Cyberkriminalität nimmt in letzter Zeit wieder neue Ausmaße an – nicht zuletzt durch die Ransomware WannaCry. Kleine und mittlere Unternehmen (KMUs) scheinen diese Gefahren immer wieder zu unterschätzen. Doch damit liegen sie falsch, wie ein Experte nun zeigt.

Die aktuellen Fälle der Ransomware-Angriffe mit WannaCry zeigen, welches Ausmaß Cyberkriminalität heute haben kann. Der Virus sorgte in über 150 Ländern für erhebliches Chaos. Was viele nicht wissen: Ein Drittel der Opfer von Datenverlusten infolge solcher Ransomware-Angriffe sind kleine und mittlere Unternehmen.

Dies bestätigt der Verizon 2016 Data Breach Investigations Report. Die Unternehmen gehen wohl fälschlicherweise davon aus, dass sie zu uninteressant für Datendiebe sind. Doch dadurch machen sie sich selbst zu einer extrem leichten Beute. Denn mit ihren entsprechend vernachlässigten Verteidigungsmechanismen machen KMUs sich erst recht zu einem interessanten Ziel für digitale Angreifer.

Die Anzahl von Cyber-Attacken steigt

Die Zahl von Ransomware-Angriffen nahm 2016 im Vergleich zum Vorjahr um 16 Prozent zu. Häufig handelt es sich dabei um Lösegelderpressungen und Geldwäsche, die von „professionellen“ Kriminellen durchgeführt wird. Auch Neuerungen wie BitCoin bieten neue Angriffsflächen für Spyware – und das ohne dass Spuren nachverfolgt werden können. Auch Phishing-Attacken werden immer gefährlicher, da die Vorgehensweise immer ausgefeilter ist.

Beim Phishing geben sich die Kriminellen als bekannte Personen aus, um die Empfänger dazu zu bewegen, beispielsweise eine infizierte Datei zu öffnen oder auf eine schädliche URL zu klicken. Häufig geschieht dies über E-Mail-Konten, doch auch Remotezugriffe, Netzwerkperimeter, Endgeräte und Webanwendungen sind betroffen. Um den Attacken zu entgehen, müssen für all diese Bereiche spezielle Schutzmaßnahmen eingerichtet werden – und in der Regel ist man nur mit einer geeigneten Kombination aus den richtigen Tools, Mitarbeitern und Prozessen gegen alle Bedrohungen gewappnet.

Einige kleine und mittlere Unternehmen scheinen sich der Gefahr nicht bewusst zu sein. Sie denken, die Lösegeldzahlung wäre billiger als die Kosten für Datensicherheitsdienste. Doch dies verkennt die Tatsache, dass die Kosten einer Attacke weit über die Höhe der Lösegeldbetrags hinausgehen. Kleine und mittlere Unternehmen müssen ebenfalls die Stunden verlorener Mitarbeiterproduktivität, den Vertrauensverlust der Kunden sowie die Schädigung des Rufs einkalkulieren.

Unter Berücksichtigung sämtlicher Ausgaben für die Anzeige von Sicherheitsverletzungen sowie für Bußgelder, Ausfallzeiten des Unternehmens und Systemreparaturen kostet KMUs eine zielgerichtete Attacke gegen die Datensicherheit derzeit durchschnittlich 70.000 Euro.

So können KMUs die Cyber-Sicherheit verbessern

Wieland Alge, Vice President und General Manager EMEA von Barracuda Networks, gibt sieben Tipps für Mittelständler, wie sich diese besser vor Cyber-Kriminalität schützen können.

1. Unternehmens-Performance und -Compliance
Cyber-Sicherheit wird häufig als reines IT-Problem betrachtet, so haben Führungskräfte oft kaum einen Einblick in bewährte Sicherheitsstandards und -risiken. Ohne Experten im Team bleibt es darüber hinaus nur allzu oft dem einfachen IT-Personal überlassen, sich um das umfangreiche Feld der Cyber-Sicherheit zu kümmern – doch IT-Sicherheit erfordert einen zentralen Ansatz mit klaren Zuständigkeiten.

Wichtige Personen, allen voran Mitglieder der Unternehmensführung, müssen sich für das Thema einsetzen, um eine unternehmensweite Entscheidungs- und Mitarbeiterkultur zu ermöglichen, deren Schwerpunkt auf dem vertraulichen Umgang mit Kundendaten und gutem Datenmanagement liegt.

Eine anfängliche professionelle Risikobewertung ist dabei unerlässlich, um bestimmte Gefahren zu identifizieren und Lösungen zu implementieren. Dieser Prozess sollte eine genaue Beurteilung der direkten Kosten im Zusammenhang mit einer Sicherheitsverletzung sowie deren Folgen für das gesamte Unternehmen beinhalten. Arbeiten Sie hierfür mit Spezialisten zusammen und nutzen Sie Managed Services, um die Implementierung bewährter Sicherheitsverfahren und -technologien zu beschleunigen. Spezialanbieter können dabei helfen, potenzielle Schwachstellen zu ermitteln und eine durchdachte Strategie zum Schutz gegen Cyber-Angriffe zu erarbeiten.

2. Implementierung bewährter Sicherheitsverfahren
Legen Sie konkrete Richtlinien für die E-Mail-, Web-, Kollaborations- und Social-Media-Tools sowie sonstige Werkzeuge fest, die in diversen Arbeitsabläufen eingesetzt werden. Stellen Sie dabei sicher, dass diese Leitlinien die gesetzlichen und behördlichen Auflagen zur Verschlüsselung von E-Mail-Inhalten umfassen, die sensible Daten enthalten.

