Cyber-Kriminalität: Absicherung gegen Datenklau auch für kleine Unternehmen immer wichtiger
Immer mehr Menschen werden Opfer von Internetkriminalität. Geraten persönliche Daten in falsche Hände, kann das großen Schaden anrichten. Obwohl 48 Prozent der Bundesbürger vor dem Missbrauch persönlicher Daten Angst haben, gehen sie doch häufig nachlässig damit um. Das ergab eine bundesweite Umfrage zum Thema "Identitäts-Schutz im Internet" im Auftrag der DEVK Versicherungen. Das Kölner Marktforschungsinstitut YouGov befragte dazu im Januar 2014 bevölkerungsrepräsentativ mehr als 1.000 Bundesbürger über 18 Jahre.
Wenn die Gewinn-Prämie lockt
Ob NSA-Skandal oder millionenfacher Diebstahl von privaten E-Mail-Adressen - die Negativ-Schlagzeilen zum Thema Datenmissbrauch reißen nicht ab. Laut der aktuellen DEVK-Umfrage ist die größte Sorge von 71 Prozent der Bundesbürger, dass Internetkrimminelle ihr Bankkonto plündern oder ihnen durch Kreditkartenmissbrauch finanzieller Schaden entsteht. Dennoch ändert das am Sicherheitsbewusstsein offenbar wenig: 14 Prozent der Befragten haben sich noch gar keine Gedanken über Datenmissbrauch gemacht.
64 Prozent geben an, seit der NSA-Affäre nichts unternommen zu haben, um die persönlichen Daten im Netz besser zu schützen. Beispielsweise sind zwar 92 Prozent der Meinung, sichere Passwörter zu verwenden, doch speichern immer noch 60 Prozent diese zumindest hin und wieder auf dem Computer. Für Newsletter und Gewinnspiele geben 73 Prozent der Deutschen ihre Daten freiwillig preis.
Deutsche Versicherer warnen Unternehmen vor Cyber-Kriminalität
Doch auch Unternehmen hierzulande nehmen die Gefahr durch Cyber-Risiken derzeit noch nicht ausreichend ernst, wie der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) meint. Die Einschätzung, dass ausschließlich IT-Unternehmen von Cyber-Kriminellen angegriffen werden könnten, habe sich jedoch durch die verstärkte Digitalisierung auch in rein produzierenden Betrieben längst überholt. Neben der finanziellen Absicherung gegen die Schäden durch Cyber-Kriminalität über die Versicherung, werden zukünftig effektive Schutzmaßnahmen für IT-Systeme an Bedeutung gewinnen, so die Versicherer.
Finanzielle Schäden durch Internet-Kriminalität individuell absichern
Sogenannte Cyber-Policen sollten jedoch auf die individuellen Bedürfnisse des Unternehmens zugeschnitten werden, rät der Verband. Pauschallösungen seien in der Versicherungs-Police durch die unterschiedlichen Anforderungen der Betriebe nicht möglich: Während Versandhändler die Daten ihrer Kunden absichern müssen, hätte beispielsweise ein Produktionsausfall für einen mittelständischen Betrieb, der Metall verarbeitet, viel gravierendere Folgen. Ein umfassender Cyber-Schutz sollte also die Kosten einer Betriebsunterbrechung mit abbilden – genauso wie die Kosten für IT-Experten, die die Daten nach dem Angriff wiederherstellen oder das Leck schließen. Die Experten des GDV sind sich sicher: Durch die zunehmende Vernetzung werde das Thema Cyber-Kriminalität an Wichtigkeit dazu gewinnen. (sh)
Business Email Compromise: Unterschätzte Gefahr für Unternehmen
Mit einem BEC-Exploit können sich Angreifer Zugang zu einem E-Mail-Konto im Unternehmen verschaffen. Dazu stehlen Hacker häufig die Identität von Führungskräften oder hochrangigen Mitarbeitern, die mit den Finanzen im Betrieb in Verbindung stehen. Die Daten werden entweder durch Keylogger oder Phishing-Angriffe abgegriffen. Ziel der Kompromottierung ist es andere Mitarbeiter dazu zu bringen, Geld auf das Konto des Angreifers zu überweisen.
Die meisten Unternehmen glauben, gegen diese Art von Angriffen gefeit zu sein. Doch ein Bericht von Palo Alto Networks hat gezeigt, dass in vielen Unternehmen die Maßnahmen zum Schutz gegen derartige Attacken nicht richtig umgesetzt werden. Im Rahmen seiner Analyse stellte der Security-Anbieter fest, dass 89 Prozent der von BEC betroffenen Unternehmen keine Multi-Faktor-Authentifizierung (MFA) aktiviert oder die Best Practices für deren Implementierung nicht befolgt haben.
Diese Fehler können die Unternehmen teuer zu stehen kommen. BEC-Angriffe richten enorme finanzielle Schäden an: In dem Zeitraum seit Anfang 2020 lag der durchschnittliche Betrugsversuch bei 567.000 Dollar und der höchste bei sechs Millionen Dollar, so die Analyse. Laut einem FBI-Bericht haben BEC-Attacken allein in den USA im vergangenen Jahr einen Schaden von 1,87 Milliarden Dollar verursacht. Fast 20.000 Email-Adressen wurden kompromittiert.
