Die jüngsten Vorfälle von Cyberkriminaliät haben gezeigt, dass selbst Regierungsnetze nicht sicher vor Angriffen sind. Grundsätzlich sollten diese noch besser gesichert sein als normale Unternehmensnetzwerke, doch professionellen Hackern ist es in der Vergangenheit häufiger gelungen auch in diese Systeme vorzudringen. Bereits 2015 ist der Bundestag Opfer eines Angriffes geworden.
Nicht nur in Regierungsnetzen gibt es Einfallstore. Unternehmen werden zunehmend zum Ziel von Hackern vor dem Hintergrund von Industriespionage. Die bisherigen Maßnahmen gegen diese Angriffe sind definitiv noch nicht ausreichend und präventiv gestaltet. Ziel eines jeden Unternehmens sollte es sein zu agieren statt zu reagieren. Denn in den meisten Fällen werden Unternehmen durch Angriffe rigoros überrascht, wenn sie es überhaupt mitbekommen. Firewalls helfen vor diesem Hintergrund nur bedingt die eigenen Systeme zu schützen. Denn vor allem komplexe Infrastrukturen sind nur mit einem großen Sicherheitsaufwand, einer Vielzahl an Maßnahmen und sicherheitsrelevanten Technologien zu schützen. Auch der Faktor Mensch spielt eine wichtige Rolle. Denn die meisten Systeme hängen am Internet, wo die eigenen Mitarbeiter auf Mails antworten müssen oder Anhänge öffnen müssen.
Cyberattacken sind de facto die Bedrohung unserer heutigen Zeit. Das steigende Volumen des Daten-Grades und die Offenheit der Netze birgt Gefahren, denn im Unternehmensalltag benutzt heutzutage jeder Smartphones, Tablets, Computer und andere vernetzte Geräte. All diese Geräte sind mit dem Internet verbunden und somit potenzielle Einfallstore für Angreifer, um in das gesamte Unternehmensnetzwerk einzudringen. Für die Führungsebene stellt sich die Frage, welche Bedrohungsszenarien gibt es, welche Schäden die eigene Organisation zu erwarten hat und wie sich Unternehmen schützen können? Mit 220 Mio. verdächtigen Aktivitäten, die laut NATO täglich auf den Netzen stattfinden, brauchen die Entscheider oft noch bessere Informationen zur Gefahr und den Arten, die Cyberangriffe mit sich bringen.
Die aktuelle Bedrohungslage - Diese Angriffsarten beschäftigen die Unternehmen
Derzeit hat die IT-Sicherheit nur eine geringe Wahrnehmung in den Unternehmen. Der hohe Vernetzungsgrad und der gleichzeitige Austausch von unternehmenskritischen Daten über das Internet bietet Cyber-Kriminellen ein größeres Potenzial als je zuvor. Dies ist ein großes Problem, auf das sich Unternehmen heute, sowie auch zukünftig immer mehr einstellen müssen. Denn vor allem Daten aus den F&E-, Marketing-, Personal- und Finanzabteilungen sind heiß begehrt. Demnach haben es Cyberkriminelle besonders auf Kunden- und Mitarbeiterdaten, Bilanzen oder gar Zugänge zu Bankkonten abgesehen.
Doch mit welchen Angriffsarten versuchen Cyberkriminelle in die Systeme von Unternehmen zu kommen? Eine Liste über die Arten von Angriffen soll Unternehmensentscheidern einen Überblick geben, mit welchen Attacken Sie rechnen sollten:
Diese Angriffsarten definieren sich durch unterschiedliche Angriffsvektoren und Typ-Familien, mit denen Cyberkriminelle versuchen, in die Unternehmensnetze oder auf die Infrastrukturen einzudringen. Diese Angriffsvektoren sind Kombinationen von Angriffswegen und -techniken, mit denen sich ein Cyberkrimineller Zugang zu IT-Systemen verschafft.
Unter diese Angriffsvektoren fallen zum Beispiel Spam-Versuche, die mittels unerwünschten Nachrichten, die massenhaft und ungezielt per E-Mail oder anderen Kommunikationswegen, versendet werden. Diese Nachrichten enthalten neben unerwünschten Werbehinweisen vor allem Links zu verseuchten Webseiten bzw. Anhängen. Vor diesem Hintergrund werden Spam-Mails auch für Phishing-Angriffe genutzt.
Neben den geläufigen Spam-Mails versuchen Cyberkriminelle vor allem mit gezielten Angriffen Schwachstellen innerhalb der Unternehmens-Server ausfindig zu machen, denn wenn Systeme nur mit mangelhaften Firewalls bestückt sind, ist es für Hacker oft nur ein leichtes Spiel.
Auch Drive by Exploit Kits sind ein wichtiges Instrument von Cyberkriminellen. Mit diesem Angriffsvektor versuchen Cyberkriminelle mittels einer automatisierten Ausnutzung, Sicherheitslücken auf einem Computer ausfindig zu machen. Dabei werden vor allem User beobachtet, die sich auf einer Webseite befinden. Der Hacker versucht ohne weitere Benutzerinteraktion Schwachstellen im Webbrowser, in Zusatzprogrammen des Browsers (Plugins) oder im Betriebssystem des Users ausfindig zu machen und auszunutzen, um Schadsoftware unbemerkt auf dem Computer des Users einzupflanzen.
Ausmaß für Unternehmen - Der Schaden kann enorm sein
Ist das eigene Unternehmen Opfer eines Angriffes geworden, ist das konkrete Schadensausmaß erheblich davon abhängig, welche technischen und organisatorischen Maßnahmen (TOMs) getroffen worden sind, um möglicherweise den Angriff präventiv oder detektiv verhindern zu können. Auch wenn Präventivmaßnahmen den Angriff nicht verhindern konnten, können aber im Falle eines Angriffs Detektionsmaßnahmen sowie eine schnelle Reaktion der Security-Organisation für eine Begrenzung des Schadens sorgen.
Doch was sind typische Schäden, die Unternehmen in Folge eines Cyberangriffes zu erwarten haben?
Neben den monetären Aspekten, in Form von Schadensersatz und Imageschäden, die die Unternehmen betreffen, ist vor allem Industriespionage ein großes Thema. Demnach können dies Eigenschäden sein, bei denen Folgen eines Cyberangriffes den Ausfall von der Produktion oder Dienstleistungen bedeutet und so hohe Kosten durch Beeinträchtigungen oder Produktionsunterbrechungen entstehen.
Zudem kommen erschwerend Image- oder Reputationsschäden für Unternehmen hinzu. Im Falle eines Angriffs büßen Unternehmen oftmals ein hohes Ansehen bei Kunden ein und müssen möglicherweise neues Budget für Werbekampagnen einplanen, um ihr Image wieder aufzupolieren.
Auch kommen in der Regel Schadensersatzzahlungen auf die Unternehmen zu, bei denen auf Grund eines Angriffes gesetzliche oder vertragliche Pflichten gegenüber Dritten verletzt wurden. Besonders bei Systemen und Infrastrukturen, die eine Vielzahl an unternehmenskritischen Daten gelagert haben, können diese Schadensersatzzahlungen sehr hoch ausfallen.
- Lutz Feldgen, Lead Consultant bei Computacenter
„IT-Security überfordert viele Unternehmen, während die Angriffe gleichzeitig immer ausgefeilter werden und einen höheren Impact haben. Und der Fachkräftemangel kommt noch dazu. Den Firmen fehlt das Know-how. Jedes Unternehmen steht woanders, die vorhandenen Managed-Security-Services-Angebote passen oft nicht hundertprozentig zum Bedarf. Daher ergänzt Computacenter solche Services mit eigenen Leistungen zu einem passenden Gesamtpaket, wenn sie nicht vollständig selbst erbracht werden.“ - Holger Hartwig, Sales Manager Cloud Infrastructure Services bei Capgemini
„Mancher IT-Leiter ist richtig begeistert, wenn wir mit einer Phishing-Kampagne aufzeigen, was in dem Unternehmen zu holen ist!“ - Alexander Haugk, Product Manager bei der baramundi software
„Die Beratung im Vorfeld und die Unterstützung bei der Ausschreibung werden immer wichtiger. Allerdings: Auch große Unternehmen wissen oft nicht, welche Applikationen sie haben und wie ihre Umgebungen aussehen.“ - Thomas Kirsten, Head of Sales Germany bei RadarServices
“Die real existierende Praxis ist oft frustrierend. Manche Firmen haben zwar einen IT-Sicherheits-Chef, aber der ist unter dem IT-Leiter angesiedelt. Er hat keine Stimme.“ - Martin Mangold, Head of Cloud Operations bei Drivelock
“Wer Managed Security Services verkaufen will, der muss detailliert mit dem Anwender abklären, was das Unternehmen braucht. Das ist schwierig, wenn die Entscheider ihre IT-Landschaft nicht kennen. Deswegen können so viele Firmen auch nicht beschreiben, was sie brauchen!“ - Markus Müssig, Senior Security Architect bei Microfocus
„Die Qualität mehrwertiger IT Security Services wie beispielsweise Security Incident Monitoring hängt zwingend von der Verfügbarkeit der Business Informationen für den Analysten ab. Diese können den IT-Security Dienstleistern nur selten in digital abrufbarer Form – ob manuell oder automatisiert – bereitgestellt werden, weil sie nicht verfügbar sind oder Sicherheitsrichtlinien im Wege stehen.“ - Patrick Schraut, VP Consulting Europe bei NTT Security (Germany)
„Ich habe noch nie Managed Security gesehen, der Begriff ist falsch. Man kann Devices managen, nicht aber Sicherheit.“ - Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure DACH
„Ich frage die Anwender: Wie lang brauchen Sie, um festzustellen, dass sie gehackt wurden? Im Schnitt liege die Frist bei hundert Tagen. Das muss man reduzieren!“