Automatisierte Cyberangriffe

KMU müssen Risiken durch Cybercrime ernst nehmen

| Autor / Redakteur: Matthias Friese / Peter Schmitz

Hacker sind in den letzten Jahren professioneller geworden. Sie führen ihre Cyberattacken nicht mehr manuell durch, sondern lassen sie vollautomatisiert ablaufen.
Hacker sind in den letzten Jahren professioneller geworden. Sie führen ihre Cyberattacken nicht mehr manuell durch, sondern lassen sie vollautomatisiert ablaufen. (Bild: Pixabay / CC0)

Große Unternehmen verlieren für Cyberkriminelle zunehmend an Attraktivität, denn sie haben die Ressourcen um sich mit immer besseren Security-Tools und Sicherheitsexperten auszustatten. Kleinere Unternehmen sind aktuell einem größeren Risiko ausgesetzt, Opfer eines Hackerangriffs zu werden. Gerade weil diese sind noch nicht genügend gewappnet sind, um sich gegen Cyberangriffe schützen zu können.

Datenschutz war dieses Jahr bisher das Thema, um das sich so vieles drehte. Man kam nicht dran vorbei, darüber zu lesen, davon zu hören oder direkt vom Inkrafttreten der neuen EU-DSGVO betroffen zu sein. Die Rede war von Änderungen, Neuerungen, Geldstrafen, Paragraphen, Absätzen, und und und. Oftmals hat man davon auch mit Bezug auf Datensicherheit gelesen. Doch zwischen Datensicherheit und Datenschutz gibt es Unterschiede, die es zu beachten gilt. Legt man den Fokus lediglich auf den Datenschutz, kann man sich zwar sicher sein, alles erdenkliche unternommen zu haben, um externe Daten zu schützen, jedoch kann man auch mit großer Wahrscheinlichkeit rechnen, die internen Daten in einem Cyberangriff zu verlieren.

Beim Datenschutz: geht es um die Einhaltung von gesetzlichen Vorschriften zur Erhebung, Verarbeitung und Weitergabe von personenbezogenen Daten, wie zum Beispiel Kundendaten wie Alter, Geschlecht, Wohnort, E-Mail Adresse, Kontodaten, Telefonnummer, Geburtsdatum, usw. Die Datensicherheit: hat zunm Ziel, alle Daten zu schützen. Hierbei werden daher konkrete Maßnahmen unternommen, um Daten vor Verlust, Zerstörung, Missbrauch oder Zugriff durch Unberechtigte zu schützen.

Webseiten-Schutz für Jedermann!

Security-Startups im Blickpunkt: Patronus.io

Webseiten-Schutz für Jedermann!

26.05.17 - Gerade bei KMU und kleinen Web-Agenturen fehlt oft das Knowhow für die nötige Sicherheit der Systeme. Das Berliner Startup Patronus.io bietet einen klassischen Schutz für Webseiten an, der sich ohne viel Schnick-Schnack an Bedarf des Kunden und an den derzeitigen Angriffsvektoren der Hacker und Cyberkriminellen orientiert und das zum KMU-tauglichen Preis. lesen

Immer mehr Cyberangriffe auf Unternehmen

Die Anzahl der täglich gemeldeten Cyberangriffe zeigt deutlich, dass diese heutzutage jeden treffen können. Blogger, Banker, Fotografen, Online-Händler, Ärzte – jeder gilt als potentielles Angriffsziel für Hacker. Security-Experten gehen von bis zu 20.000.000 Cyber-Angriffen täglich aus. Aber auch bei diesen Zahlen gibt es eine Dunkelziffer, die weitaus höher liegt.

Dass die Tendenz steigt, liegt auch an der immer weiter fortschreitenden Digitalisierung. Für Unternehmen öffnet sie viele Türen, um mit ihrer Zielgruppe zu kommunizieren und sich greifbar zu machen – für Hacker bietet das eine Welt voller Möglichkeiten.

Hacker sind Profis

Dass sich die Angriffe häufen, liegt auch daran, dass Hacker professioneller geworden sind. Sie führen ihre Cyberattacken nicht mehr manuell durch, sondern lassen diese vollautomatisiert laufen. Diese automatisierten Angriffe wären jedoch ohne Digitalisierung kaum möglich - durch neue digitale und anonyme Bezahlmethoden wie Bitcoin sind für Hacker die technischen Möglichkeiten für großflächige Angriffe gewachsen.

Zusätzlich haben mittlerweile viele kleinere Unternehmen ihren Platz im Internet gefunden. Durch diese Menge an Daten, die damit verknüpft ist, haben Hacker ein noch leichteres Spiel.

Typische Assoziation mit einem Cyberangriff

Natürlich denkt man bei der Unternehmensgründung und in den ersten Jahren nicht daran, Ziel eines Hacker-Angriffs zu werden. Dafür ist man noch zu unbekannt, was sollen sie also schon von einem holen wollen? Doch hinter jedem Unternehmen steckt ein gewisses Kapital, ein Kundenstamm, sensible und vertrauliche Daten, Betriebsgeheimnisse, das eigene Erfolgsrezept, uvm. Viele denken beim Wort Cyberangriff also eher an die Fälle, in denen einem großen Konzern Unsummen an Geld gestohlen, Konten gehackt, Privatpersonen um Millionen betrogen wurden.

Ein Beispiel dafür, das uns wohl allen in Erinnerung blieb, war der Yahoo-Hack von 2013, von dem 3 Milliarden Benutzerkonten betroffen waren. Ähnlich war es auch beim Ausbruch von WannaCry, im Mai letzten Jahres. Zuerst kam die Meldung aus Großbritannien, dass die Computer des nationalen Gesundheitssystems von einer Ransomware infiziert waren. Doch im Minutentakt kamen neue Meldungen hinzu und schnell verbreitete sich der Krypto-Trojaner weltweit. Das markante daran war, dass der Trojaner vom infizierten Rechner auch auf andere Rechner, die sich im selben Netzwerk befunden hatten, überspringen konnte.

