Cyberkriminalität – die Kehrseite der Digitalisierung
Für deutsche Unternehmen ist der Schaden durch Cyberkriminalität so hoch wie noch nie.
Gleichzeitig ist das Internet für uns sowohl im privaten als auch im beruflichen Bereich nicht mehr wegzudenken. Homeoffice, Social Media und vernetzte Systeme gehören zu unserem Alltag, daher ist auch das Thema Digitalisierung zu einem der wichtigsten in unserer Gesellschaft geworden.
Die Digitalisierung revolutioniert Arbeitsprozesse, Kommunikationsmöglichkeiten und neue Entwicklungschancen, sie vereinfacht uns den Alltag im privaten und im beruflichen Umfeld in vielerlei Hinsicht.
Doch die Digitalisierung bietet gleichzeitig auch für kriminelle viele neue Möglichkeiten. Die Ziele der Attacken sind sowohl wirtschaftlicher als auch politischer Natur. Der Schaden von deutschen Unternehmen lag im Jahr 2019 bei 102,9 Milliarden Euro. Das heißt, dass deutsche Unternehmen so stark bedroht werden wie noch nie zuvor. Durch Sabotage und Datendiebstahl wollen Wettbewerbsvorteile erschafft werden, denn deutsche Produkte sind ein beliebtes Ziel. Sie stehen für Zuverlässigkeit und Hochwertigkeit weltweit.
Die Zielscheibe der Cyberattacken
Gerade kleine- und mittelständische Unternehmen bieten eine perfekte Zielscheibe für Cyberkriminalität. Warum das so ist, hat der BDI – Bundesverband der deutschen Industrie – bereits auf den Punkt gebracht:
„Anhand der Unternehmensgröße denkt man, dass man uninteressant wäre. Doch für Cyberkriminelle gilt, sobald Sie einen Vorteil und eine Lücke sehen, greifen Sie mit vielen verschiedenen Mitteln an, unbeachtet der Größe des Unternehmens.“
Diese Masse an Angriffsmöglichkeiten, macht den Schutz zu einer umfangreichen Aufgabe. Im Kampf gegen die Wirtschaftskriminalität, hilft nicht nur allein eine engere Zusammenarbeit mit den Sicherheitsbehörden, sondern auch das Bewusstsein der Gefahrenlage zu schärfen.
Denn je höher das Gefühl für die Sensibilisierung der Gefahrenlage ist, desto mehr Sicherheitsmaßnahmen werden getroffen und dadurch kann weniger Schaden angerichtet werden.
Anhand dieser vom BDI aufgestellten fünf Regeln können Sie Ihre Orientierungshilfe im Kampf gegen die Wirtschaftskriminalität einordnen. Denn auch die einfachste Sicherheitsmaßnahme kann Ihre Wirkung erzielen.
Prioritäten setzen und Schutzklassen aufstellen
Setzen Sie Prioritäten, welche Abteilungen, Infrastrukturen und Informationen für Ihr Unternehmen unverzichtbar sind. Dann erfolgt anhand der Prioritäten ein Sicherheitskonzept, damit im Ernstfall Ihr Kerngeschäft erhalten bleibt.
Sicherheitsmaßnahmen stetig up-to-date halten
Die Maßnahmen können nur dann auch greifen, wenn der Plan regelmäßig auch geprüft wird. Ihr Unternehmen entwickelt sich stetig weiter und dadurch können sich die Prioritäten verschieben.
Mit gutem Beispiel vorangehen
Seien Sie ein Vorbild für andere. Denn wenn Sie sich als Geschäftsführer an die Vorgaben halten, folgen Ihnen die Mitarbeiter automatisch.
Keine Angst haben
Jede Handlung die Sie unternehmen gegen Cyberkriminalität, ist eine Handlung in die richtige Richtung, denn die schlimmste Handlung ist Untätigkeit.
Nehmen Sie sich Unterstützung
Viele Verantwortlichkeiten können Sie innerhalb des Unternehmens vergeben und haben zudem auch für Sie vertrauenswürdige Personen vor Ort. Trotz allem ist es wichtig, an den Stellen wo die interne Kompetenz nicht ausreichend ist, sich externe Unterstützung zu nehmen. Als Unternehmer nach Hilfe zu fragen, ist weder ein Mangel an Kompetenz noch eine Schande.
