Cyberangriffe auf Unternehmen: CEO-Fraud und unerwünschte E-Mails
E-Mails sind das am meisten verwendete Kommunikationsmittel innerhalb einer Firma und gleichzeitig die bevorzugte Methode für den Start eines Cyberangriffs: 91 Prozent gezielter Cyberangriffe auf Unternehmen beginnen mit einer E-Mail. Einen Anhang öffnen, auf einen Link klicken oder eine Geldüberweisung veranlassen – bei praktisch 100 Prozent dieser Angriffe via E-Mail muss die Empfängerin oder der Empfänger selbst aktiv werden, damit die Cyberattacke gelingt.
Grundsätzlich lassen sich zwei Arten von gefährlichen E-Mails unterscheiden: Solche mit und solche ohne Malware.
Cyberangriffe: Unternehmen am Rand des Ruins
Jedes fünfte Unternehmen stand nach einem Cyberangriff bereits am Rande der Insolvenz. Kann Ihr Unternehmen Hacker in Schach halten?
Wir alle wissen, dass Cyber-Sicherheit ein entscheidender Faktor des Unternehmensrisikos ist. Aber wie kritisch ist er wirklich? In manchen Vorstandsetagen scheint das Thema IT-Security nur ein Lippenbekenntnis zu sein, und dennoch gelingt es ihnen oft, ernsthafte Konsequenzen zu vermeiden. Vor diesem Hintergrund ist ein neuer Bericht des globalen Versicherers Hiscox sehr interessant. Dieser sagt, dass viele europäische und amerikanische Unternehmen nach Sicherheitsverstößen kurz vor der Insolvenz standen oder stehen. Trotz der Tatsache, dass die Ausgaben für IT-Security steigen, können immer weniger globale Unternehmen von sich behaupten, „Experten“ bei der Cyber-Abwehr zu sein.
Es war noch nie so wichtig, genau zu wissen, wohin Investitionen in die Cybersicherheit fließen sollen. Was also tun die Experten, um einen drohenden Bankrott zu vermeiden? Dem Bericht zufolge ist es vor allem eine Mischung aus grundlegenden Best-Practices und der Bereitschaft, aus früheren Vorfällen zu lernen.
Existenzbedrohung
Der Bericht ist auf der Grundlage von Interviews mit 5.000 Unternehmen in den USA, dem Vereinigten Königreich, Belgien, Frankreich, Deutschland, Spanien, den Niederlanden und Irland entstanden. Einige der Ergebnisse waren nicht überraschend. Aber es gibt einige interessante Punkte. Zum Beispiel:
Sieben von acht Ländern stufen eine Cyberattacke als die größte Bedrohung für ihre Unternehmen ein
Die Hälfte (48 %) der Befragten berichtete von einem Cyberangriff in den letzten 12 Monaten (43 % im Vorjahr)
Ein Fünftel (19 %) der Befragten berichtete über einen Ransomware-Angriff (16 % im Vorjahr). Zwei Drittel der Opfer bezahlten ihre Angreifer
So weit, so (leider) erwartbar. Allerdings klafft eine große Lücke in der Wahrnehmung zwischen denen, die einen Angriff erlitten haben, und denjenigen, die keinen Angriff erlitten haben. Mehr als die Hälfte (55 %) der Opfer von Cyberangriffen sehen in der Cybersicherheit ein hohes Risiko, aber nur 36 % derjenigen, die noch nicht betroffen waren. Ebenso geben 41 % der Angegriffenen an, dass sich ihr Risiko erhöht hat, während es bei der anderen Gruppe weniger als ein Viertel (23 %) ist.
Ein weiterer interessanter Aspekt: Cyberkriminelle scheinen es zunehmend auf kleinere Unternehmen abgesehen zu haben. Unternehmen mit einem Umsatz von 100.000 bis 500.000 Euro müssen inzwischen mit ebenso vielen Angriffen rechnen wie Unternehmen mit einem Jahresumsatz von 1 bis 9 Millionen Euro.
