Viele Unternehmen, insbesondere kleine und mittlere (KMU), neigen dazu, den Schutz ihrer Unternehmensdaten zu vernachlässigen. Ein häufiges Argument lautet: „Wir sind viel zu uninteressant, um gehackt zu werden. Was wollen die schon von uns?“. Diese Annahme ist jedoch gefährlich und falsch. Cyberkriminelle zielen nicht nur auf große und bekannte Unternehmen ab. Im Gegenteil, KMU sind oft bevorzugte Ziele, da sie als leichter angreifbar gelten. Hier sind einige Gründe, warum auch Ihr Unternehmen für Hacker attraktiv sein könnte:
Daten: Selbst kleine Unternehmen verfügen über wertvolle Informationen wie Kundendaten, Zahlungsinformationen und Geschäftsgeheimnisse. Diese Daten können verkauft oder für Erpressungszwecke genutzt werden. Jeder ungewollte Datenabfluss stellt zudem einen Verstoß gegen die DSGVO dar.
Zugangspunkte: Ihr Unternehmen könnte als Sprungbrett genutzt werden, um Zugang zu größeren Partnerunternehmen oder Kunden zu erhalten.
Finanzielle Erpressung: Ransomware-Angriffe zielen darauf ab, Unternehmen zu erpressen, indem sie deren Daten verschlüsseln und Lösegeld verlangen. Auch kleinere Beträge summieren sich für Cyberkriminelle.
Reputation: Ein erfolgreicher Angriff kann Ihrem Unternehmen erheblichen Schaden zufügen, sowohl finanziell als auch in Bezug auf Ihre Reputation. Kunden und Partner könnten das Vertrauen in Ihre Fähigkeit verlieren, ihre Daten zu schützen.
Es ist wichtig zu verstehen, dass Cyberkriminelle oft automatisierte Angriffe durchführen, die nicht gezielt auf bestimmte Unternehmen abzielen. Sie suchen nach Schwachstellen, und wenn Ihr Unternehmen nicht ausreichend geschützt ist, könnten Sie leicht zum Opfer werden. Eine Übersicht über offiziell gemeldete Cyberangriffe finden Sie bei CSO-Online: Diese Unternehmen hat es schon erwischt. Die Dunkelziffer ist sicher um ein Vielfaches höher, doch eines haben alle Angriffe gemeinsam: Sie fügen dem Unternehmen großen Schaden zu, sowohl finanziell als auch im Vertrauen, das Mitarbeitende, Kunden und Lieferanten dem Unternehmen entgegenbringen.
Notfallplanung und Krisenmanagement
Stellen Sie sich vor, Ihre gesamte IT wäre sofort und auf unbestimmte Zeit nicht mehr erreichbar und Ihre Daten nicht mehr verfügbar. Wie lange könnten Sie Ihre Geschäftsfähigkeit noch aufrechterhalten? Um auf solche Szenarien gut vorbereitet zu sein, unterteilen wir die Notfallplanung in vier Bereiche:
1. Vorbereitung 2. Bereitschaft 3. Bewältigung 4. Nachbereitung
Vorbereitung
Die Vorbereitung ist der erste und wichtigste Schritt im IT-Notfallmanagement. Hier sind die wesentlichen Aufgaben, die Unternehmen bearbeiten sollten:
Beauftragung von Verantwortlichen: Bestimmen Sie Personen, die für IT-Sicherheit und Notfallmanagement zuständig sind. Diese Verantwortungsbereiche sollten nicht von derselben Person wahrgenommen werden, um eine effektive Zusammenarbeit zu gewährleisten.
Erstellung von Erstmaßnahmen: Entwickeln Sie individuelle Erstmaßnahmen für IT-Vorfälle, inklusive Alarmierungs- und Meldewege im Unternehmen.
Identifikation kritischer Geschäftsprozesse: Ermitteln Sie zeitkritische Geschäftsprozesse und setzen Sie priorisierte Schutzmaßnahmen um. Eine Business Impact Analyse (BIA) kann hierbei hilfreich sein.
