Thought Leadership
Cybervorfälle gehören zu den wichtigsten Geschäftsrisiken für Unternehmen weltweit und rufen die höchsten Verluste hervor. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf das „Allianz Risk Barometer“. Laut Studie wurden 2020 Cyber-Risiken neben Betriebsunterbrechungen und dem Pandemie-Ausbruch als eine der wichtigsten Geschäftsrisiken betrachtet.
„Betriebsunterbrechungen waren in 2020 an der Tagesordnung: Zum einen aufgrund der Pandemie, die viele Unternehmen in die Zwangspause schickte. Zum anderen aber auch aufgrund von Cybersicherheitsvorfällen“, fasst Patrycja Schrenk, Geschäftsführerin der PSW GROUP, zusammen.
Letztere waren dann auch am teuersten: Aus ihnen entstehen 60 Prozent all jener Schäden, die bei digitalen Problemen in Firmen entstehen. Die Mehrzahl aller entstehenden Schäden sind auf menschliches Versagen sowie interne Systemausfälle zurückzuführen. Kriminelle Angriffe jedoch wie Ransomware oder Phishing rufen die höchsten Verluste hervor.
„Wir können heutzutage zwei wesentliche Cyberrisiken identifizieren. Das sind der Faktor Mensch und das Unternehmensnetzwerk,“ so Schrenk. Denn obwohl der Faktor Mensch als Sicherheitsrisiko mehr ins Bewusstsein gerückt ist, wird noch zu wenig zur Senkung dieses Risikos unternommen, kritisiert die IT-Sicherheitsexpertin: „Tatsächlich kann IT-Sicherheit immer nur so gut sein wie der Anwendende, der die Techniken nutzt. Es ist deshalb von essenzieller Bedeutung, Mitarbeiter durch Schulungen zu sensibilisieren und auf etwaige Gefahren vorzubereiten.“
IT-Risiko Mensch
Insbesondere Angriffe per Social Engineering sowie Phishing funktionieren hervorragend auf jene Beschäftigte, die nicht gut auf diese Art eines Angriffs vorbereitet sind. Die Expertin verdeutlicht dies anhand eines Beispiels: „Der Cyberkriminelle gibt sich als Systemadministrator des Unternehmens aus. Er ruft in der Zentrale an und behauptet, zur Behebung eines Systemfehlers das Passwort zu benötigen. Das arglose Opfer glaubt an die Geschichte und möchte mithelfen, die Sicherheit zu erhöhen. In der Annahme das Richtige zu tun, macht das Opfer genau das Falsche, indem es das Passwort preisgibt.“
Eine andere Form eines Social Engineering-Angriffs ist Phishing: Auch hier wird dem Opfer etwas vorgetäuscht, um Daten abzufischen. Auch hier tarnen sich die Angreifer als vertrauenswürdige Quelle, beispielsweise als Hausbank eines Unternehmens, um das Opfer dazu zu bringen, sensible Informationen herauszugeben oder Malware zu installieren. Nach wie vor ist die E-Mail beim Phishing der beliebteste Vektor. Doch auch gefälschte Websites sind denkbar, ebenso wie Chat-Tools, Telefonanrufe oder auch Nachrichten per Social Media. „Es ist deshalb von höchster Wichtigkeit für eine gelungene IT-Sicherheitsstrategie, die Tatsache anzuerkennen, dass Mitarbeiter Teil dieser Sicherheitsstrategie sein müssen. Beschäftigte, die die Gefahren nicht kennen, die vom Phishing ausgehen, werden weiterhin jeden Link anklicken und wertvolle Informationen direkt in die Hände der Cyberkriminellen geben. Mitarbeitende, die sich der Gefahren bewusst sind, agieren deutlich umsichtiger“, betont Patrycja Schrenk.
IT-Risiko Unternehmensnetzwerk
Neben dem Faktor Mensch ist das Unternehmensnetzwerk der zweite relevante Aspekt in Bezug auf Cyber-Risiken. Zum Unternehmensnetzwerk gehören auch alle damit gekoppelten Geräte. Hier geht es nicht nur darum, Schatten-IT zu vermeiden, sondern auch darum, alle im Netzwerk befindlichen Geräte sowie deren Software aktuell zu halten, korrekt zu konfigurieren und zu überwachen. Neben der zeitnahen Einspielung von Patches gehören dazu die Einrichtung einer Firewall gegen unerwünschte Netzwerkzugriffe sowie ein Netzwerk-Monitoring, das darin unterstützt, in immer komplexer werdenden Netzwerkinfrastrukturen den Überblick zu behalten.
“Der Einblick ins gesamte Netzwerk einschließlich aller Schnittstellen sorgt dafür, dass keine blinden Flecken in der Infrastruktur auftauchen, die potenzielle Cyber-Risiken verursachen können“, erklärt Schrenk und führt fort: „Cyberkriminelle setzen immer häufiger auf Multivektor-Angriffe. Sie suchen sich also nicht mehr einen Vektor, den sie konkret angreifen, sondern führen verschiedene Angriffsvektoren entweder abwechselnd oder auch gleichzeitig aus. Das bedeutet für Unternehmen, dass sich auch der Schutz auf alle möglichen Vektoren erstrecken muss.“
Eine wesentliche Rolle spielt auch die Cloud-Sicherheit: Die Auslagerung von Daten in die Cloud ist sinnvoll – auch, damit Informationen, die abteilungsübergreifend benötigt werden, immer und überall verfügbar sind. Die IT-Sicherheitsexpertin mahnt jedoch zur Vorsicht: „Zum einen ist die Nutzung von US-Cloud-Anbietern nicht oder nur mit zusätzlicher Konfiguration DSGVO-konform. Zum anderen sollten auch die Zugriffe auf Clouddaten beschränkt werden. Denn der Vertrieb muss beispielsweise nicht auf Gehaltsabrechnungen eigener Kollegen zugreifen können. Wie immer gilt also, sinnvolle Zugriffsberechtigungen zu erteilen.“
Künstliche Intelligenz: KI für mehr Sicherheit?
Künstliche Intelligenz (KI) und damit zusammenhängend auch Machine Learning (ML) sind ein Trend – sowohl in der Cybersecurity als auch bei Cyberkriminellen. Aufseiten der IT-Sicherheit tragen KI und ML dazu bei, etwaige Anomalien zügiger zu entdecken. Künstliche Intelligenz wird jedoch auch längst von Cyberkriminellen verwendet: „Mit KI lassen sich beispielsweise Angriffsintensität und Erfolgsquote beim Spear-Phishing und sogenannter APT-Angriffe erhöhen, denn sie kann Aufgaben übernehmen, für die bis dahin menschliche Intelligenz nötig war. Ebenfalls kann KI auch eingesetzt werden, um Soziale Netzwerke, Business-Plattformen, Onlineshops und Foren zu durchforsten und künstliche Beziehungsnetzwerke aufzubauen“, nennt Schrenk Einsatzszenarien.
Home-Office und Digitalisierung am Arbeitsplatz: IT-Risiken wandeln sich
Hinzu kommt: Unser Arbeitsleben wandelt sich. Mit Corona, dem Home-Office als neuem Arbeitsplatz, einer steigenden Angriffsfläche aufgrund neuartiger Technologien und voranschreitender Digitalisierung wird es nicht leichter, IT-Sicherheit umzusetzen. „Ganz im Gegenteil“, mahnt Schrenk. „IT-Sicherheit wird individueller. Letztlich muss jedoch die Sicherheitsstrategie zur jeweiligen Organisation passen. Nur wer die für sein Unternehmen relevanten Cyber-Risiken kennt, kann die entsprechenden Vorkehrungen treffen.“ Da der Schutz vor Cyber-Risiken keine leichte Herausforderung ist, können Unternehmen auch auf Unterstützung der PSW GROUP setzen. Neben Mitarbeiterschulungen bieten die IT-Sicherheitsexperten auch sehr praktische Umsetzungshilfen an. Dazu gehören Ist-Analysen durch ein zertifiziertes Expertenteam, Beratungen oder das Stellen eines Informationssicherheitsbeauftr
www.psw-group.de
