Chefsache Cyber Security

© dsheremeta/Schedl
„Don’t be a low hanging fruit!“ – Cyberkriminelle suchen besonders gern einfach und schlecht geschützte Ziele für ihre
Angriffe aus, sogenannte „low hanging fruits“.

Kleinere Unternehmen werden ein immer beliebteres Ziel für Cyberkriminalität. Der Trend geht eindeutig in Richtung maßgeschneiderte Angriffe und Erpressung.

Datendiebstahl und -verlust haben sich mittlerweile zu einem der größten Risiken für Unternehmen entwickelt. Seit mehreren Jahren schaffen es Trojaner wie „Petya/NotPetya“ oder Ransomware wie „WannaCry“ in die globalen Nachrichten und zeigen großflächig auf, welche weitreichenden Auswirkungen Cyberkriminalität auf eine digitalisierte Gesellschaft haben kann: geschädigte Unternehmen, Störungen im Zugverkehr und Verunsicherung in der medizinischen Versorgung. Diese ökonomischen und finanziellen Auswirkungen haben ein neues Bewusstsein für die omnipräsente Bedrohung geschaffen. Das liegt neben der wiederkehrenden Berichterstattung vor allem am Anstieg der bedrohten Unternehmen aus allen Branchen, wobei Industrieunternehmen am häufigsten betroffen sind. Klein- und Mittelunternehmen stellen für Cyberkriminelle ein besonders lukratives Ziel da, weil diese oft nicht ausreichend geschützt und dringend auf die gestohlenen Daten angewiesen sind.

Fokus Mensch

Internetkriminelle machen sich vor allem menschliche Schwächen wie Sorglosigkeit und Neugier zunutze, um über Malware, Phishing und Social Engineering Unternehmen in eine Falle zu locken. Besonders auf dem Vormarsch sind laut einer Studie des Beraterunternehmens KPMG zielgerichtete Angriffe, sogenannte Advanced Persitent Threats (APTs). Diese machen aktuell ein Viertel aller Attacken aus und zählen zu den gefährlichsten Angriffsarten im IT-Bereich. Wenn einmal ein Einbruch in das Unternehmen geglückt ist, können bei dieser Art die Kriminellen monatelang unentdeckt an der Datenverschlüsselung und einer ausgefeilten Erpressung arbeiten. Wenn der Schaden mal passiert ist, ist guter Rat teuer. Abhängig vom Schadensausmaß bleibt oft nur die Option zu bezahlen, durch die Professionalisierung der Cyberkriminellen ist die Wahrscheinlichkeit hoch, den richtigen Code zur Entschlüsselung zu bekommen.

Bestmöglicher Schutz

Doch so weit muss es eigentlich nicht kommen. Um Internetkriminellen rechtzeitig Einhalt zu gebieten, ist es essenziell, digitale Sicherheitsthemen in die Chefetagen zu bringen, gerade auch bei kleinen und mittelständischen Unternehmen. Neben technischen Sicherheitsvorkehrungen ist es in einem ersten Schritt wichtig, eine Bewusstseinsbildung bei den Mitarbeitern einzuleiten. Sie sind oft das interessanteste Ziel für die Angreifer und ihre Sensibilisierung auch das wirksamste Präventionsmittel. Risiko-Monitoring. Als wichtiger Bestandteil einer Sicherheitsstrategie für Unternehmens-IT haben sich zudem Cyber-Threat-Intelligence- Informationen erwiesen. Dabei geht es um die Einschätzung von Risiken, um aufbereitete Informationen zu Motivation, Taktik und Vorgehensweise von Cyberbedrohungen. Parallel dazu ist es von herausragender Bedeutung, entsprechende Security-Software regelmäßig auf den neuesten Stand zu bringen und die Daten kontinuierlich zu sichern.

Beratungsstellen

Um sich weitläufig zu wirksamen Sicherheitsniveaus im Cyber-Raum zu informieren, empfiehlt sich neben einem Blick in den WKO-Ratgeber „it-safe“ ein Besuch bei der 2015 ins Leben gerufenen „Cyber Sicherheit Plattform“, einer Kooperationsplattform zwischen Staat, Wirtschaft und Gesellschaft. Auch bereits bestehende Initiativen wie das Kuratorium Sicheres Österreich, der Austrian Trust Circle, das Cyber-Sicherheit- Forum, A-SIT – Zentrum für sichere Informationstechnologie, Cyber Security sowie der CERT-Verbund sind empfehlenswerte erste Anlaufstellen, um aktuellen Bedrohungen mit einem ausgeklügelten Cyber-Security-Ökosystem auf Augenhöhe zu begegnen.

Cyberkriminalität

  • 72 % der Befragten waren in den letzten 12 Monaten Opfer von Cyberangriffen
  • 87 % der Industrieunternehmen wurden angegriffen
  • 50 % litten in der Folge unter einer Unterbrechung der Geschäftsprozesse
  • 23 % aller Angriffe gehen auf das Konto von Advanced Persistent Threats (APTs)
  • 36 % wissen nicht, welche Auswirkungen der Angriff hatte
  • 74 % diskutieren Cyberrisiken auf Führungsebene
  • 64 % fühlen sich von innen nicht bedroht
  • 68 % der GFs betrachten Cyber Security als technische Angelegenheit
  • 31 % der Cyberangriffe werden an die Polizei/Aufsichtsbehörden gemeldet