Artikel erschienen am 23.05.2018
E-Paper

Cybersicherheit geht alle an

Angriffe richten sich gegen kleine wie große Unternehmen: Wie können sie sich wappnen?

Von Olaf Buttkewitz, Hannover

Die Gefahren, die von Cyberangriffen ausgehen, sind komplex. Dabei geht es nicht nur um bereits bekannte Computerviren und Betrugsmaschen. Laufend werden neue Schadprogramme (wie z. B. Trojaner) oder Angriffsmethoden entwickelt, welche IT-Lücken für Cyberangriffe nutzen. Teilweise vergehen Monate, bis die Infektion entdeckt wird. Viele Sicherheitsmaßnahmen können auch erst reaktiv auf solche Gefahren angewendet werden. Trotz vorhandener Sicherheitsmaßnahmen bleibt immer ein Restrisiko des Datenmissbrauchs oder der Verschlüsselung. Eine Sensibilisierung der Mitarbeiter ist daher besonders wichtig.

Kann man sich gegen Cyberrisiken versichern?

Bisher war der Cyber-Versicherungsmarkt sehr heterogen und damit auch unübersichtlich. Im vergangenen Jahr hat der Gesamtverband der deutschen Versicherungswirtschaft eine Empfehlung für ein Musterbedingungswerk veröffentlicht. Der Versicherungsmarkt hofft darauf, dass sich daraus ein Marktstandard entwickeln wird. Was die Produkte eint, sind die drei Säulen Eigenschäden (Wiederherstellung und Betriebsunterbrechung), Haftpflichtansprüche und Servicekosten (z.B. Kosten für externe Sachverständige).

In den Details sind die Unterschiede oft nennenswert. Hier sollte man sich beraten lassen und dabei auch die Zusatzbausteine im Blick haben. Am Beispiel des „Fake President“ (oder auch „CEO-Betrug“ genannt) lässt sich die Notwendigkeit eines Zusatzbausteins, der auch den Abfluss von Vermögenswerten mitversichert, gut aufzeigen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in seinem Bericht zur Lage der IT-Sicherheit, dass im ersten Halbjahr 2016 allein 50 Kunden einer europäischen Bank diesem Angriff zum Opfer gefallen sind. Während 40 dieser Fälle verhindert werden konnten, erlitten 10 davon einen Schaden von mehreren Mio. Euro. Der größte dem BSI bekannte Einzelschaden beläuft sich auf 40 Mio. Euro. Diese Form des Angriffs ist seit Jahren bekannt und es gibt Möglichkeiten, sich dagegen zu schützen. Neben einer Sensibilisierung der Mitarbeiter sollte hier etwa auch das Vier-Augen-Prinzip eingehalten werden, um die Sicherheit zu erhöhen. Trotz aller Sicherheitsmaßnahmen kann ein solcher Angriff erfolgreich sein und einen hohen Schaden verursachen. Hier reicht ein Basisversicherungsprodukt oftmals nicht aus. In vielen klassischen Cyberpolicen ist der Abfluss von Vermögenswerten nämlich ausgeschlossen. Es gibt aber am Markt bereits Zusatzbausteine, die dies mitversichern.

Cyberrisiken unterliegen einem ständigen Wandel

Sicherheitsmaßnahmen müssen sich stetig den neuen Risiken anpassen. Häufig muss zunächst etwas passieren, worauf man reagieren kann. Aus diesem Grund können viele Sicherheitsmaßnahmen auch erst reaktiv auf
Gefahren wirken. Beispiele dafür sind die Angriffsszenarien Spectre und Meltdown. Diese nutzen Sicherheitslücken, die zum Teil seit Jahren bestanden und erst kürzlich mithilfe von Updates geschlossen werden konnten.

Darüber hinaus nutzten Angreifer die mediale Aufmerksamkeit als Trittbrettfahrer für eigene Zwecke. Sie verschickten beispielsweise gefälschte E-Mails, die scheinbar vom BSI stammten, mit der Aufforderung, Sicherheits-Updates durchzuführen. Der enthaltene Link führte auf eine gefälschte Website des BSI. Der Download führte dann dazu, dass Computersysteme und Smartphones mit Schadsoftware infiziert wurden.

IT-Sicherheit ist Chefsache!

Die Notwendigkeit der IT-Sicherheit im Bereich kleiner und mittlerer Unternehmen (KMU) wird derzeit von den Verantwortlichen häufig noch völlig unterschätzt. Standards werden oft nicht angewendet. Deswegen variiert die Sicherheitslage von keinem Schutz bis hin zum überdurchschnittlichen Sicherheitsniveau. Der Abschluss einer Cyberversicherung ist einfach, setzt aber ein Mindestniveau an Absicherung voraus, wie man es auch von anderen Sparten her kennt, beispielsweise Maßnahmen gegen Diebstahl oder Feuer.