Folgekosten
Dieser Punkt ist wichtig, da ein Fünftel der befragten, angegriffenen Unternehmen angaben, dass ihre Zahlungsfähigkeit bedroht war, was einem Anstieg von 24 % gegenüber dem Vorjahr entspricht. Obwohl in dem Bericht nicht extra aufgeschlüsselt, können die Kosten einer Sicherheitsverletzung Folgendes umfassen:
Betriebliche Ausfälle
Anwalts-/Rechtshilfekosten
IT-Überstunden und Kosten für forensische Untersuchungen durch Dritte
Behördliche Geldbußen
Verlust von Kunden
Produktions- und Umsatzeinbußen
Langfristiger Reputationsschaden
Dies erklärt zu einem Teil auch, warum die Ausgaben für IT-Security gestiegen sind. Nach Angaben der Befragten stiegen die durchschnittlichen Ausgaben für Cybersicherheit im vergangenen Jahr um 60 % auf rund 5,3 Millionen Euro. Das entspricht einer Steigerung um 250% seit 2019, so der Bericht
Wie werden Unternehmen attackiert?
Um besser zu verstehen, wie Ihr Unternehmen den Bankrott vermeiden kann, müssen wir zunächst wissen, wie Kriminelle so viel Schaden anrichten können. Dem Bericht zufolge sind die wichtigsten Angriffsvektoren folgende:
Cloudserver (41%)
Geschäftliche E-Mails (40%)
Unternehmenseigene Server (37%)
Remote Access Server (31%)
Mobilgeräte der Mitarbeiter (29%)
DDoS-Attacken (26%)
Dies deckt sich mit den Ergebnissen anderer Berichte. Hybrides Arbeiten, pandemiebedingte Investitionen in die Cloud-Infrastruktur und Sicherheitsprobleme im Home Office gehören zu den größten Risiken denen Unternehmen heute ausgesetzt sind. In Kombination mit menschlichem Versagen haben diese Faktoren eine große Angriffsfläche für Bedrohungsakteure geschaffen.
Was nun?
Besorgniserregend ist die Tatsache, dass der von Hiscox geschätzte Cyber-Abwehr Score im Vergleich zum Vorjahr um 2,6 % gesunken ist. Daneben kam es zu einem starken Rückgang der Zahl der als „Abwehrexperten“ eingestuften Unternehmen – von 20 % auf nur noch 4,5 %. Der Anteil der Unternehmen, die als „Anfänger“ eingestuft wurden, ging allerdings ebenfalls deutlich zurück, so dass die meisten als „Mittelstufe“ eingestuft wurden. Cyber-Abwehrbereitschaft ist wichtig: Gemessen am Prozentsatz der Einnahmen sind die durchschnittlichen Kosten durch erfolgreiche Angriffe zweieinhalb Mal höher für Firmen die als „Cyber-Anfänger“ eingestuft werden, so der Bericht.
Wie sieht also ein gut aufgestelltes Unternehmen bei der Cyber-Abwehr aus? Glücklicherweise hängt das nicht nur davon ab, wie viel Geld zur Verfügung steht. Es werden mehrere „Best-Practices“ genannt, darunter die folgenden:
Etablierung der Cybersicherheit mit klar definierten Rollen und Unterstützung durch den Vorstand oder die Geschäftsleitung
Sicherstellen, dass Top-Führungskräfte einen klaren Überblick über die Cybersicherheit haben und sich mit ihr beschäftigen
Best-Practice Empfehlungen wie z.B. im Digital Security Guide im Blick haben
Verteilung der Investitionen auf die fünf Schlüsselfunktionen – Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung
Planung der Reaktion auf Zwischenfälle und der Simulation von Angriffen im Lichte der aktuellen geopolitischen Entwicklungen
Regelmäßige Bewertung der Daten- und Technologieinfrastruktur des Unternehmens
Wirksame Schulungen zum Thema Cybersicherheit anbieten
Einhaltung der Sicherheitsanforderungen auch bei Lieferanten und Partnern
Konzentrieren Sie sich auf grundlegende Dinge wie Patching, Pentesting und regelmäßige Backups
Zusammengenommen tragen diese Schritte dazu bei, das Risiko zu minimieren, dass ein Angriff das Unternehmen in den Ruin treibt.