8 wichtige Regeln zur Abwehr von BEC-Angriffen
Der Security-Hersteller empfiehlt folgende Sicherheitsregeln zu beachten, um Unternehmen vor E-Mail-Angriffen zu schützen:
Cyber Security "Cyber-Kriminalität ist die größte Bedrohung des Finanzsystems"
Können Sie uns das Phänomen des Cyber Crimes einordnen? Ein paar Zahlen zum Schaden, der größtenteils ja Unternehmen entsteht? Die Häufigkeit der Fälle? Es heisst 9 von 10 Unternehmen wurden die vergangenen zwei Jahre angegriffen.
Tobias Merfeld: Cyberkriminalität – die 2021 weltweit Schaden in Höhe von rund USD 6 Billionen anrichten soll – wäre gemessen als Bruttoinlandsprodukt eines Landes die drittgröße Volkswirtschaft der Welt nach den USA und China.[1] Erpressersoftware – eine Schadsoftware, die vernetzte Geräte infiziert und deren Zugriff auf Datein einschränkt – ist dabei eine der am schnellsten wachsenenden Angriffsmöglichkeiten und zielt auf große Unternehmen bis hin zu den Endkonsumenten ab. Laut der jüngsten Prognose der Research-Firma Gartner Inc. werden die weltweiten Ausgaben für Informationssicherheits- und Risikomanagement-Technologien voraussichtlich um 12,4 Prozent auf 150,4 Millarden Dollar im Jahr 2021 ansteigen.[2]
Welche Arten des Cybercrimes gibt es?
Merfeld: Die Arten sind sehr vielfältig. Eine Cyberattacke ist jegliche Art von Angriff, der auf computergestützte Informationssysteme, Infrastrukturen, Rechnernetze oder PC-Geräte abzielt. Diese reichen beispielsweise von Schadsoftware, Phising-Mails, „Man in the Middle“-Angriffen, Denial-of-Service- (DoS) und Distributed-Denial-of-Service-Angriffe (DDoS), XSS-Angriffe, um einige beim Namen zu nennen.
Was ist die wohl perfideste Art des Cybercrimes?
Merfeld: Statt einzelner Firmen wird die Software eines externen IT-Dienstleisters angegriffen, der viele Unternehmen mit seinen Dienstleistungen unterstützt und berät. Ist dessen Software infilriert, kann der Angriff quasi beliebig skaliert werden. Hier wird sich also die Hebelwirkung über den IT-Dienstleister zu Nutze gemacht.
Wie einfach machen es Unternehmen den Kriminellen? Haben Sie da treffliche Beispiele?
Merfeld: Das Einzelhandelsunternehmen Target Corporation aus den USA wurde vor ein paar Jahren Opfer eines Hacker-Angriffs, bei dem Millionen von Debit- und Kreditkartendetails gestohlen worden sind. Es stellte sich heraus, dass Target Corporation mit einer lokalen Kühlanlagen- und Heizfirma zusammengearbeitet hat, um Dinge wie den Energieverbrauch in einzelnen Filialen zu optimieren. Dabei erhielt diese Firma, dessen Soft- und Hardware infiltriert war, Zugriff auf das Netzwerk von Target, wodurch Hacker letztlich Zugriff bis auf die Kartendetails der Kunden von Target Corporation hatten.
Verrückt. Was sollten Unternehmen als erstes anstellen, um einen Schutz zu haben?
Merfeld: Die technischen Aspekte des Cybercrime sind vielfältig und überwältigend komplex. Darauf eine pauschale Antwort zu geben, die alle Unternehmen umfasst, ist leider schwierig. Eine erste Orientierung in Deutschland kann das IT-Sicherheitsgesetz 2.0 bieten.
Besonders Banken und Vermögensverwalter sind sehr sensibel und oftmals auch Ziel der Angriffe. Was müssen Finanzinstitute ändern?
Merfeld: Tatsächlich sagten die Vorstandsvorsitzenden von vier der größten Banken der Wall Street bei einer Anhörung vor dem Kongress im Mai dieses Jahres, dass die Cyberkriminalität die größte Bedrohung für ihre Unternehmen und das gesamte Finanzsystem sei.[3] Positiv ist, dass Unternehmen im Finanzsektor ihre Ausgaben für Internetsicherheit erhöhen. Laut Deloitte haben Finanzinstitute im Jahr 2020 10,9 Prozent ihres IT-Budgets für Internetsicherheit bereitgesteltt, gegenüber 10,1 Prozent im Jahr zuvor.[4] Allein die Bank of America hat ihre Ausgaben für Internetsicherheit auf mehr als 1 Millarde Dollar pro Jahr erhöht, von 400 Million Dollar pro Jahr vor 11 Jahren.[5] Wir glauben, dass diese Investionen in die Internetsicherheit für die Welt unerlässlich sind, um die potenziellen Vorteile (wie eine stärkere finanzielle Inklusion und effizientere grenzüberschreitenden Transaktionen) digital unterstützender Finanzdienstleistungen und einer zunehmend bargeldlosen Wirtschaft zu nutzen.
Sind wir zu fahrlässig mit unseren Daten?
Merfeld: Absolut. 90 Prozent der Verstöße sind auf menschliches Versagen zurückzuführen.[6] Privatpersonen und Unternehmen gehen zu sorglos mit privaten und Unternehmensdaten um. Dies ist aus unserer Sicht jedoch ein Trend, der sich ändert, da „Cyber-Hygiene“ und Sicherheitspraktiken auf der Welt zunehmen.
LESEN SIE AUF DER NÄCHSTEN SEITE, WELCHE UNTERNEHMEN VOR CYBER CRIME SCHÜTZEN