldung und binnen eines Monats ein Abschlussbericht.“

Deutsches NIS-2-Gesetz kann auch für österreichische Unternehmen relevant sein

Die engen wirtschaftlichen Verbindungen Österreichs zum Nachbarn Deutschland bedingen laut Salkic auch, dass viele österreichische Unternehmen dem deutschen NIS-2-Umsetzungsgesetz unterliegen: „Sei es, weil die deutsche Muttergesellschaft interne Richtlinien vorgibt, die auch für österreichische Tochtergesellschaften gelten, oder weil heimische Unternehmen deutsche NIS-2-Einrichtungen beliefern und diese Cyber-Sicherheitsanforderungen vertraglich festlegen.“

Auch in Deutschland habe das NIS-2-Umsetzungsgesetz zwar das Bundeskabinett passiert, sei aber noch nicht dem Bundestag zu Beschlussfassung vorgelegt worden. Dennoch rät Salkic auch hierbei, sich bereits jetzt beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren und sicherzustellen, dass die Mindestvorgaben in Sachen Cyber-Sicherheit umgesetzt werden.

„Dies umfasst wie auch in Österreich organisatorische Auflagen wie etwa die Einführung von Risiko-Management, ,Information Security Management’, den Einsatz von Multi-Faktor-Authentisierung und SSO oder den Einsatz sicherer Sprach-, Video- und Text-Kommunikation. Im Fall eines Sicherheitsvorfalls muss das BSI innerhalb von 24 Stunden informiert werden“, so Salkic zum Abschluss seiner Stellungnahme.

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 19.03.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) rät kurz vor dem kalendarischen Frühlingsbeginn zu einer Art Digitalem Frühjahrsputz – Unternehmen sollten sich von veralteten Unterlagen trennen: „Wenn digitale Dokumente und Papierakten personenbezogene Daten enthalten, dürfen sie nach der Datenschutz-Grundverordnung (DSGVO) nur so lange aufbewahrt werden, wie es erforderlich ist.“ Mindestens einmal im Jahr sei es deshalb Zeit, sich einen Überblick zu verschaffen, was noch gespeichert ist und ob diese Daten oder Akten länger benötigt werden. Professionelle Datenverarbeiter erledigten dies automatisiert. Wo keine automatischen Routinen etabliert sind, müsse händisch gelöscht werden. „Dabei sollten Unternehmen und Behörden unbedingt prüfen, ob ihre Löschroutinen bereits die ab 2025 geltenden neuen gesetzlichen Aufbewahrungsfristen berücksichtigen.“

Je nach Datenart und Geschäftszweig müssen teilweise spezielle Fristen beachtet werden

Für viele Dokumente gälten gesetzlich festgelegte Mindestspeicherfristen. „Diese ergeben sich zumeist aus der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB) mit einem abgestuften System aus sechs, acht und zehn Jahren. Detaillierte Überblicke darüber, was wie lange vorzuhalten ist, hat unter anderem die Handelskammer veröffentlicht.“

Je nach Datenart und Geschäftszweig kämen teilweise spezielle Fristen hinzu. So hätten beispielsweise Arztpraxen die berufsrechtliche Zehn-Jahres-Frist des Bürgerlichen Gesetzbuchs (BGB) oder auch die 30-Jahres-Frist der Strahlenschutzverordnung (StrlSchVO) zu beachten. Ein anderes Beispiel für besondere Fristen treffe Arbeitgeber, welche unter anderem Aufzeichnungen zur verrichteten Arbeitszeit, zum Jugendschutz und zum Mutterschutz zwei Jahre lang aufbewahren müssten.