Haben Sie Fragen und Anregungen zu diesem, anderen oder zukünftigen Themen, die Sie gern betrachtet sehen wollen? Dann nutzen Sie gern die Kommentarfunktion unter diesem Artikel oder nutzen unser Kontaktformular!
Erhalten Sie E-Mails zu neuen Artikeln zur Cyber-Sicherheitslage in der Ukraine . Jetzt anmelden! Eintragen
Cyberangriff: So kann sich jedes Unternehmen effektiv schützen
„Jede Investition in die IT-Sicherheit eines Unternehmens ist eine gute Investition“, sagt IT-Sicherheitsexperte Thomas Gnadl, Chief Technical Officher (CTO), bei der Scaltel AG.
Jeder, der mit Computer umgeht, weiß es mittlerweile: Ein falscher Klick zum falschen Zeitpunkt kann fatale Folgen haben. Nicht nur für einen selbst, sondern am Arbeitsplatz natürlich für die gesamte Organisation. Aktuell nehmen Cyberangriffe auf Unternehmen in Deutschland rasant zu und mittlerweile sind nicht nur die großen, global agierenden Firmen im Fokus der Angreifer, sondern auch kleinere Mittelständler, deren IT-Infrastruktur meist noch nicht ausreichend geschützt ist.
Die Zahlen sind erschreckend: Bereits im vergangenen Sommer hat der Digitalverband bitkom alarmiert und den Gesamtschaden für die deutsche Wirtschaft durch Datendiebstahl, Spionage oder Sabotage mit 223 Milliarden Euro pro Jahr beziffert. Das entspricht einer Verdoppelung der Schadenssumme gegenüber 2018 und 2019 (103 Milliarden Euro).
„Jede Investition in die IT-Sicherheit eines Unternehmens ist eine gute Investition“, sagt IT-Sicherheitsexperte Thomas Gnadl, Chief Technical Officher (CTO), bei der Scaltel AG mit Hauptsitz in Waltenhofen bei Kempten (Allgäu). Gerade bei mittelständischen Unternehmen sei das Angriffsrisiko derzeit höher denn je. „Bei den Schutzmechanismen und -strategien herrscht hier noch ein enormer Nachholbedarf. Kein Unternehmen darf das Problem auf die leichte Schulter nehmen. Gleichwohl sind viele Firmen mit der Komplexität der IT-Sicherheit überfordert, gerade auch, weil sie sich keine eigene IT-Sicherheitsabteilung leisten können“, so Gnadl. Sein Vorschlag: Wer sich externe Hilfe holt und den passenden Dienstleister findet, der kann die IT-Sicherheit seines Unternehmens nachhaltig verbessern und das zu einem überschaubaren Budget.
IT-Security-Experten sind wichtig
„Die Inhouse-IT eines Unternehmens kann den Schutz der Infrastruktur in der Regel nicht mehr stemmen, da es diesbezüglich wirkliche IT-Security-Experten benötigt, welche durch den Fachkräftemangel am Markt nicht zu bekommen sind oder die Personalkosten wirtschaftlich einfach nicht darstellbar sind. Viel sinnvoller ist es da, einen auf IT-Security spezialisierten Dienstleister zu beauftragen, der sich im Tagesgeschäft auf die Abwehr von Cyberangriffen konzentriert. Da ist die Leistung für die professionelle Rund-um-die Uhr-Überwachung im 24/7-Modus genau definiert und auch Krankheit oder Fluktuation von Mitarbeitern schlagen sich nicht zu Lasten der IT-Sicherheit nieder“, so Gnadl.
Wie wichtig eine funktionierende Verteidigungslinie für die Unternehmen ist, das verdeutlicht Gnadl mit eindrucksvollen Zahlen aus der Praxis. In seinem so genannten Security Operations Center, kurz SOC, überwacht Scaltel die kompletten Datenströme von seinen Kunden.
