Wie schütze ich mich vor Cyberattacken?

Wir vernetzen uns jeden Tag mit Menschen auf der ganzen Welt, Home-Office gewann besonders in den letzten Jahren zunehmend an Beliebtheit und wird auch sicherlich in der Zukunft noch eine wichtige, wenn nicht sogar führende Rolle im Arbeitsfeld spielen. Unternehmen wollen nach dem Trend gehen, modern sein, junge Mitarbeiter abholen und ihre Bedürfnisse befriedigen. Ein Viertel der Beschäftigten in Deutschland arbeitet remote. Ein cloud-basiertes Arbeitsumfeld einzurichten haben die meisten Unternehmen schon gelernt. Was ist aber mit der cyber security? Wie stellen die Unternehmen sicher, dass die Mitarbeiter zu Hause an ihren PCs nicht unbewusst Viren downloaden oder andere Sicherheitslücken existieren? Dies geht leider noch häufig unter, da die Cybergefahren nicht ernst genug genommen werden. Mitarbeiter einfach ins Homeoffice zu schicken, ohne gewisse Schutzmaßnahmen vorgenommen zu haben, ist daher nicht zu empfehlen.

Was sind Cybergefahren?

Cyberattacke mit Erpressung um viel Geld

Die Bedrohungen sind vielfältig und reichen vom Eindringen in die Privatsphäre, über den Verlust und Diebstahl sensibler Daten bis hin zur Erpressung. Letzteres ist besonders beliebt. Laut einer Bitkom-Studie beträgt der jährliche Schaden aufgrund von Cyberattacken mittlerweile 223 Milliarden Euro. 2020 und 2021 waren 88% der befragten Unternehmen von Datenraub, Spionage oder Sabotage betroffen. Auch die restlichen 12% gaben an, eine Cyberattacke zu vermuten. Der Mittelstand sei besonders bedroht. Gerade deshalb ist es eine Notwendigkeit, sich den Bedrohungen bewusst zu werden und seine Mitarbeiter hierfür zu sensibilisieren.

Wie kommt es zu Cyberattacken?

Die meisten Cyberangriffe richten sich auf Kommunikationsdaten und geistiges Eigentum. Die Hacker sind häufig sehr professionell und manipulieren Mitarbeitende, ohne dass sie es merken. Das können z.B. Anrufe sein, in denen sich die Hacker als IT-Techniker ausgeben und nach dem Passwort fragen oder E-Mails, die im Namen des Chefs versendet werden, in denen nach wichtigen firmeninternen Daten gefragt wird.

Auch die Corona-Pandemie machten sie sich zu Nutzen. Die Hacker positionierten sich teilweise raffiniert auf Plattformen für die staatlichen Corona-Soforthilfen und bereits mit einem Klick auf eine Schaltfläche wurde die Schadsoftware heruntergeladen oder sie tarnten sich mit E-Mails von Banken oder staatlichen Stellen zum Thema Covid-19. Bei einer Befragung des Kriminologischen Forschungsinstituts mit PwC als Projektpartner, gaben 27% der Befragten an, während der Corona-Pandemie, IT-Sicherheitsrichtlinien nicht immer eingehalten haben zu können. Dies liegt unter anderem daran, dass Mitarbeiter im Homeoffice teilweise private Endgeräte nutzen, welche statistisch gesehen ein erhöhtes Risiko für Phishing-Angriffe bergen. Dazu kommt auch, dass für viele Unternehmen aufgrund wirtschaftlicher Gefährdungen während der Pandemie, der IT security noch weniger Aufmerksamkeit geschenkt werden konnte als ohnehin schon. Abnehmende Investitionen in kritische IT-Sicherheitsstrukturen, können allerdings auch zu geminderter Effizienz und damit sinkenden Gewinnen im Verhältnis zu den Kosten führen, sodass sich die wirtschaftliche Lage gegebenenfalls noch weiter verschlechtert.

Ein großes Problem ist, dass nur 7% der IT-Ausgaben von Unternehmen für Sicherheit ausgegeben werden, dabei die Empfehlung aber bei 20% liegt. Dies führt dazu, dass so viele von Hackern angegriffen werden, teilweise sogar, ohne es zu merken. Besonders der Mittelstand steht hier im Fokus. Ihre Informationsdaten werden gezielt gestohlen. Daraufhin werden die Unternehmer teilweise um Millionen Beträge erpresst, die nicht selten aus Besorgnis um einen Daten Leak gezahlt werden. Laut der Bitkom Studie fürchtet jedes Zehnte Unternehmen aufgrund einer Cyberattacke um seine Existenz. Das Bundeskriminalamt bezeichnet die Ransomware aus diesem Grund sogar als die größte Bedrohung für Wirtschaftsunternehmen.

Vor welchen Cybergefahren sollte ich mich konkret schützen?

Hacker-Angriff

Es gibt verschiedene Arten von Cyberattacken. Manche Bezeichnungen hört man öfter in den Medien, andere sind weniger bekannt.