„Wenn die Speicherfristen abgelaufen sind, müssen die Daten in der Regel unverzüglich gelöscht werden!“ Das Datenschutzrecht verlange jedoch keine sofortige Löschung in der Silvesternacht – je nach Komplexität des Systems könne der Prozess einige Wochen bis Monate dauern. „Wichtig ist, dass er zum Jahresbeginn direkt eingeläutet wird. Bis zum Frühlingsbeginn sollte die jährliche Löschung abgeschlossen sein.“

Neue Fristen ab 2025: Im Frühjahr müssen deutlich mehr Datenfelder bereinigt und Löschkonzepte angepasst werden

Dieses Jahr sei beim Digitalen Frühjahrsputz besondere Aufmerksamkeit geboten. Der Bundesgesetzgeber habe einige Aufbewahrungsfristen verkürzt, so dass auch die betroffenen Daten früher gelöscht werden müssten.

„Mit dem Vierten Bürokratie-Entlastungsgesetz sind die AO und das HGB angepasst worden. Die in der Praxis wichtigste Fallgruppe der Belege zu Buchungen muss jetzt acht Jahre anstelle der bisherigen zehn aufbewahrt und danach gelöscht werden.“

Für andere Dokumentenarten wie zum Beispiel Handelsbücher und Handelsbriefe bleibe es bei der Frist von zehn Jahren. Diese Gesetzesänderungen hätten zur Folge, dass im Frühjahr 2025 deutlich mehr Datenfelder bereinigt und die Löschkonzepte angepasst werden müssten.

Interne Löschkonzepte für personenbezogene Daten ohne gesetzliche Aufbewahrungsfrist

„Auch personenbezogene Daten, für die es keine gesetzliche Aufbewahrungsfrist gibt, müssen gelöscht werden, wenn sie nicht mehr benötigt werden.“ Hierfür seien Unternehmen verpflichtet, sich einen Überblick zu verschaffen, wie lange diese Daten typischerweise Verwendung finden. „In einem Löschkonzept sind dann eigenständige Löschfristen zu entwickeln, zu dokumentieren und intern umzusetzen.“

Die Länge dieser Fristen könne dabei, je nach Datenart und Geschäftszweig, stark variieren. Hilfestellung bei der internen Entscheidung gäben in der Regel die jeweiligen Branchenverbände. Es könne auch sinnvoll sein, sich an zivilrechtlichen Verjährungsfristen zu orientieren. Für die Löschung datenschutzrechtlicher Dokumentationen zum Beispiel zur Beantwortung eines Auskunftsantrags biete es sich an, sich an der dreijährigen Verjährungsfrist für Ordnungswidrigkeiten zu orientieren.

Dem HmbBfDI ist nach eigenen Angaben vor allem wichtig, dass Unternehmen sich ein nachvollziehbares Löschkonzept gegeben haben und die daran anschließende Löschung auch tatsächlich funktioniert. „Wie lange die im Konzept verankerten Fristen sind, kann das jeweilige Unternehmen am besten einschätzen.“ Die Aufsichtsbehörde stelle dabei keine Zeitspannen in Frage, welche auf unternehmerischer Erfahrung basierend plausibel begründet würden – „solange sie nicht exzessiv ausgedehnt werden“.

Bußgelder zur Ahndung unzureichender Datenlöschung

Die konzeptionelle und faktische Umsetzung des Löschgebots sei ein Schwerpunktthema des HmbBfDI. Bei Routinekontrollen der Datenhaltung in Unternehmen werde regelhaft nach Aufbewahrungsfristen und Löschprozessen gefragt. „Im Herbst 2024 hatte der HmbBfDI beispielsweise die entsprechende Praxis bei Dienstleistern des Forderungsmanagements überprüft. In dem Zusammenhang hat er gegen ein Unternehmen ein Bußgeld in Höhe von 900.000 Euro wegen unzureichender Datenlöschung verhängt.“

In einem weiteren Fall der Branche habe er ein derzeit noch laufendes Bußgeldverfahren eröffnet. Das Thema Datenlöschung sei auch europaweit in den Fokus gerückt – als Jahresthema des „Coordinated Enforcement Framework“ der Mitglieder des Europäischen Datenschutzausschusses.