KI fasst Events zusammen
„Pro Tag erreichen uns circa 10.000 bis 50.000 sicherheitstechnisch relevante Events. Die meisten werden über unsere Security Plattform mittels künstlicher Intelligenz (KI) und Threat Intelligence (TI) logisch zusammengefasst und als unbedenklich ausgefiltert. Circa ein Promille der Events müssen dann noch von unseren Security Experten analysiert und manuell bewertet werden“, so Gnadl.
Im Mai 2022 lag die Produktion beim Traktorenhersteller Fendt mit Deutschlandsitz in Marktoberdorf (Allgäu) nach einem Cyberangriff auf den US-Mutterkonzern AGCO mehrere Tage lang still. Die 4.5000 Mitarbeitenden in Deutschland konnten weder produzieren, noch telefonieren. Ein paar Tage später war auch die Behörde in der Nachbarschaft dran: Wegen eines Hackerangriffs kappte das Landratsamt Ostallgäu den kompletten Daten- und E-Mail-Verkehr nach draußen.
Ransomware die größte Bedrohung
„Die Zahl der Angriffe wird leider weiter zunehmen. Umso wichtiger ist es, dass sich die Unternehmen besser denn je dagegen schützen“, sagt Thomas Gnadl. Eine der größten Gefahren für Firmen geht bekanntlich von so genannter Ransomware aus. Mit Hilfe von Verschlüsselungssoftware legen Hacker Computernetze lahm, um anschließend für die Entsperrung hohe Summen zu erpressen. Ransomware ist dabei nur ein Teil der Angriffswelt. Phishing-Mails zum Ausspähen von sensiblen Daten und DDoS-Attacken, die zur Funktionseinschränkungen führen, sind genauso an der Tagesordnung wie das Ausnutzen von Schwachstellen nicht gepatchter Systeme.
Jeder Angriff kann fatale Folgen für die Firmen haben. Es geht hier nicht nur um finanzielle Schäden wie zum Beispiel Lösegelder. Bei einer gelungenen Cyberattacke dauert es in der Regel mehrere Wochen und Monate, bis ein Regelbetrieb wieder aufgenommen werden kann, da professionelle Hacker gezielt Backupsysteme manipulieren, so dass diese im Schadensfall wertlos sind.
Unternehmen sind sensibilisiert
Jeder Cyber-Angriff kann fatale Folgen für die Firmen haben.
Foto: Scaltel Jeder Cyber-Angriff kann fatale Folgen für die Firmen haben. Foto: Scaltel
Im Falle des Falles reagieren die Experten aus dem SOC sofort. Über ein vorab mit den Kunden definiertes Notfall-Management starten die entsprechenden Abläufe, wobei die IT-Security-Experten Hand in Hand mit der IT-Abteilung des Kunden, zusammenarbeiten. „Im Ernstfall kommt es darauf an, rational die richtigen Entscheidungen zu treffen. Dieses in der Praxis erprobte Vorgehen ist für den Erfolg der Abwehrmaßnahmen sehr wichtig“, so Gnadl.
Ein Tipp im Verdachtsfall
Sollte im Unternehmen der Verdacht eines Cyberangriffs vorliegen, sollten die betroffenen Computer oder Server laut Thomas Gnadl sofort vom Netzwerk getrennt werden, entweder durch Ziehen das LAN-Kabels und/oder die Deaktivierung der Netzwerkkarte und der WLAN-Verbindung. Die Computer und Server sollten allerdings nicht komplett runtergefahren werden. „So können unsere Security-Analysten anhand von temporären Speicherdaten den Ursprung und den Hergang des Angriffs besser rekonstruieren. Erst, wenn sich die Isolierung aus dem Netzwerk nicht zeitnah bewerkstelligen lässt, ist das Herunterfahren der betroffenen Endsysteme die nächstbeste Lösung“, erklärt Thomas Gnadl.
Autor
Ingo Jensen ist Geschäftsführer und Redaktionsleiter der Fachpresseagentur Jensen media GmbH in Memmingen.