Kooperation mit IT-Dienstleistern: Klären Sie, welche Unterstützung Ihre IT-Dienstleister im Falle von IT-Vorfällen bieten können, z.B. bei DDoS-Angriffen, Ransomware, Online-Betrug oder Hacking der Webpräsenz.
Kommunikationsregeln: Legen Sie klare Regeln für die interne und externe Kommunikation fest, besonders im Hinblick auf Presse- und Öffentlichkeitsarbeit, um Imageschäden zu minimieren.
Überwachungsmaßnahmen: Implementieren Sie aktive Überwachungsmaßnahmen (Monitoring) und beachten Sie den Datenschutz.
Übungen und Tests: Üben Sie regelmäßig IT-Notfallszenarien und führen Sie Penetrationstests durch, um Schwachstellen zu identifizieren und zu beheben.
Schulung des Personals: Schulen und sensibilisieren Sie Ihr gesamtes Personal für IT-Sicherheitsfragen und das Verhalten im IT-Notfall.
Grundlegende Schutzmaßnahmen: Stellen Sie sicher, dass grundlegende Schutzmaßnahmen wie regelmäßige Patches, Sicherheitsupdates, Firewalls, sichere Passwörter, Enterprise Passwort Management und regelmäßige Backups implementiert sind.
Bereitschaft
Um jederzeit auf einen IT-Notfall vorbereitet zu sein, sollten die folgenden Punkte regelmäßig überprüft und aktualisiert werden:
Sicherheitsstatus prüfen: Überprüfen Sie regelmäßig den Sicherheitsstatus Ihrer Systeme.
Ansprechpartner festlegen: Stellen Sie sicher, dass Ihr Personal weiß, wen es im Falle eines IT-Notfalls kontaktieren muss, und gewährleisten Sie die Erreichbarkeit dieser Ansprechpartner.
Bewältigung
Im Falle eines IT-Notfalls sind schnelle und koordinierte Maßnahmen entscheidend. Die folgenden Schritte sollten Teil Ihres Notfallplans sein:
Kontaktaufnahme: Kontaktieren Sie alle notwendigen Ansprechpartner in der Organisation und bei IT-Dienstleistern.
Informationserfassung: Sammeln Sie Informationen von betroffenen Nutzern und sichern Sie Systemprotokolle und Logdateien.
Dokumentation: Dokumentieren Sie alle relevanten Sachverhalte, die mit dem Notfall in Zusammenhang stehen
- Meldepflichten: Beachten Sie alle gesetzlichen Meldepflichten und ziehen Sie gegebenenfalls Sicherheitsbehörden hinzu.
Nachbereitung
Ein IT-Notfall endet nicht mit der unmittelbaren Bewältigung. Die Nachbereitung ist entscheidend, um zukünftige Vorfälle zu verhindern und die IT-Sicherheitsarchitektur zu stärken:
Schwachstellen schließen: Beheben Sie durch den Notfall aufgedeckte Schwachstellen.
Überwachung: Überwachen Sie Ihr Netzwerk und Ihre IT-Systeme nach einem Vorfall besonders gründlich.
Lessons Learned: Analysieren Sie den Vorfall, überprüfen und optimieren Sie Ihre Regelungen und Prozesse.
Aktualisierung der Dokumentation: Halten Sie Ihre Dokumentationen zum Notfallmanagement stets aktuell.
Weiterentwicklung: Entwickeln Sie Ihre IT-Sicherheitsarchitektur kontinuierlich weiter.
Wie kommen die Angreifer in ein Netzwerk?
Hier sind die gängigsten Phänomene der Cybercrime-Szene
Schadsoftware (Malware): Kaum eine Cyberstraftat wird ohne Malware oder missbräuchlich eingesetzte Tools begangen. Mit ihrem Einsatz werden Daten ausspioniert, der Datenverkehr manipuliert oder Erpressungen begangen (Ransomware).
Spam und Phishing: Gestohlene digitale Identitäten wie Passwörter, E-Mail-Adressen oder Bankdaten sind häufig Ausgangspunkt weiterer Straftaten.