Der HmbBfDI, Thomas Fuchs, führt zu der Thematik aus: „,Big Data’ ist nicht ,Old Data’!“ Kunden müssten nicht ewig in den Datenspeichern von Unternehmen bleiben, mit denen sie vor Jahren einmal Kontakt hatten. Datensilos nur für den Fall aufwachsen zu lassen, dass man Informationen vielleicht später noch einmal brauchen könnte, sei nicht akzeptabel. „Stimmige Löschkonzepte sind Ausdruck einer guten Daten-Compliance im Unternehmen – und eine Rechtspflicht“, betont Fuchs abschließend.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 05.03.2025
CEF 2025: Einleitung einer koordinierten Durchsetzung des Rechts auf Löschung

HK Hamburg
Steuer- und Handelsrecht / Aufbewahrungsfristen von Geschäftsunterlagen

Die Bundesregierung, 01.01.2025
Bürokratieentlastungsgesetz / Bürokratie abbauen – Wirtschaft entlasten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 12.11.2024
Branchenweite Schwerpunktprüfung im Forderungsmanagement / 900.000 Euro Bußgeld wegen Verstoßes gegen Löschpflichten

Bundesministerium der Justiz
Abgabenordnung (AO) / § 147 Ordnungsvorschriften für die Aufbewahrung von Unterlagen

Bundesministerium der Justiz
Handelsgesetzbuch / § 257 Aufbewahrung von Unterlagen / Aufbewahrungsfristen

Bundesministerium der Justiz
Arbeitszeitgesetz (ArbZG) / § 16 Aushang und Arbeitszeitnachweise

Bundesministerium der Justiz
Gesetz zum Schutze der arbeitenden Jugend (Jugendarbeitsschutzgesetz – JarbSchG) / § 50 Auskunft, Vorlage der Verzeichnisse

Bundesministerium der Justiz
Gesetz zum Schutz von Müttern bei der Arbeit, in der Ausbildung und im Studium (Mutterschutzgesetz – MuSchG) / § 27 Mitteilungs- und Aufbewahrungspflichten des Arbeitgebers, Offenbarungsverbot der mit der Überwachung beauftragten Personen

datensicherheit.de, 07.03.2025
Recht auf Löschung: Landesdatenschutzbeauftragter Rheinland-Pfalz unterstützt europaweite Prüfaktion / Zum Recht auf Löschung gehen bei Datenschutzaufsichtsbehörden viele Beschwerden ein

[datensicherheit.de, 18.03.2025] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten Online-„Awareness“-Veranstaltung ein. Bei diesem Web-Seminar – mit dem Titel „Sicherheit wird bei uns im Unternehmen großgeschrieben! Oder?“ – soll demnach ein Anwendungsfall vorgestellt werden, bei dem ein Mitarbeiter dasselbe Passwort für private und berufliche Anwendungen verwendet…

Abbildung: it’s.BB e.V.

Der it’s.BB-Netzwerkpartner CCVOSSEL präsentiert anhand eines Fallbeispiels potenzielle Folgen und Schutz-Maßnahmen für Unternehmen

Die Unannehmlichkeit wird zum Albtraum für Unternehmen: Angreifer verschaffen sich Zugang

Was in diesem Fallbeispiel „als kleine Unannehmlichkeit“ beginnt, wird dann zu einem schieren Albtraum für sein Unternehmen: „Ein Angreifer verschafft sich Zugang und loggt sich unbemerkt in das Firmennetzwerk ein – und das während der regulären Arbeitszeiten.“

Der it’s.BB-Netzwerkpartner CCVOSSEL zeigt den Teilnehmern anhand dieses Beispiels, welche Folgen dies haben kann und welche Maßnahmen es zu verhindern helfen.

„Sicherheit wird bei uns im Unternehmen großgeschrieben! Oder?“

Mittwoch, 2. April 2025, von 16.00 bis 17.00 Uhr
Teilnahme kostenlos, Online-Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
– Alina Strybko, Netzwerkmanagerin it’s.BB e.V.