Weiterhin sollte die Nutzung privater mobiler Endgeräte wie Laptops, Tablets oder Smartphones (BYOD), mit denen auf Unternehmenssysteme zugegriffen wird, überwacht oder gesteuert werden. Unterweisen Sie Ihre Mitarbeiter, welche Werkzeuge und Anwendungen sie für den Zugang zu Unternehmensressourcen verwenden sollten. Verbieten Sie beispielsweise die Verwendung fremder Datensticks oder Software auf der Firmeninfrastruktur.

3. Maßnahmen zur Überwachung und Vorbeugung
Implementieren Sie Systeme zur Erkennung und Eliminierung von Phishing- und Ransomware-Attacken. Überwachungs-Software sollte umfangreiche Transparenz bieten sowie IT-Teams in die Lage versetzen, Postfächer regelmäßig zu scannen und Bedrohungen zu einem bestimmten Gerät zurückzuverfolgen. Ebenfalls sollten vorbeugende Maßnahmen ergriffen werden, darunter die Suche nach Schwachstellen in Web-Anwendungen sowie nach vorhandener Spyware und der Einsatz fortschrittlicher Werkzeuge zur Feststellung einer Gefährdung.

4. Datensicherung
Ein Disaster Recovery-Plan ist überlebenswichtig für die Geschäftskontinuität. Prüfen Sie deshalb Ihr Backup-Verfahren, um sicherzustellen, dass Daten plattformübergreifend wiederhergestellt werden können. Auf diese Weise sorgen Sie dafür, dass Sie über eine konsequente Strategie zur Schadenbegrenzung verfügen. Cloud-basierte Backup-Systeme eignen sich zum Beispiel, um die Anforderung eines Offsite-Backups für Katastrophenfälle kostengünstig abzubilden.

5. Datenverschlüsselung und Cloud-Sicherheit
Ein umfangreiches Sicherheitskonzept sollte zudem fortschrittliche Ansätze wie Regeln für die Datenverschlüsselung zum Schutz privater Datenspeicher und Cloud-basierter Backup-Systeme umfassen. Ebenfalls dazu zählen Werkzeuge für heuristisches Scannen zum Aufspüren von Befehlen, die gegebenenfalls auf bösartige Aktivitäten hindeuten, sowie Cloud-basierte System-Emulatoren, die Dateien in einer Sandbox öffnen und untersuchen, um Systeme vor dem Risiko schädlicher Anhänge zu schützen.

6. Sensibilisierung der Belegschaft
Auch lässt sich mit der Sensibilisierung der Belegschaft einiges erreichen, denn Cyber-Kriminelle haben es zumeist auf das leichteste Ziel im Netzwerk abgesehen: den Benutzer. E-Mails zählen zu den häufigsten Einfallstoren für zahlreiche Arten von Attacken. Viele Mitarbeiter kämpfen mit Informationsüberflutung, die Wahrscheinlichkeit ist also gering, dass sie ihre Post eingehend auf Phishing prüfen. Die Förderung des Sicherheitsbewusstseins ist ein zentraler Bestandteil der Verbesserung des Schutzes.

Die Ergebnisse eines aktuellen Berichts von Osterman Research bestätigen, dass die Wahrscheinlichkeit, Opfer eines Spear-Phishing-Angriffs zu werden, für Unternehmen mit gut vorbereiteten Mitarbeitern geringer ist. Wichtig ist die Veranstaltung regelmäßiger Schulungen, in denen der Umgang mit Betrug oder E-Mail-Angriffen, gute E-Mail-Praktiken und sicheres Verhalten beim Surfen im Internet vermittelt werden.

7. Halten Sie Ihre Systeme aktuell
Alle Anwendungen und Betriebssysteme sollten regelmäßig auf Sicherheitslücken geprüft sowie anhand aktueller Patches der jeweiligen Anbieter auf den neuesten Stand gebracht werden. Wie Edgescan herausfand, hätten 63 Prozent aller Schwachstellen mittels Sicherheitsaktualisierung beseitigt werden können.

IT-Sicherheit ist unabhängig von der Unternehmensgröße

Im Züge des digitalen Wandels werden kleinere und mittlere Unternehmen in den kommenden Jahren zunehmend von Hackerangriffen betroffen sein. Zwar ist auch ein langsamer Anstieg des Risikobewusstseins bei KMUs zu erkennen, jedoch zeigt sich noch eine große Diskrepanz zwischen steigendem Bewusstsein und dem Ergreifen konkreter Maßnahmen zum Schutz vor Angriffen. Aktuell besteht wohl das größte Risiko für KMUs noch immer darin, die Risiken zu unterschätzen oder das Thema überfordert auszublenden.

Globale und flächendeckend angelegte Bedrohungen wie der aktuelle WannaCry-Ransomware-Angriff, von dem nicht nur Unternehmen wie die Deutsche Bahn oder Schenker, sondern auch zahllose kleine Unternehmen betroffen waren, zeigen jedoch, dass die Auseinandersetzung mit IT-Sicherheit kein reines Abteilungsthema, sondern unabhängig von der Unternehmensgröße Chefsache sein sollte.

 

Quelle Titelbild: PeopleImages / iStock