Ransomware: Kurz und simpel ausgedrückt handelt es sich um eine Schadsoftware, bei der Daten auf dem Rechner verschlüsselt und somit unbrauchbar für den Eigentümer gemacht werden.

Computerviren: Viren verbreiten sich, ebenfalls wie der Name bereits indiziert, durch Daten immer weiter.

Trojanische Pferde: Trojaner haben ihren Namen nicht ohne Grund, denn diese Art der Malware tarnt sich und wird unbewusst heruntergeladen. Dann können sie Daten sammeln und Schaden errichten.

Spyware: Spyware zeichnet Aktionen des Benutzers auf, z.B. sensible Daten wie Kreditkarteninformationen.

Phishing: Beim Phishing werden Fake-E-Mails von vermeintlichen Firmen versendet, bei denen der Empfänger ein Konto besitzt. Häufig sind die E-Mails so professionell gestaltet, dass es nicht auffällt, dass es sich gar nicht um das tatsächliche Unternehmen handelt, sodass Daten weitergegeben werden.

Wie kann ich mich vor Hackerangriffen schützen?

Durch die fortschreitende Digitalisierung und der Vernetzung mit der ganzen Welt, finden Hacker immer mehr Möglichkeiten für Cyberattacken und werden dabei auch immer innovativer. Das macht auch die Umsetzung wirksamer Sicherheitslösungen immer schwieriger, aber auch umso kritischer. Es ist unabdingbar, dass Unternehmen sich über IT Sicherheitskonzepte informieren und sich fachlich beraten lassen, um diese dann auch umzusetzen.

Es existieren viele Räder, an denen geschraubt werden sollte und muss, um sein Unternehmen ausreichend abzusichern.

Backup als Schutzmaßnahme

Die wichtigste Maßnahme für Cybersecurity ist das Backup. Mit einem regelmäßigen Backup kann, trotz Verschlüsselung oder Diebstahl der Daten, auf eine vorherige Version der Daten zugegriffen werden und somit wird das Tagesgeschäft weniger stark eingeschränkt bzw. zügig wieder aufgenommen. Ohne Backup wären sämtliche Daten nach der Verschlüsselung unbrauchbar und somit wäre ein Weiterarbeiten unmöglich. Es sollte auch jeweils eine Kopie offline gespeichert werden, um sich abzusichern. Zudem sollten regelmäßige Praxistests durchgeführt werden, um die Funktionalität des eigenen Datensicherungskonzeptes auf die Probe zu stellen und gegebenenfalls kritische Punkte schnell zu erkennen und zu optimieren.

Prävention vor Malware

Angriffe über E-Mails sind beliebt. Aus diesem Grund ist dies ein Kommunikationstool, dem große Aufmerksamkeit geschenkt werden sollte. E-Mails von unbekannten Absendern sollten stets mit Skepsis begegnet werden. Hilfreich beziehungsweise verpflichtend ist dabei ein Spam-Filter. Anhänge und bekannte Schadprogramme sollten geprüft und ggf. blockiert werden. Ein aktives Schwachstellenmanagement, bei dem unverzüglich Updates installiert werden, sollte bestehen.

Die Remote Zugänge sollten durch VPN und Multi-Faktor-Authentisierung abgesichert werden. Mit Administrator Accounts sollte außerdem vorsichtig umgegangen werden.

Um die Ausführbarkeit von Schadprogrammen einzuschränken, sollten regelmäßig Software-Updates durchgeführt werden. Außerdem sollte ein Virenschutz existieren.

Weiterhin ist die Verschlüsselung der internen Daten wichtig, sodass auch bei einem Diebstahl dieser sensiblen Daten, diese nur verschlüsselt vorliegen und somit für die Cyberkriminellen unbrauchbar für einen Erpressungsversuch sind. Mit verschlüsselten Daten haben diese dann kein Druckmittel und das Unternehmen kann sich somit vor teuren Zahlungen schützen.

Maßnahmen können das Risiko eines Angriffes zwar stark mindern, aber nicht vollständig ausschließen. Deswegen sollte das Unternehmen auf einen möglichen Vorfall vorbereitet sein und seine Mitarbeiter für den Umgang mit einer solchen Cyberattacke schulen oder zumindest das Verfahren vorher absprechen. Es sollte ein Reaktions-Plan erstellt und stets erweitert werden.

Weitere Informationen erhalten Sie hier:

https://www.pwc.de/de/im-fokus/cyber-security/cyberangriffe-gegen-unternehmen

https://www.bka.de/DE/UnsereAufgaben/Deliktsbereiche/Cybercrime/cybercrime

https://www.tagesschau.de/wirtschaft/bitkom-cyberangriffe

https://www.tagesschau.de/wirtschaft/ransomware

https://www.tagesschau.de/inland/cyberangriffe-bka

https://de.statista.com/themen/6093/homeoffice