16.10-16.45 Uhr
„Geschichte aus der Praxis: Ein reales Szenario“
„Ein realer Hackerangriff in drei Akten: Wie externe Akteure und eine Reihe kleiner Fehler zu einem vollständigen Ausfall führten – und welche Maßnahmen diesen hätten verhindern können“
„Schwachstellenscan vs. Penetrationstest“
„Welche Maßnahmen empfehlen wir“
– Christian Hauses und Christian Lawicka, CCVOSSEL GmbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Zur Anmeldung:

eventbrite, it’s.BB e.V. (IT-Sicherheitsnetzwerk Berlin-Brandenburg)
Mittwoch, 2. April / Sicherheit wird bei uns im Unternehmen großgeschrieben! Oder?

[datensicherheit.de, 07.03.2025] Verletzungen der Cyber-Sicherheit stellen eine große wirtschaftliche Bedrohung für Unternehmen dar. Zwar wurden in den vergangenen Jahren daher zahlreiche Schutzmaßnahmen etabliert, um Cyber-Angriffe abzuwehren. Doch wie Unternehmen reagieren sollten, wenn sie trotz dieser Maßnahmen Opfer eines Cyber-Angriffs werden, ist Gegenstand einer aktuellen Untersuchung der TH Köln im Rahmen des Projekts „ReACD“. Prof. Dr. Valérie Varney erläutert den Beweggrund: „Fast jeden Tag berichten Nachrichtenportale über Cyber-Sicherheitsvorfälle in Deutschland. Laut einer Umfrage von statista waren 2023 insgesamt 58 Prozent der deutschen Unternehmen mindestens einmal Opfer einer Cyber-Attacke.“ Allein hierzulande werde der Schaden durch Cyber-Kriminalität im Jahr 2024 auf 266 Milliarden Euro geschätzt – 60 Milliarden mehr als im Vorjahr. „Die Frage für Unternehmen lautet daher nicht mehr, ob sie Opfer von Cyber-Kriminalität werden, sondern wann“, warnt Frau Prof. Varney.

Foto: Tara Marie Schindler / TH Köln

„ReACD“-Projektverantwortliche (v.l.n.r.) Maximilian Pentzien (DLR), Leonard Grabow, Prof. Dr. Valérie Varney, Prof. Dr. Hoai Viet Nguyen, Prof. Dr. Anja Richert, Dr. Eva-Maria Grommes, Paul Varney (alle TH Köln)

Bisher kaum öffentlich zugängliche Angebote zur Simulation erfolgreicher Cyber-Angriffe

Wenn es zu einem Vorfall der Verletzung der IT-Sicherheitsvorfall kommt, ist eine schnelle Reaktion gefragt – dadurch kann das Schadensausmaß mitunter beträchtlich reduziert werden. „Das Problem ist, dass es derzeit wenig etablierte, öffentlich zugängliche Angebote gibt, welche die Situation während eines erfolgreichen Cyber-Angriffs simulieren und richtige Reaktionen trainieren“, so Prof. Dr. Hoai Viet Nguyen.

Im Vorhaben „ReACD“ solle daher die Handlungsfähigkeit von Mitarbeitern in Unternehmen bei Vorfällen der Beeinträchtigung der Cyber-Sicherhei und des Datenverlustes verbessert werden. Dazu entwickelt und evaluiert das „ReACD“-Projektteam nach eigenen Angaben ein „Serious Game“ mit einem integrierten KI-Chatbot sowie ein begleitendes Schulungskonzept.

Kompetenzen zum Umgang mit Cyber-Angriffen mittels spielerischer Elemente insbesondere für KMU

Das „Serious Game“ – d.h. ein digitales Spiel, welches Informationen und Wissen vermitteln soll – sei als 2D-Rollenspiel mit Einzel- sowie Mehrspielermodus angelegt. Spieler sollten darin in die Rolle von Mitarbeitern aus verschiedenen Abteilungen wie der IT, Geschäftsführung oder Buchhaltung schlüpfen und würden dann mit verschiedenen Angriffsarten wie Phishing oder Schadsoftware konfrontiert. Der integrierte KI-Chatbot solle im Multiplayer-Modus fehlende Spieler ersetzen – falls die Mindestanzahl nicht erreicht wird – und sowohl im Spiel als auch unabhängig davon als KI-Assistent Cyber-Sicherheitsfragen beantworten können.