Ransomware: Von allen Methoden im Bereich Cybercrime besitzt Ransomware das höchste Schadenspotenzial. Bei einer Infektion mit Ransomware werden die Opfersysteme verschlüsselt und für die Entschlüsselung Lösegeld verlangt.
Meist beginnt alles mit einer vermeintlich harmlosen E-Mail. Phishing-Mails zielen darauf ab, Benutzerdaten auszuspähen. Angenommen, Sie sind Mitarbeiter der Firma ABT Medien GmbH und erhalten eine E-Mail, die scheinbar von Ihrer IT-Abteilung stammt. Die E-Mail sieht echt aus, hat das richtige Firmenlogo und eine E-Mail-Adresse, die der Ihrer IT-Abteilung ähnelt. Häufig nutzen Cyberkriminelle aktuelle Schadensereignisse mit großer Tragweite, wie beispielsweise die weltweiten IT-Ausfälle nach einem fehlerhaften Update von CrowdStrike, für ihre Betrugsmaschen.
| Betreff: Dringendes Sicherheitsupdate Hallo Julia,wir führen ein dringendes Sicherheitsupdate durch, um unsere Systeme auf dem neuesten Stand zu halten. Die halbe Welt war am Wochenende von verschiedenen Störungen betroffen, die durch ein fehlerhaftes Update ausgelöst wurden. Wir arbeiten daran, unsere Systeme auf den neuesten Stand zu bringen. Um sicherzustellen, dass dein Konto nicht gesperrt wird, musst du deine Anmeldedaten bestätigen.Bitte klicke auf den folgenden Link, um deine Anmeldedaten zu bestätigen:[Link zu einer gefälschten Login-Seite]. Wir danken Ihnen für Ihre Unterstützung. Mit freundlichen GrüßenIhre IT-Abteilung |
Wenn jetzt jemand auf den gefälschten Link klickt und seine Zugangsdaten eingibt, werden diese Informationen direkt an die Angreifer gesendet. Mit diesen Daten könnten die Angreifer dann auf das Konto des Nutzers zugreifen. Je nach den Umständen und der Art des Kontos könnte dies verschiedene negative Folgen haben:
Nicht autorisierte Transaktionen: Die Betrüger könnten versuchen, Geld zu überweisen oder Einkäufe zu tätigen, die dem Nutzer in Rechnung gestellt werden.
Diebstahl sensibler Daten: Die Betrüger könnten sich Zugang zu persönlichen oder geschäftlichen Daten verschaffen, die auf dem Konto gespeichert sind. Dabei kann es sich um persönliche Informationen, Kreditkartennummern, Geschäftsgeheimnisse oder andere sensible Daten handeln.
Identitätsdiebstahl: Mit genügend Informationen könnte der Betrüger versuchen, die Identität des Nutzers zu stehlen und in dessen Namen zu handeln.
Verbreitung von Malware oder Spam: Betrüger könnten das Konto nutzen, um Malware zu verbreiten oder Spam-Nachrichten an die Kontakte des Nutzers zu senden, mit dem Ziel weitere Zugangsdaten zu bekommen.
Cyberkriminelle nehmen zunehmend den Faktor Mensch ins Visier, da Menschen in der Regel anfälliger für Manipulationen und Fehler sind als technische Systeme.
Hinweis: Im Rahmen Ihres Risikomanagements sollten Sie den Abschluss einer Cyber-Versicherung in Erwägung ziehen. Für den Abschluss einer Cyberversicherung gibt es verschiedene Voraussetzungen. Neben regelmäßigen Mitarbeiterschulungen sind bspw. auch stets aktuelle Notfallpläne erforderlich.
Aus zahlreichen IT-Compliance & Security Projekten hat CAIRO seine langjährige Erfahrung in ein IT-Notfallposter einfließen lassen. Der Download dieses IT-Notfallposters steht exklusiv für wir.unternehmen-Leserinnen und Leser hier zur Verfügung.