Nach wie vor bleibt der Mensch ein wesentliches Risiko. Mitarbeiter benötigen klare Regeln, was im täglichen Umgang mit Daten erlaubt ist und was nicht. Die Geschäftsführung ist hier in der Verantwortung, Regeln zu definieren und ein Sicherheitskonzept zu entwickeln. Das muss kein Hexenwerk sein. Oftmals reicht es schon, grundlegende Sicherheitstipps zu beachten. Cyberangriffe sind oft erfolgreich, weil Mitarbeiter nicht gut genug informiert sind. Selbst wenn nur ein kleiner Fehler geschieht und ein Mitarbeiter bspw. auf eine infizierte Webseite geht oder eine infizierte Mailanlage aufmacht, öffnet das den Hackern die Tür ins Unternehmen.

Tipps für grundlegenden Schutz

Man kann aber vieles tun, um einen grundlegenden Schutz zu gewährleisten. Wir empfehlen diese sieben Tipps:

  1. Datensicherung (mindestens einmal wöchentlich und mindestens einmal testen, ob die Wiederherstellung funktioniert)
  2. Trennung der Admin- und User-Accounts und der damit verbundenen Rechte
  3. Passwortrichtlinie installieren
  4. Software-Update- und Patchmanagement
  5. Nutzung von Antivirusprogrammen
  6. Schutz gegen einen unberechtigten Zugriff (z. B. Firewall, Verschlüsselung etc.)
  7. Nutzung der Endgeräte sollte ausschließlich für betriebliche Zwecke erfolgen

EU-Datenschutzgrundverordnung: Datensicherheit nimmt Fahrt auf

Mit der am 25.05.2018 in Kraft tretenden EU-Datenschutzgrundverordnung (EU-DSGVO) erhält die Nutzung von personenbezogenen Daten wie Kunden- und Mitarbeiterdaten eine noch größere Bedeutung. Dabei ist vor allem wichtig zu wissen, dass Geschäftsführer, Inhaber oder Eigentümer die alleinige Verantwortung für Datenschutzverstöße im eigenen Unternehmen tragen – und nicht der beauftragte IT-Dienstleister.

Der „Fake President“

CEO-Betrug oder Fake President ist der Enkeltrick der Cyberrisiken. Dabei versuchen die Angreifer das Opfer dazu zu bringen, Geldüberweisungen zu tätigen. Die Opfer sind in der Regel Mitarbeiter im Finanz- oder Rechnungswesen, die per Mail oder telefonisch kontaktiert werden. Dafür gibt sich der Angreifer zumeist als hohe bzw. oberste Führungskraft des Unternehmens aus (daher der Name). Die Angreifer verwenden oft unternehmensinterne Informationen und fälschen E-Mails, um ihre Opfer zu täuschen. Insbesondere Unternehmen aus dem Mittelstand geraten zunehmend in den Fokus dieser Angriffe.

„Spectre“ und „Meltdown“

Spectre und Meltdown sind Angriffsszenarien, die Sicherheitslücken in der Hardwarearchitektur von Prozessoren ausnutzen. Die Sicherheitslücken ermöglichen es einem Angreifer, unberechtigterweise Daten auszulesen, die auf dem Prozessor verarbeitet werden. Dazu gehören unter anderem auch Passwörter. Die Sicherheitslücken wurden in Prozessoren mehrerer Produktgenerationen und Anbieter gefunden. Aus diesem Grund kann mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgegangen werden, dass jeder Computernutzer auf die eine oder andere Weise betroffen sein könnte.

Bild: Fotolia/Fotomek

Ähnliche Artikel

Finanzen Steuern Recht

Mangelnde IT-Sicherheit als Haftungsrisiko im Unternehmen

Handlungsbedarf aufgrund gesetzlicher Neuregelungen

IT-Sicherheit spielte in der Vergangenheit in vielen Unternehmen eine eher untergeordnete Rolle. Die zunehmende Anzahl von Angriffen auf IT-Systeme und die Tatsache, dass diese Angriffe den beruflichen und privaten Alltag vieler Menschen erheblich beeinträchtigen, haben den Gesetzgeber auf den Plan gerufen.

Düsseldorf 2018 | Tobias Karrenbrock, Düsseldorf

Finanzen Steuern Recht

Roboter Im Finanzbereich

Aktuelle Anwendungen und zukünftige Herausforderungen

Digitale Workflows, Process Mining, Robotic Accounting – viele CFOs mittelständischer Unternehmen stellen sich aktuell die Frage, wann der richtige Zeitpunkt ist, den Finanzbereich in ihrem Unternehmen auf dem Weg zur digitalen Unternehmung weiterzuentwickeln und die nächsten Schritte zu tun.

Düsseldorf 2018 | Dipl.-Kfm. Stefan Schmal, Düsseldorf | Dipl.-Betriebsw. Dirk Spalthoff, Düsseldorf