Nicht ausreichend geschützte IT-Systeme und unwissende Mitarbeiter sind für erfolgreiche Cyberattacke oft schon ausreichend und die Cyberattacken können enorme Schäden anrichten.
Die aufgeführten 5 Regeln sind ein erster Schritt im Kampf gegen die Cyberkriminalität. Wenn Sie einen IT-Experten zurate ziehen möchten, stehen wir Ihnen gerne zur Verfügung und können mit einem umfassenden Sicherheitscheck mögliche Schwachstellen aufdecken.
IT-Sicherheit, die Aufgabe von und für Profis.
Autorin: Svenja Haase
Cyber-Attacken erkennen: Cyberkriminalität auf dem Vormarsch
Unternehmen aller Couleur beobachten weiterhin steigende Cyber-Angriffe. Kein Wunder: Da immer mehr Unternehmen sich der Digitalisierung verschrieben haben und die Umsetzung vielerorts in vollem Gange ist, setzen sie sich zwangsläufig neuen Cyber-Gefahren aus und müssen viel stärker auf die Verfügbarkeit, Stabilität und Widerstandsfähigkeit ihrer IT-Systeme achten.
Geht heutzutage etwas schief, können sowohl die Kassen als auch das öffentliche Ansehen des Unternehmens nachhaltig leiden. Angesichts der Häufigkeit von Cyber-Angriffen und des möglichen Rückschlags durch schwere Angriffe gilt es die richtigen Sicherheitsvorkehrungen zu ergreifen und Mitarbeiter kontinuierlich zu sensibilisieren.
In einer gemeinsamen Studie haben IDG, KnowBe4, die Carnegie Mellon Universität und der U.S. Secret Service aktuelle Trends zu Häufigkeit und Folgen von Cyber-Kriminalität, Cyber-Bedrohungen und Cyber-Sicherheitsausgaben näher untersucht.
Mit zunehmendem Digitalgeschäft steht mehr auf dem Spiel
In den letzten Jahren sind reale und potenzielle Cyber-Angriffe zu einer der obersten Prioritäten von Unternehmen geworden. Und es gibt keinen Grund zu der Annahme, dass sich dieser Trend in naher Zukunft umkehren wird. Tatsächlich geben zwei Drittel (66%) der befragten Unternehmen an, dass sie mehr über Cyber-Sicherheit besorgt sind als 2017.
Fast die Hälfte der Befragten (41%) berichtet, dass sie 2017 mit mehr Cyber-Sicherheitsereignissen konfrontiert waren. Große Unternehmen litten am meisten: Sie meldeten im Jahresdurchschnitt 195,9 Vorfälle, verglichen mit 24 Vorfällen bei kleinen und mittleren Unternehmen (KMU). Ein großes Problem ist, dass die Erkennung der immer ausgefeilteren und komplexeren Bedrohungen zunehmend mehr Zeit in Anspruch nimmt. Mehr als ein Drittel (35%) der Befragten geben an, dass es über einen Monat dauert, Einbrüche in ihr Netzwerk zu erkennen. Diese Zeitspanne ist 28% länger als im Vorjahr.
Sicherheitsverletzungen haben nicht nur die Unternehmens- und Kundeninformationen gefährdet, sondern auch zu schweren finanziellen Verlusten geführt. Knapp ein Viertel der Unternehmen (23%) gibt an, dass ihre finanziellen Schäden gegenüber dem Vorjahr gestiegen sind - durchschnittlich um 13%. Cyber-Kriminelle können alle Arten von Schäden anrichten, von Denial-of-Service-Attacken, die ein Unternehmen stundenlang offline schalten können, bis hin zur Offenlegung von Kundendaten nach einem Einbruch ins Unternehmensnetz. Auch hier sind Großunternehmen am stärksten betroffen, mit geschätzten finanziellen Schäden in Höhe von durchschnittlich 642.000 US-Dollar gegenüber 34.000 US-Dollar bei KMUs.
Cyber-Kriminalität bekämpfen und Risiken minimieren
Als Reaktion auf die wachsenden Cyber-Bedrohungen stellen Unternehmen größere Teile ihrer Budgets bereit, um Risiken zu minimieren. Im Jahr 2018 erhöhten 59% der Unternehmen ihre Cyber-Sicherheitsbudgets, verglichen mit 48% im Jahr 2017. Die zusätzlichen Mittel fließen in
neue Technologien (46%),
Audits und Bewertungen (34%) und
das Hinzufügen neuer Fähigkeiten und Fertigkeiten (32%).
Acht von zehn Unternehmen stellen mittels Prozess inzwischen die Effektivität Ihrer Sicherheitsprogramme auf den Prüfstand; 37% tun dies sogar mehrmals im Jahr. Als effektivste Sicherheitstechnologie werden Firewalls (86%), Spam-Filter (80%), Zugangskontrollen (76%) und Authentifizierungslösungen (75%) von den Befragten genannt.
IT spielt sich jedoch zunehmend weniger auf dem Hof oder im Keller ab. Mit zunehmender Nutzung von Cloud-Technologien sollten ebenso Cloud-basierte Schutzmaßnahmen an Bedeutung zunehmen.
Ein effektives Sicherheitsprogramm ist entscheidend, aber auch die Fähigkeit, schnell auf Cyber-Angriffe zu reagieren. "Trotz Investitionen in hochentwickelte Sicherheitstechnologie können einige Unternehmen immer noch Opfer eines Verstoßes werden", sagt Christopher Leone von der Criminal Investigative Division beim U.S. Secret Service. "In diesen Fällen ist es wichtig, dass Unternehmen über einen Plan verfügen, um das Ausmaß des Angriffs zu begrenzen. Darüber hinaus kann eine gelebte Zusammenarbeit mit Strafverfolgungsbehörden Hürden beseitigen, um eine effektivere Untersuchung zu ermöglichen und Straftäter zur Rechenschaft zu ziehen."
Acht von zehn Großunternehmen haben inzwischen einen formalen Krisen-Reaktionsplan, verglichen mit 53 Prozent für KMUs. Dennoch fehlt einem Viertel (26%) der Unternehmen ein Plan für die Reaktion auf Sicherheitsvorfälle. Dies ist angesichts der potenziell verheerenden Folgen eines erfolgreichen Cyber-Angriffs beunruhigend.
Dieser Entwicklung entgegen, stehen vor allem Finanzorganisationen, die mehr Maßnahmen zur Abwehr von Cyber-Risiken ergreifen: 85% geben an, dass sie einen formalen Reaktionsplan für Vorfälle umgesetzt haben, und 69% von ihnen testen ihn mindestens einmal jährlich.
Abwehrkraft gegen Cyber-Angriffe stärken
Cybe-Sicherheitsverletzungen können sowohl interner als auch externer Natur sein. Die Befragten geben an, dass 75% ihrer Cyber-Angriffe von Außenstehenden verursacht wurden, während 25% auf Insider zurückzuführen sind. HackerHacker sind die größte Cyber-Bedrohung: 39% der Befragten gaben an, dass externe Hacker die teuersten Störenfriede sind. Zu den gebräuchlichsten Taktiken, die von Bösewichten außerhalb verwendet werden, gehören PhishingPhishing (53%), bösartige MalwareMalware (50%) und Spyware (45%).
Lesetipp: Absichern gegen Innentäter
Während Außenstehende die kritischsten Cyber-Bedrohungen darstellen, geben auch ahnungslose oder böswillige Mitarbeiter Anlass zur Sorge - insbesondere jene, die von Phishing-Attacken oder Betrugsmaschen in Mitleidenschaft gezogen werden (42%), oder Mitarbeiter die einen zu laxen Umgang zwischen Unternehmensdaten und privaten Daten praktizieren (26%). Solche Insider-Vorfälle haben in der Praxis häufig Kundendaten (61%), Geschäftsgeheimnisse oder geistiges Eigentum (56%) gefährdet und die Tür zum Diebstahl personenbezogener Daten geöffnet (49%).
"Die Zunahme von Insider-Vorfällen unterstreicht die Bedeutung von Sicherheitstrainings", sagte Randall Trzeciak, Direktor des CERT National Insider Threat Center an der Carnegie Mellon Universität. "Viele dieser Verstöße hätten vermieden werden können, wenn die Mitarbeiter angemessen geschult worden wären. In einigen Fällen hat die Naivität der Mitarbeiter zu Phishing und Betrug geführt, was Daten gefährdetet und zu finanziellen Verlusten geführt hat."
Cyber-Sicherheitstraining bleibt unerlässlich
Angesichts der ständig zunehmenden Häufigkeit und Schwere von Cyber-Angriffen sollte Sicherheitstraining für Unternehmen eine naheliegende Investition sein. Die meisten Mitarbeiter werden zumindest sporadisch geschult:
einmal im Jahr (29%),
zweimal im Jahr (15%),
vierteljährlich (15%),
monatlich (7%).
Dennoch können Unternehmen weitergehende Vorkehrungen treffen, insbesondere bei ihren Führungskräften. Eine Mehrheit der Befragten (52%) berichtete, dass das Top-Management diejenigen sind, die am meisten Sensibilisierung benötigen, um sich vor Angriffen zu schützen (52%).
Lesetipp: Hacker vs. C-Level - Angrifgsvektor Führungskraft
Die Untersuchungsergebnisse legen eine positive Korrelation zwischen Trainings und Ergebnisverbesserung nahe. So geben 66% der befragten Unternehmen an, dass es "signifikante" oder "akzeptable" Auswirkungen auf die Reduzierung der Anzahl erfolgreicher Phishing-Angriffe gab. Am beliebtesten war das videobasierte Training (82%), gefolgt von Live-, Präsenz- oder Vortragsschulungen (77%) sowie Phishing und Social Engineering Verhaltenstests (76%).
Obwohl Sicherheitstrainings immer häufiger stattfinden, müssen Unternehmen insgesamt mehr Aufmerksamkeit auf Cyber-Sicherheit legen. Verstöße und Datenpannen tauchen immer wieder in den Schlagzeilen auf, und zu viele Unternehmen bleiben anfällig für Angriffe.
Sicher im Internet: Lohnt sich eine Cyberversicherung?
Nicht immer ist das Abschließen einer separaten Cyberversicherung sinnvoll. Denn: In vielen Fällen greifen bei Onlinekriminalität auch bereits vorhandene Versicherungen ein:
Das übernimmt eine Haftpflichtversicherung:
Eine private Haftpflichtversicherung übernimmt in der Regel Schäden, die ein Versicherungsnehmer Dritten unabsichtlich zufügt. Das gilt auch bei Cyberrisiken: „Wer etwa aus Versehen einen Virus weiterleitet, kann das über seine Haftpflichtversicherung regulieren“, erklärt Elke Weidenbach von der Verbraucherzentrale NRW. Laut BdV sei eine solche Absicherung mittlerweile Standard.
Das übernimmt eine Rechtsschutzversicherung:
Auch online können Streitigkeiten entstehen, für die Verbraucher einen Rechtsbeistand benötigen. Beispielsweise bei:
Identitätsmissbrauch
Streit beim Online-Shopping
Problemen mit Online-Verträgen
Zum Teil bieten Privatrechtsschutzversicherungen auch einen Schutz bei Schädigung der eigenen Online-Reputation an, erklärt der BdV. Das ist zum Beispiel dann der Fall, wenn beleidigende Kommentare oder Bilder bzw. Videos online verbreitet werden.
Das übernimmt eine Hausratversicherung:
Die Hausratversicherung springt dann an, wenn Betrüger Daten stehlen und dadurch ein Schaden entsteht – etwa wenn Kriminelle durch Phishing das Bankkonto abräumen. Hier können Betrugsopfer das Geld aber ggf. auch über die eigene Bank zurückholen, erklären die Verbraucherschützer. Hier kommt bei uns das ING Sicherheitsversprechen ins Spiel: Falls Dritte Zugangsdaten zum Internetbanking + Brokerage oder zur App missbrauchen, ersetzt die ING den finanziellen Schaden, der dabei entsteht. Außerdem kann die Hausratversicherung laut BdV Kosten zur Wiederherstellung privater Daten übernehmen.