Darüber hinaus entstehe ein begleitendes Schulungskonzept, welches frei zugänglich sein und deutschlandweit zur Verfügung stehen werde. „Wir fokussieren uns in dem Projekt insbesondere auf kleine und mittlere Unternehmen (KMU), Handwerksbetriebe und Start-ups, weil diese aufgrund begrenzter personeller und finanzieller Ressourcen teilweise vor erheblichen Herausforderungen stehen, angemessen auf Cyber-Angriffe zu reagieren“, erläutert Prof. Dr. Anja Richert. Die von ihnen angestrebten Lösungen sollten einfach und spielerisch vermitteln, konstruktiv und reaktionsschnell mit IT-Sicherheitsvorfällen umzugehen.

Weitere Informationen zum Thema:

CYBERsicher / TH Köln
ReACD / Reaktion auf Cybersicherheitsvorfälle und Datenverlust

Bundesministerium für Wirtschaft und Klimaschutz
Das Mittelstand-Digital-Netzwerk

[datensicherheit.de, 05.03.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neuartige und hochgradig verschleierte „Backdoor“-Malware entdeckt und „Sosano“ genannt. Diese Schadsoftware nutzt demnach fortschrittliche polyglotte Malware-Techniken, um ihre „Payload“ zu verschleiern und unbemerkt in Zielsysteme einzudringen.

Malware kam im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz

Diese Malware sei im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz gekommen, bei der die Angreifer kompromittierte E-Mail-Konten und maßgeschneiderte Nachrichten genutzt hätten, um das Vertrauen der Empfänger zu gewinnen. „Die Cyber-Kriminellen nutzen ZIP-Dateien, die wiederum polyglotte Dateien enthielten, um den bösartigen Inhalt zu verschleiern und die Erkennung zu erschweren.“ Polyglotte Dateien seien so strukturiert, dass sie von verschiedenen Programmen unterschiedlich interpretiert werden könnten, was den Angreifern eine effektive Tarnung schädlicher Komponenten ermögliche.

„In diesem Fall kombinierten die Angreifer die Dateiformate XLS und PDF, um die Malware auszuführen und die Tarnung zu verstärken. Diese Technik unterstreicht die hohe Kompetenz der Cyber-Kriminellen bei der Entwicklung von Schadsoftware.“ Die Angriffskette beginne mit einer manipulierten LNK-Datei, welche ein Skript ausführe, um polyglotte Dateien zu laden, welche schließlich eine schädliche „Payload“ installierten. Die in „Golang“ geschriebene Malware ermögliche es den Angreifern, über einen sogenannten Command-and-Control-Server (C2-Server) Befehle auszuführen, Daten zu stehlen und zusätzliche Schadsoftware herunterzuladen. Ein weiteres bemerkenswertes Detail sei die absichtliche Inflation des Codes der Malware mit unnötigen „Golang“-Bibliotheken, „die nicht zur Ausführung kommen, um die Analyse der Software weiter zu erschweren“.

Verschleierungsmethoden helfen beim Verbergen der Malware, um Zugriff auf Kritische Systeme zu erlangen

Die hochentwickelte Technik der polyglotten Malware und der gezielte Ansatz der Kampagne stellten eine ernsthafte Bedrohung für Unternehmen dar. Die Verwendung solcher Verschleierungsmethoden, um Malware zu verbergen und langfristigen Zugriff auf Kritische Systeme zu erlangen, zeige die Raffinesse moderner Bedrohungsakteure.

Proofpoint empfiehlt Unternehmen, „ihre Sicherheitsvorkehrungen zu verstärken, um solche fortgeschrittenen Angriffe zu verhindern“. Dazu gehörten die kontinuierliche Überwachung von Netzwerken, die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen und der Einsatz solch fortschrittlicher Malware-Erkennungstools, „die auch gegen verschleierte ,Payloads’ wirksam sind“.

Weitere Informationen zum Thema:

proofpoint, Joshua Miller & Kyle Cucci & Proofpoint Threat Research Team, 04.03.2025
Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware