Cyberkriminalität: Nein, es passiert nicht nur anderen

Kürzlich wurde in Kroatien über eine Reihe von Cyberangriffen auf angeblich bis zu zwanzig Anwaltskanzleien in Kroatien berichtet, was von der Kroatischen Anwaltskammer gegenüber Lider bestätigt wurde, zusammen mit einer Warnung über den Anstieg der Cyberkriminalität in allen Bereichen der Gesellschaft, einschließlich des Rechtsberufs. Dies ist das neueste von vielen Beispielen für Phishing-Angriffe, eine Art von Social Engineering, bei der Hacker betrügerische E-Mails verwenden, um Menschen dazu zu bringen, auf Links zu klicken, nach denen Malware (Ransomware) auf ihren Computern installiert wird, was es Hackern ermöglicht, Daten zu stehlen und zu sperren und anschließend die Datenbesitzer zur Zahlung eines Lösegelds zu erpressen.

Die Anzahl der Cyberbedrohungen und Angriffe hat in den letzten Jahren drastisch zugenommen, sagt Marko Gulan, ein Cybersicherheitsberater bei Schneider Electric SEE, und weist darauf hin, dass Angreifer ihre Opfer nicht auswählen, sondern sich auf ihre Ziele konzentrieren. Gulan weist auch darauf hin, dass ‚die Größe eines Unternehmens für Angreifer nichts bedeutet.‘ Daher ist es auch im Fall von Anwaltskanzleien, die mit sensiblen und vertraulichen Daten über Gerichtsverfahren umgehen, sowie in allen anderen Fällen von Hackerangriffen, insbesondere bei kleineren Unternehmen, wichtig zu verstehen, dass sie jedem passieren können, was es wichtiger denn je macht, Geschäftsdaten zu sichern.

Verwundbarkeit kleiner Unternehmen

Eine der besten Möglichkeiten für Unternehmen, insbesondere kleine und mittelständische, sich vor solchen Angriffen zu schützen, sind sich Experten einig, ist die Sicherung ihrer Daten. Phishing ist die häufigste Art von Angriff auf kleine Unternehmen, und Angreifer verwenden Erpressung, um Geld zu erhalten, sagt Bojan Ždrnja, der Chief Technology Officer bei Infigo.

– Da kleine Unternehmen selten viele öffentlich verfügbare Dienste haben, ist Phishing oft der Hauptangriffsvektor. Im Falle von Ransomware-Angriffen ist es äußerst wichtig sicherzustellen, dass ordnungsgemäße Backups vorhanden sind, da dies der einzige Weg ist, um Schäden durch solche Angriffe zu minimieren, fügt Ždrnja hinzu.

Für Angriffe auf kleine Unternehmen finden es Angreifer am einfachsten, Techniken des Social Engineering anzuwenden, fügt Igor Hitrec, ein Senior Cybersecurity-Manager bei PwC, hinzu.

– Angreifer zielen auf kleinere Unternehmen ab, weil sie über begrenztes Wissen und weniger ausgeprägtes Bewusstsein für Informations- und Cybersicherheit verfügen und sie sich selten moderne Werkzeuge leisten können, um sich gegen Cyberangriffe zu schützen, und haben kein spezialisiertes Personal, um solche Risiken zu managen, erklärt Hitrec.

Neben Phishing können Bedrohungen auch aus scheinbar harmlosen Situationen entstehen. Zum Beispiel, wie Augustin Anić, ein Senior Cybersecurity-Berater bei Combis, darauf hinweist, gibt es zunehmend Berichte über Kompromittierungen von Geschäftskomputern durch USB-Sticks, die Mitarbeiter zuvor für persönliche Zwecke verwendet haben.

– Wir sollten auf keinen Fall USB-Sticks, die wir sonst für persönliche Zwecke verwenden, zum Beispiel um Dokumente im Copyshop zu übertragen, mit Geschäftskomputern verbinden, warnt Anić.

Gulan betont, dass Cyberbedrohungen nicht ausschließlich aus dem Internet kommen.

– Phishing-E-Mails, Benachrichtigungen in sozialen Medien, gefälschte Anrufe für Angebote, infizierte USB-Sticks, Anrufe von ‚der Bank’… Das sind alles Bedrohungen, die kleine Unternehmen als Risiken für ihr Geschäft erkennen sollten. Kleine Unternehmen investieren normalerweise nicht in fortschrittlichere Lösungen, sondern basieren ihre Betriebe auf Geräten, die für Heimanwender gedacht sind, aufgrund der Kostenverfügbarkeit. Der häufigste Angriffsvektor auf kleine Unternehmen sind ihre Mitarbeiter, die unbeabsichtigt Schäden verursachen. Kleine Unternehmen haben auch typischerweise keine streng definierten Prozesse und Verfahren, was ein weiterer Grund ist, warum sie anfällig für negative Cyberaktivitäten sind, beschreibt Gulan.

Zahlen nach einem Angriff oder nicht?

Wenn ein Verstoß auftritt, ist es wichtig, weitere Fehler zu vermeiden und sich nicht zu beeilen, sagt Gulan.

– Mitarbeiter möchten oft verbergen, dass sie einen Angriff erlitten haben, daher ist der häufigste Joker ‚Ruf das Kind eines Freundes an, das sich gut mit IT auskennt.‘ Dieser Ansatz ist völlig falsch. Der erste Schritt sollte sein, die IT-Abteilung anzurufen, sei es intern oder ein externes Wartungsunternehmen, merkt Gulan an.

Somit ist der erste Schritt, die Handlungen des Angreifers mit Hilfe von Cybersicherheitsexperten, erfahrenen Personen, einzuschränken, denn, wie Ždrnja sagt, wenn dies nicht richtig gemacht wird, könnte der Angreifer erkennen, dass er entdeckt wurde und den Verlauf des Angriffs ändern. Anić beschreibt dies zum Beispiel so, dass man nicht ‚das Licht im Raum einschalten möchte, in dem sich der Angreifer befindet‘, aber warum nicht heimlich ‚die Tür zu dem Raum, in dem sich unsere wertvollen Gegenstände befinden, abschließen‘? Hitrec fügt hinzu, dass Unternehmen Cyberangriffe auf jeden Fall der Polizei melden sollten.

Im Falle von Ransomware, wenn Daten verschlüsselt sind und nur der Angreifer den Schlüssel zur Entschlüsselung besitzt, fordern Angreifer Geld im Austausch für gestohlene Daten, meist in Kryptowährungen, was kleinere Unternehmen, die durch Budgets eingeschränkt sind, in ein Dilemma führen kann: einen erheblichen Geldbetrag verlieren und die Daten zurückbekommen oder nicht zahlen und alle Daten verlieren? Kein Experte würde raten, das Lösegeld zu zahlen. Es gibt zwei Gründe dafür. Erstens unterstützen Unternehmen durch die Zahlung des Lösegelds kriminelle Aktivitäten und motivieren Angreifer zu weiteren Verstößen, da es die Botschaft sendet, dass, wenn ein Unternehmen einmal gezahlt hat, es wieder zahlen wird, oft für einen höheren Betrag. Zweitens garantiert die Zahlung des Lösegelds nicht, dass das Unternehmen seine Daten zurückbekommt und dass es nicht erneut angegriffen wird.

Daher ist es entscheidend, ein aktuelles Backup der Daten zu haben und es zu schützen, aber wenn das Archiv nicht existiert, sind die einzigen verbleibenden Optionen, das gesamte IT-System wiederherzustellen oder das Lösegeld zu zahlen, erklärt Anić.

– Dies ist bereits eine Frage der Geschäftsentscheidung für die Unternehmensführung, obwohl die Sicherheitsempfehlung darin besteht, die Kommunikation zu vermeiden und das Lösegeld nicht an Angreifer zu zahlen, fügt Anić hinzu, während Gulan glaubt, dass das Geld, das Unternehmen als Lösegeld zahlen, das sein sollte, was sie ohnehin bereit sind zu verlieren.

Ždrnja hat auch viele Fälle erlebt, in denen Unternehmen keine andere Wahl hatten, als das Lösegeld zu zahlen, weil sie keine Backups hatten.

– Daher möchte ich erneut betonen, wie wichtig es ist, ein ordnungsgemäßes Backup zu haben, das nicht mit dem Computernetzwerk verbunden ist, da es Fälle gegeben hat, in denen Angreifer auch Backups verschlüsseln, sagt Ždrnja.

Investition, keine Kosten

Das Thema Cybersicherheit für kleine und mittelständische Unternehmen ist auch eine Frage des Managements finanzieller Ressourcen, die in solchen Unternehmen begrenzt sind. Wenn Sie jedoch einen Experten fragen, ist eine solche schwarz-weiße Sichtweise – für den Schutz vor Cyberangriffen zu zahlen oder nicht – sicherlich nicht wünschenswert. Die Kosten für den Schutz von Unternehmen vor Hackerangriffen sind in jedem Fall viel niedriger als die, die im Falle eines Angriffs anfallen, betont Robert Ćuzela-Piljac, Business Development Manager für die Adriatische Region bei der Beratungsfirma Horváth.

– Hackerangriffe können Unternehmen unermesslichen Schaden zufügen. Im Falle von Datendiebstahl setzen sich Unternehmen dem Reputationsschaden und hohen Geldstrafen für den Diebstahl privater Daten aus. Darüber hinaus können Angriffe zu Betriebsunterbrechungen führen, und die Kosten für die Wiederaufnahme der Produktion sind extrem hoch. All dies bestätigt, dass es entscheidend ist, dringend Maßnahmen zu ergreifen, die Unternehmen schützen, und diese dann kontinuierlich an neue Bedrohungen anzupassen, glaubt Ćuzela-Piljac.

Gulan betont, dass es keine magische Zahl gibt, die zeigt, wie viel für ein Unternehmen ausreichend ist, um sicher zu sein, aber einige globale Studien schlagen vor, etwa zwei Prozent des IT-Budgets in Sicherheit zu investieren, und sogar bis zu fünfzehn Prozent.

– Allerdings sollte die Investition in Menschen, die das stärkste und schwächste Glied in jeder Organisation sind, für Unternehmen zwingend sein, selbst wenn sie in die hochwertigsten technologischen Lösungen investieren, sagt Gulan, der glaubt, dass die Investition von Geld in Sicherheit für Unternehmen keine Kosten, sondern eine Investition in ein langfristig stabiles Geschäft sein sollte.

Lesen Sie den vollständigen Text zur Cybersicherheit in der gedruckten oder digitalen Ausgabe des Wirtschaftsmagazins Lider.