NZSK >> Expertenmeinung >> Cybersecurity: Sind Sie auf Angriffe vorbereitet?

Marc Minar, Ernst & Young

Unabhängig davon, in welcher Branche Sie aktiv sind, wie gross Ihr Unternehmen ist und wie weit Sie Ihr Geschäftsmodell bereits digitalisiert haben: Die Informationstechnologie begleitet Sie auf Schritt und Tritt, angefangen von einfachen Computerprogrammen bis hin zu komplexen digitalen Prozessen, mit denen Sie etwa Ihre Produktion, Ihren Einkauf oder Ihre Verwaltung steuern.

All dies sind mögliche Angriffsziele von Cyberkriminellen, die sich in Ihre digitalen Systeme und Prozesse einklinken und damit immensen Schaden anrichten können - sei dies, indem sie Ihre Systeme ausspionieren und lahmlegen oder Sie erpressen. Eine unzureichende Absicherung kann geschäftsbedrohend sein und mit dem Verlust der Marktführerschaft, Produktionsausfällen, finanziellen Einbussen, Reputationsschäden oder Schadensersatzansprüchen verbunden sein. Cyberkriminelle sind heute professionell aufgestellt, technisch hochversiert und verfolgen wirtschaftliche Interessen. Sie organisieren sich in Gruppen und werden immer häufiger von Staaten und vom organisierten Verbrechen unterstützt.

Trotz dieser Gefahren reagieren viele Unternehmen noch immer spät, etwa wenn Gesetze es erfordern, grosse Abnehmer Druck ausüben oder der Schaden bereits eingetreten ist. Mit der nun im Mai 2018 in Kraft getretenen Datenschutzgrundverordnung (GDPR) wächst zudem das Compliance-Risiko: Neben der Meldung eines Vorfalls innerhalb von 72 Stunden nach Erkennung muss dieser auch professionell bearbeitet werden - sofortiges Reagieren ist gefragt. Unternehmen müssen zudem etwaige Datenschutzaspekte schon bei der Entwicklung neuer Anwendungen berücksichtigen. Bei Nichtbeachtung drohen empfindliche Strafen von bis zu EUR 20 Millionen oder vier Prozent des Konzernumsatzes.

Zunahme von Erpresser-Software
Attacken durch Erpressungstrojaner (auch Ransomware genannt) wie beispielsweise WannaCry oder Petya haben seit letztem Jahr massiv zugenommen und einen immensen Schaden angerichtet. Sie sperren das Betriebssystem für dessen Benutzer und verschlüsseln Dateien oder Teile der Festplatte, sodass auf diese nicht mehr zugegriffen werden kann. Anschliessend erscheint die Forderung nach Lösegeld, beispielsweise durch eine Bitcoin-Zahlung. Im Fall von WannaCry genügte ein unvorsichtiger E-Mail-Empfänger, um ganze Unternehmensnetzwerke weltweit in Gefahr zu bringen.

Einige dieser Erpressungstrojaner sind zudem sehr perfide: Kann oder möchte man beispielsweise das Lösegeld nicht bezahlen, so hat man die Möglichkeit, durch das erfolgreiche Infizieren von drei weiteren Personen, gratis den Entschlüsselungscode zu erhalten, um wieder Zugriff auf die Daten zu bekommen.

Angriffe auf Steuerexperten
Auch das Steuerumfeld ist vor ähnlichen Cyberangriffen nicht gefeit. In den USA warnte beispielsweise der Internal Revenue Service (IRS) kürzlich vor neuen Phishing-Versuchen, die gezielt Steuerberichterstattungsfirmen und Steuervorbereitungs-Experten anvisieren. Diese Phishing-E-Mails werden speziell entwickelt, um sensible Steuerinformationen zu sammeln, die es Kriminellen ermöglichen, betrügerische Steuererklärungen vorzubereiten und einzureichen.

Dieser Betrug wird in zwei Stufen ausgeführt: Zuerst erhält der Steuerexperte eine E-Mail von einem potenziellen Kunden, der nach spezifischen Steuerdienstleistungen nachfragt. Wenn der Steuerexperte auf die E-Mail antwortet, sendet der Kriminelle in einem nächsten Schritt eine zweite E-Mail, die entweder einen bösartigen eingebetteten Link oder einen PDF-Anhang mit einem eingebetteten Link enthält. Wenn der Steuerexperte auf den Link klickt, sammeln die Betrüger die E-Mail-Kontoinformationen und Passwörter des Opfers (oder sogar noch mehr Informationen). Solche Phishing-E-Mails können auch so geschickt getarnt sein, dass sie von einer scheinbar legitimen Quelle kommen (beispielsweise jemand aus der eigenen Kontaktliste).

Ein Allheilmittel gibt es nicht
Wenn Cyberangreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen nur eine einzige Schwachstelle finden, um Schaden anzurichten. Vor allem Menschen sind die Einfallstore Nummer eins. Häufig sind es arglose Mitarbeiter, die schädliche E-Mails öffnen oder auf einen anderen Trick der Kriminellen hereinfallen. Gegen Social–Engineering-Attacken wie z.B. Phishing oder Ransomware bleibt eine der besten Schutzmassnahmen kontinuierliches Awareness-Training, d.h., indem man die «menschliche» Abwehrschicht stärkt und den Mitarbeitern hilft und aufzeigt, verdächtige E-Mails zu erkennen und zu melden.

Für Unternehmen bedeutet das, jede auch nur erdenkliche Lücke im Vorfeld zu identifizieren und Mitarbeiter zu sensibilisieren. Eine mühsame, kleinteilige Arbeit, die viel Zeit und kostenintensive Tests voraussetzt. Doch es ist unumgänglich. Wie ein Einbrecher verfolgt auch die organisierte Cyberkriminalität in der Regel eine kühle Kosten-Nutzen-Rechnung. Muss ein Hacker mehr investieren, als er am Ende damit verdient, wird er sich ein leichteres Opfer suchen.

Treffen Sie Marc Minar anlässlich der NZSK 2018