Schluss mit Cyberattacken! Die Top 10 Tipps für mehr IT-Sicherheit

A. Cyberattacken nehmen zu [INFOGRAFIK]

Die Vernetzung aller Geschäfts- und Lebensbereiche nimmt massiv zu. Immer mehr Geschäftsprozesse finden online statt und mit jedem Klick wächst der Datenberg in Unternehmen. Ein Beispiel: Schon heute werden etwa 205 Milliarden E-Mails weltweit jeden Tag versendet und empfangen. Die Hälfte davon, 109 Milliarden sind geschäftlicher Natur – mit hochsensiblen und vertraulichen Inhalten. 2019 sollen es schon über 236 Milliarden E-Mails insgesamt sein. Davon gehen die Marktforscher und Experten der Radicati Group aus.

Angesichts solcher Zahlen muss das Bewusstsein jedes Einzelnen für einen verantwortungsvollen Umgang mit Daten geschärft werden. Gefragt sind auch Technologien, die den Datenschutz wahren. Denn die Computerkriminalität in der deutschen Wirtschaft wächst. Immerhin sind sich CIOs der Bedrohungslage durch Cybercrime und Wirtschaftsspionage bewusst: IT-Sicherheit ist neben Cloud Computing eines der wichtigsten Themen dieses Jahres. Für 59% aller Befragten einer Trendumfrage des Bitkom ist IT-Sicherheit sogar das Top-Thema 2016. Und zwar nicht ohne Grund: Unternehmen waren in den letzten Wochen und Monaten zahlreichen Cyberattacken, Datendiebstählen, Ausspäh- oder Abhöraffären ausgesetzt. So wundert es wenig, dass Cyberattacken längst zum Alltag deutscher Unternehmen gehören.

Wie der BITKOM in einer Studie vom Oktober 2016 bekannt gab, war 69% der Unternehmen in den vergangenen zwei Jahren von Datenklau, Wirtschaftsspionage oder Sabotage betroffen. Unternehmen aus Industrie, besonders Maschinen-, Automobil-, Chemie- sowie Pharmaindustrie, und dem Finanzwesen traf es dabei am häufigsten. Das Medium E-Mail wird dabei gern als potenzielles Einfallstor verwendet. So ermittelte das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Anstieg von Spam-Nachrichten mit Schadsoftware um 1.270% im vergangenen Jahr.

Potenziell zwar am gefährlichsten empfunden, gingen nur 14 Prozent aller IT-Angriffe auf deutsche Unternehmen seit 2014 auf das Konto organisierter Kriminalität. Der Anteil ausländischer Nachrichtendienste war mit 6 Prozent sogar verschwindend gering. Wie Bitkom-Research informiert, ist die „Innere Sicherheit“ offensichtlich das viel größere Problem: In 66 Prozent aller IT-Attacken waren die Täter aktuelle oder ehemalige Mitarbeiter. Ob aus böser Absicht gezielt Daten gestohlen wurden oder aus Unwissenheit heraus, weil Mitarbeiter beispielsweise auf gut getarntes Phishing hereinfielen, spielt dabei keine Rolle.

B. Anatomie der Cyberattacken

Einfallstore für Cyberkriminelle sind vielfältig

Sie kommen über’s Internet, per E-Mail, über eine Netzwerkschwachstelle oder eine Datei: Die Einfallstore für Cyberkriminelle und Hacker sind vielfältig. Ein erfahrener Hacker kann online binnen Minuten in Ihr IT-System eindringen und es lahmlegen – und das, obwohl Sie vorgesorgt und sich Ihr „Schutzschild“ aus Firewall und Virenschutz zusammengebaut haben

Hoch entwickelt und persistent

Moderne Malware ist hoch entwickelt, persistent und kann schweren Schaden anrichten. Moderne Cyberattacken haben nichts mehr mit den vergleichsweise harmlosen, wenngleich nervigen Spamming-Attacken zu tun. Sie sind weitaus gefährlicher und stellen eine echte Herausforderung an die Sicherheitsstruktur von Unternehmen dar. Denn ohne eine funktionierende Sicherheitsstrategie zur Verhinderung, Erkennung und Abwehr solcher Angriffe aus dem Netz sind Unternehmen heute definitiv chancenlos.

So läuft ein Angriff ab

Der Angreifer (meistens der Hacker) verschafft sich Zugang über eine oder mehrere Schwachstellen. Das kann via E-Mail sein oder über eine Anwendungs- oder Netzwerkschwachstelle und schleust Malware in das Unternehmensnetzwerk ein. Moderne Malware sucht nun nach weiteren Zugangsmöglichkeiten und Sicherheitslücken im Netzwerk und kommuniziert mit C&C-Websites, um weitere Befehle oder Schadcode zu erhalten. Eine durchgehende Sicherheitsstrategie ist sehr wichtig. Das verstehen Sie spätestens, wenn eine Malware, die Ihr System erst einmal infiltriert hat, immer versuchen wird sich zusätzliche Einfallstore zu verschaffen. Ziel ist, die Attacke auch dann fortzusetzen, wenn die ursprüngliche Schwachstelle geschlossen wird. Der Hacker kann derweil mit dem Sammeln von Daten beginnen. Die abgerufenen Daten werden auf einem Empfangsserver gesammelt und herausgebracht. Anschließend müssen nur noch die Spuren des Angriffs beseitigt werden – allerdings ist damit die Gefahr noch lange nicht vorbei, das Unternehmen bleibt kompromittiert: Die Angreifer können jederzeit zurückkehren, um noch mehr Daten zu stehlen.

Die Angreifer: Kleinkriminelle, Profi-Hacker und sogar Staaten

Die Hackermotive sind unterschiedlich. Zugriff auf die Unternehmensstruktur möchten sie jedoch alle haben. Doch ganz gleich, ob es ihnen nun darum geht, Know-how abzuziehen, Geschäftsdaten zu entwenden, die Infrastruktur lahm zu legen, zu schädigen oder ob es einfach nur finanzielle Gründe sind: Der Imageschaden für Unternehmen ist schwer zu beziffern.

Da gibt es einerseits Kleinkriminelle, die mit ihren Angriffen lediglich ihre Fähigkeiten unter Beweis stellen möchten, daneben aber auch Spammer und Adware-Verteiler, die ihr Geld durch illegale Werbung verdienen. Einen weiteren Teil machen Unternehmensspione aus, die Betriebsgeheimnisse und wettbewerbsrelevante Informationen erbeuten und damit kurz- oder mittelfristige finanzielle Gewinne erzielen wollen. Die größte Gruppe freilich stellen professionelle Cyber-Kriminelle dar. Auch ihr Motiv ist rein finanzieller Natur: Mit Hilfe von Schadprogrammen und Exploits haben sie es auf Bankverbindungen und Kreditkarten-Daten abgesehen. Erst einmal erbeutet, werden diese Daten in der Regel in Foren und Newsgroups getauscht oder weiterverkauft.

Gut organisiert und kapitalkräftig agieren so genannte Advanced Persistent Threat (APT) Angreifer, die leider oft regelrechte Experten in ihrem Metier sind. Ihr Ziel ist es Unternehmenswissen zu stehlen. Dabei geht es ihnen meist nicht um das schnelle Geld. Diese Profi-Hacker wollen langfristig verdienen, indem sie aus den gesammelten Daten entweder ein Duplikat eines Produktes erstellen und in ihrem Heimatland als eigenes Produkt vertreiben, oder ganz einfach an den Meistbietenden verkaufen. Trauriger Höhepunkt ist die moderne Art der Kriegsführung: Im Cyber-Krieg kämpfen Staaten gegeneinander mit dem Ziel, insbesondere die Infrastruktur des Gegners zu zerstören oder wenigstens erheblich zu schädigen.

C. Was Unternehmen konkret gegen Cyberattacken machen können?

Gefragt ist eine Kombination aus organisatorischen und technischen Maßnahmen, die bei jedem Einzelnen greifen. Die wichtigsten Tipps auf dem Weg zu einer besseren Datensicherheit haben wir im Folgenden für Sie zusammengestellt!

1. Nur ein starkes Passwort, ist ein gutes Passwort

Wie Sie es nicht machen sollten, zeigt eine Untersuchung von SplashData. Die Liste der 25 meist verwendeten und zugleich schlimmsten Passwörter wird angeführt von „123456“, „passwort“ oder „qwerty“. Beliebt sind auch Kombinationen aus Vor-/Nachname oder Wohnort.

Daher unser Tipp:
Nutzen Sie Groß-/Kleinschreibung, Zahlen und Sonderzeichen. Oder prägen Sie sich einen Satz ein und verwenden Sie den ersten Buchstaben jeden Wortes als Passwort. Außerdem empfehlen wir die Verwendung individueller Passwörter für unterschiedliche Konten. Und vergessen Sie auch nicht bei Ihrem E-Mail-Konto das Passwort in regelmäßigen Abständen zu ändern.

Das hat den Vorteil, dass nicht gleich alle Zugänge gefährdet sind, wenn ein Account gehackt wird. Jetzt könnten Sie einwenden, dass viele und zugleich komplexe Passwörter natürlich schwer zu merken sind. Doch auch hier gibt es Lösungen. Mit kleinen Softwaretools wie KeePass lässt sich die Passworterstellung und -verwaltung vereinfachen. KeePass sichert sämtliche Zugänge in einer verschlüsselten Datei und ermöglicht das automatisierte Eintragen von Zugangsdaten in die Anmeldemasken von Webseiten. Damit steht auch der Verwendung komplexer Passwörter nichts mehr im Weg!

Quelle: www.gbs.com/de/ebook-schluss-mit-cyberattacken

Share..

Schreibe einen Kommentar