Zwei Monate später kam dann der nächste aufsehenerregende Fall dazu: NotPetya. Hierbei wurde zuerst davon ausgegangen, dass es sich um eine Erpressung handeln sollte, wie es bei Hackerangriffen oft üblich ist und bei der ersten Version von Petya der Fall war. Doch das Ziel des Angriffs war möglichst viel Chaos und Verwirrung in möglichst kurzer Zeit zu stiften, um Firmen und Institutionen soweit lahmzulegen, damit Hacker noch leichteren Zugriff auf deren Daten haben.

Vom neu gegründeten Unternehmen, das sich auf den Verkauf von nachhaltigen Verpackungsmaterial spezialisiert hat oder auf wiederverwendbare Kaffeebecher, das gehackt wurde und dessen Kunden ebenfalls um größere Summen Geld abgezockt wurden, darüber wird eher weniger berichtet.

Das birgt zweierlei Gefahren:

  • 1. Unternehmen werden nicht ausreichend informiert und informieren sich selbst im Zuge dessen nicht über die Risiken, die ein entweder nicht vorhandenes oder minimal aufgebautes IT-Sicherheitssystem bergen können. Sie sehen also keinen Handlungs- oder Änderungsbedarf.
  • 2. Das wissen auch die Hacker. Sie haben daher keine Angst, erwischt zu werden, bevor sie wirklich zuschlagen können.

Kleinen Unternehmen mangelt es an Erfahrung

Die großen Konzerne wissen entweder aus schmerzhafter Erfahrung oder dank ihren IT-Spezialisten schon, was alles zum optimalen Datenschutz und zur risikofreien Datensicherheit getan werden muss. Hier wird intensiv in Programme, Schulungen und Hardwarekomponenten investiert. Regelmäßige Übungen verhelfen ebenfalls zur Festigung der Sicherheit oder auch manchmal dazu, vorab zu erkennen, ob sich irgendwo eine Sicherheitslücke befindet. So kann diese geschlossen werden, noch bevor sie ein Hacker finden könnte.

Doch die kleineren Unternehmen haben weder diese Erfahrung, noch das Budget für Fachkräfte. Sie hatten es schon mit der DSGVO schwer. Eine Geldstrafe könnte bei manchen den kompletten Existenzverlust bedeuten. Für die Umsetzung brauchte man technisches Know-How, das richtige Personal, die richtige Hardware und Software sowie die richtigen Systeme. Bis auf das Know-How, das kostenlos in Ratgebern zu finden war, waren alle weiteren Schritte kostenintensiv. Viele kleine Unternehmen sind sich sicher, dass ihnen nichts passieren kann, und vermeiden es deshalb zusätzlich in die interne IT-Sicherheit zu investieren.

Diese Maßnahmen können sich auch junge / kleine Unternehmen leisten!

Man kann auch mit weniger Budget für eine hohe Sicherheit sorgen. Hier ein paar Tipps!

Nutzen Sie sichere Passwörter: Wählen Sie lange und gerne auch komplexe Passwörter und nutzen Sie ein Passwort nie mehrmals! Viele wählen immer noch ihren Namen, ihr Geburtsdatum oder die Namen von Familienmitgliedern als Passwort. An diesen Passwörtern kommen Hacker am einfachsten vorbei. Je länger und komplexer das Passwort ist, desto schwieriger ist es für Cyberkriminelle über diese Schwelle hinwegzukommen.

Führen Sie regelmäßig Updates durch: Updates können einige Zeit benötigen, daher meidet man sie oftmals. Doch sie sind nicht umsonst. In viele Updates sind weitere Sicherheitsupdates eingebaut, die auch auf die neuesten Techniken der Hacker zugeschnitten sind. Daher gilt: Updates immer durchführen, falls es die Zeit tagsüber nicht erlaubt, können sie auch zum Feierabend durchgeführt werden und man kann den Computer am nächsten Tag wieder ganz normal verwenden.

Überprüfen Sie Ihre Systeme regelmäßig auf Schadsoftware und Sicherheitslücken: Gerade bei geringem Budget eignen sich Penetrationstests, die gezielt nach Lücken suchen und Ihnen helfen, diese zu schließen, noch bevor ein Angreifer diese entdecken könnte.

Verschlüsseln Sie wichtige Daten: Dadurch kann niemand unbefugt darauf zugreifen. Wichtig ist, dass Sie sich für den Fall einer Wiederherstellung den Sicherheitsschlüssel notieren / ausdrucken, da ansonsten auch Sie keinen Zugriff mehr auf die Daten hätten.

Kommunizieren Sie die Wichtigkeit von Datensicherheit: Wichtig ist, dass Sie Ihre Mitarbeiter regelmäßig schulen, damit sie sich auch dementsprechend richtig verhalten können und verantwortungsbewusst mit den Daten umgehen.

Lassen Sie das Thema Datensicherheit also nicht aus Ressourcenmangel unbeachtet, auch mit einem kleineren Budget können Sie ein hohes Level an Sicherheit erreichen.

Über den Autor: Matthias Friese ist CEO bei Patronus.io. Als erfolgreicher Gründer und Onlineshop-Betreiber ist er in den komplexen Herausforderungen, sowohl auf Technologie-, als auch auf Kundenseite des E Commerce bewandert. Den Stellenwert von Web-Security kennt er durch schmerzhafte Erfahrungen aus erster Hand und gilt heute als einer der führenden Aufklärer.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45423855 / Security-Testing)